Hab mal wieder einen vermurksten Rechner hier, der ein sehr lustiges und seltsames Verhalten zeigt. (hat natürlich niemand was dran gemacht)

Vor einer Weile fing es damit an, daß Firefox ständig den Lokalhost als Proxy eingestellt hat und damit natürlich in der Luft hing. Das konnte man problemlos ändern, aber nach ein paar Starts war wieder der Lokalhost drin. IE8 ging problemlos.
Ich hab dann mal aus Neugier Crome installiert. Der hat aber einfach keine Internetverbindung bekommen. Nix ging, keine Seite konnte angezeigt werden. Die Updateüberprüfung funktionierte aber. :confused:

Jetzt ist es ganz lustig. Jeder Browser stürzt sofort ab. Firefox haut eine wenig informative Crashinfo raus, IE und Opera stürzen kommentarlos ab, Crome hatte ich jetzt nicht dabei, wird aber auch nicht anders sein.
Messenger funktionieren, Ping auf URLs funzt und löst auf. Was noch auffällt ist eine recht hohe Anzahl offener TCP-Verbindungen, jede Menge davon auf PID 0 (Leerlaufprozess). Das soll bei XP normal sein. Aber 10 Stk auf einem frisch gebooteten System und ein tracert auf die IPs läuft ins leere.

Mir ist schon klar, daß die Kiste neu aufgesetzt gehört oder am besten gleich zwangsverlinuxt. Aber ich bin neugierig, ob jemand so ein Verhalten schon mal erlebt hat und mir mehr zur genauen Ursache sagen kann.

Schadsoftware?
Kratzen die Browser auch ab, wenn du die EXE-Dateien umbenennst?
Auch unter einem anderen Benutzerkonto?
Winsock hinüber? => http://www.cexx.org/lspfix.htm
Zu welcher Adresse laufen die TCP-Verbindungen?

Ich würde auch einiges Geld auf Trojaner etc. setzen. Speziell wenn es mehrere sind, kommen diese sich gerne in die Quere, mit allerlei lustigen Effekten.

Joa, sieht schwer nach Trojanern aus.

Im abgesicherten Modus mal einen Virenscan starten. Und dann das da:
http://www.superantispyware.com/

ebenfalls im abgesicherten Modus drüberlaufen lassen.

mmm...

LiveCD wie von Avira einmal drüberlaufen lassen.
http://www.free-av.com/de/tools/12/avira_antivir_rescue_system.html

Wenn du ansonsten eine Linuxkiste als Router hast, per tcpdump mal den Netzwerkverkehr von der Kiste angucken.

Im abgesicherten Modus mal einen Virenscan starten. Und dann das da:
http://www.superantispyware.com/
das prog ist, gelinde gesagt, schrott. :/

das laden
http://www.emsisoft.de/de/software/cmd/
direkt:
http://download1.emsisoft.com/a2cmd.zip

Abgesicherter Modus bringt nichts. Ein verseuchtes System kann man nur durch ein externes Bootmedium (CD/USB-Stick) sinnvoll gescanned werden.

Hab mal wieder einen vermurksten Rechner hier, der ein sehr lustiges und seltsames Verhalten zeigt. (hat natürlich niemand was dran gemacht)

Vor einer Weile fing es damit an, daß Firefox ständig den Lokalhost als Proxy eingestellt hat und damit natürlich in der Luft hing. Das konnte man problemlos ändern, aber nach ein paar Starts war wieder der Lokalhost drin. IE8 ging problemlos.
Ich hab dann mal aus Neugier Crome installiert. Der hat aber einfach keine Internetverbindung bekommen. Nix ging, keine Seite konnte angezeigt werden. Die Updateüberprüfung funktionierte aber. :confused:

Jetzt ist es ganz lustig. Jeder Browser stürzt sofort ab. Firefox haut eine wenig informative Crashinfo raus, IE und Opera stürzen kommentarlos ab, Crome hatte ich jetzt nicht dabei, wird aber auch nicht anders sein.
Messenger funktionieren, Ping auf URLs funzt und löst auf. Was noch auffällt ist eine recht hohe Anzahl offener TCP-Verbindungen, jede Menge davon auf PID 0 (Leerlaufprozess). Das soll bei XP normal sein. Aber 10 Stk auf einem frisch gebooteten System und ein tracert auf die IPs läuft ins leere.

Mir ist schon klar, daß die Kiste neu aufgesetzt gehört oder am besten gleich zwangsverlinuxt. Aber ich bin neugierig, ob jemand so ein Verhalten schon mal erlebt hat und mir mehr zur genauen Ursache sagen kann.
Schau dir auch mal die DNS einstellu0ngen nach dem Start an.
Wenn dort "Schrott-IPs" drin stehen ist es kein "Virus" im herkömmlichen Sinn.
Es werden nur bei jeder Anfrage an Netz diese "IPs" aufgerufen und eventuell "gestartet".

Das ist nix neues. Da hat wahrscheinlich jemand einen gratis-TCP-Optimizer laufen lassen und das hat den Stack gekillt:

DOS-Fenster öffnen und dort:

netsh winsock reset
netsh int ip reset c:\resetlog.txt
netsh int ip reset resetlog.txt


http://support.microsoft.com/kb/299357

Danach neu booten und es sollte wieder alles funktionieren. Wenn nicht, dann ist eine Neuinstallation fällig. Einen Versuch ist es allemal wert.

mfg

PS: Möglicherweise sollte Firefox nach dem Winsock-Reset komplett neuinstalliert werden (also zuerst den alten Firefox komplett deinstallieren) und es sollten dabei keinesfalls irgendwelche IE-Settings importiert werden.

/EDIT:

Es hat sich ein Fehler eingeschlichen: Der korrekte Befehl lautet:


netsh winsock reset catalog
netsh int ip reset c:\resetlog.txt
netsh int ip reset resetlog.txt

(man beachte das catalog)

Note that resetting the Winsock using netsh winsock reset catalog command in SP2 removes all the third-party LSPs and restores Winsock to factory default setting. Existing programs that uses their own LSPs, need to be reinstalled again. Example.. Google Desktop Search.
http://windowsxp.mvps.org/winsock.htm

Man kann auch Lspfix verwenden.

I[;8016189']das prog ist, gelinde gesagt, schrott. :/

Also ich habe damit sehr gute Erfahrungen gemacht. :|

Wenn mittlerweile alle Browser abschmieren, vielleicht liegts am NIC/Treiber?
Mal mit nem Fritz Stick oder so und dann surfen per WLan versucht?!?

Das ist nix neues. Da hat wahrscheinlich jemand einen gratis-TCP-Optimizer laufen lassen und das hat den Stack gekillt:

DOS-Fenster öffnen und dort:

netsh winsock reset
netsh int ip reset c:\resetlog.txt
netsh int ip reset resetlog.txt


http://support.microsoft.com/kb/299357

Danach neu booten und es sollte wieder alles funktionieren. Wenn nicht, dann ist eine Neuinstallation fällig. Einen Versuch ist es allemal wert.

mfg

PS: Möglicherweise sollte Firefox nach dem Winsock-Reset komplett neuinstalliert werden (also zuerst den alten Firefox komplett deinstallieren) und es sollten dabei keinesfalls irgendwelche IE-Settings importiert werden.

probiert und hat nicht geklappt (die korrigierte Version natürlich). Trotzdem Danke. Wobei ich an die Sache mit dem Optimizer bei den Leuten nicht wirklich glaube.

Wenn mittlerweile alle Browser abschmieren, vielleicht liegts am NIC/Treiber?
Mal mit nem Fritz Stick oder so und dann surfen per WLan versucht?!?

Die NIC ist iO. Unter Ubuntu rennt alles. Wäre noch der Windows-Treiber möglch. Aber MSN und ICQ laufen ja...

Werd mal noch Flash und Java löschen (lassen).

probiert und hat nicht geklappt (die korrigierte Version natürlich). Trotzdem Danke. Wobei ich an die Sache mit dem Optimizer bei den Leuten nicht wirklich glaube.
Mist. - Es kann auch ein fehlerhaftes PlugIn, der Virenkiller oder die Firewall sein. Wenn man eine veraltete Version von ZoneAlarm (zB. von einer Heft-CD) installiert, ist das Internet anschließend nicht mehr erreichbar. Das gleiche gilt für Virenkiller (besonders Norton), weil diese inzwischen oft ähnliche Funktionen nutzen wie eine Firewall.

Naja - wenn alles nichts mehr hilft muss man neu installieren. Da kann man nix machen.

Wie alt ist die Installation denn?

3 Monate

Die NIC ist iO. Unter Ubuntu rennt alles. Wäre noch der Windows-Treiber möglch. Aber MSN und ICQ laufen ja...

Die müssen auch nicht den Namen per DNS auflösen.
Schaffst du es denn einem der Webbrowser eine leere Startseite zuzuweisen?
Falls nicht, lad dir Opera USB, stell es auf deinem System so ein dass er ne leere Seite zeigt. Dann Opera auf den genannten Rechner kopieren und schauen ob man nur mit den IPs surfen kann.

Als Beispiel Google.de - 216.239.59.104, aber du sagst dass du die ja anpingen kannst. Und trag dabei den DNS komplett aus!