Meine Internetverbindung verhält sich, als wäre ich in China

[MrJules21]

Hallo,

Vor ein paar Monaten fing alles an, als ich nicht mehr auf facebook zugreifen konnte. youtube folgte bald. Bis heute morgen war es mir noch unerklärlich, bis ich merkte, dass ich bei IKEA immer auf die englisch-sprachige, chinesische Seite weitergeleitet wurde wenn ich "www.ikea.de" eintippte. Auf einmal machte alles Sinn. Und doch wieder nicht.
Es scheint als ob meine Internetverbindung sich verhält als wäre sie in China...

Zur Info: ich habe einen Laptop und einen Tower, die sich beide gleich verhalten. Es macht keinen Unterschied, ob ich firefox oder Windows Explorer als Browser verwende.
Bei Überprüfung steht bei mir als Provider "arcor" (stimmt) und Standort "Deutschland" (ebenfalls korrekt).
Zur Zeit habe ich noch die Möglichkeit eines VPN-Tunnels um auf die Seiten zuzugreifen - aber das ist auf die Dauer kein Zustand!
Kann mir jemand helfen? Ging irgendein Virus oder ähnliches um? Wäre wirklich dankbar für Lösungsansätze!

 

[Engaged]

mit malwarebytes ist schnell gescannt im quickscann, dann weiste mehr

 

[Debbie87]

Danke, Engaged!
Starte gerade den vollständigen Suchlauf und hoffe, dass es was bringt...
(mein Account war noch nicht freigeschaltet, habe deswegen über einen Freund gepostet)

Ergänzung (30. August 2011)

Ich schon wieder...

Malware hat was auf dem Laptop, aber nichts auf dem Tower gefunden.
Allerdings stoppt es jetzt regelmäßig einen Prozess der svchost.exe Datei auf beiden Computern.
- Was hat das zu bedeuten? -

Und: kann ich bei den Funden des Suchlaufs einfach auf "entfernen" klicken oder gehen mir dann möglicherweise Programmteile verloren, die in Ordnung sind aber nur vom malewarebytes-Programm als "böse" eingestuft werden?

Vielen Dank für eure Geduld mit mir...

Ergänzung (30. August 2011)

"Allerdings stoppt es jetzt regelmäßig einen Prozess der svchost.exe Datei auf beiden Computern."

Um es nochmal auf den Punkt zu bringen:
Kann wieder auf alle Seiten zugreifen, bekomme nur immer von malware ein kleines Pop-Up das da heißt:

"Zugang zu einer potenziell gefährlichen Webseite erfolgreich gestoppt: 219.139.18.6
Art: ausgehend
Port: ...
Prozess: svchost.exe"

Habe "..." bei "Port" geschrieben, weil der sich immer ändert.
Alle Funde sind nun unter Quarantäne - kann ich sie löschen ohne dass ich "gute" Daten verliere?
Danke für eure Hilfe!

 

[M80331]

Was sind es denn nun für Funde in Quarantäne, nur svchost oder steht da mehr?

P.S.: 219.139.18.6 ist tatsächlich in China, gehört zur dortigen Telekom.
Immer auch wieder diese Skiptkiddies...

---

Dann:
- Proxy Einstellungen prüfen was da steht, wenn es auf irgendeinem Wert oder auf "Systemeinstellung verwenden" steht, umstellen auf "kein Proxy"
- geh mal auf www.ping.eu , was steht da oben in der Zeile mit "Your IP is..." (ganze Zeile) ?

 

[Debbie87]

Vielen Dank, M80331!

Hier der Log vom Suchdurchlauf:

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 299812
Laufzeit: 1 Stunde(n), 10 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\pdfforge toolbar\IE\4.5\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> No action taken.
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.


Hilft das weiter?
Bin mir nicht ganz sicher, ob ich in der richtigen Datei suche um meine Proxy-Einstellungen zu prüfen/ändern; kann mich jemand anleiten? Danke.
Auf ping.eu wird mir angezeigt, dass meine IP "84.61.153.156" ist.

P.S.: Hat jemand eine Lösung, wie das überhaupt passieren konnte? Auf dem einen Rechner scheint ja kein Virus zu sein, also muss es an was anderem liegen, oder?

 

[werkam]

Da versucht etwas im Hintergrund ins Internet zu kommen um evtl was runterzuladen. Durchforste mal Deine "hosts" Datei ob was umgeleitet wird:
C:\Windows\system32\drivers\etc\hosts
und den Autostart mittels "msconfig" (Systemstart).
Wenn Du nichts findest lade Dir "autoruns" und den "Processexplorer" runter und teste damit mal Dein System.
Hole Dir sofort das ganze Toolpaket, darin sind alle Tools enthalten, entpacke es in einen Ordner, die Programme benötigen keine Installation.
https://www.computerbase.de/downloads/systemtools/sysinternals/ oder
https://www.computerbase.de/downloads/systemtools/process-explorer/
Du startest z.B. den Processexplorer bevor Du ins Inet gehst, dann kannst du beobachten was passiert und evtl dann auch handeln.

 

[M80331]

IP "84.61.153.156" ist Arcor, ist ok.

Aber hallo?
PUB.Dealio.TB und Adware.WidgiToolbar und immer dahinter "No action taken".
Klingt wie "potential unwanted programm" und "komische Toolbar", aber:

...Spigot\wtxpcom\... Spätestens da sollte man hellhörig werden und die Kiste offline nach allen Regeln der Kunst bereinigen bevor wirklich noch mehr Mist nachgeladen wird.

Ich mein: lösch das Zeugs weg, ist dann eh noch in Quarantäne, aber sag nach den Funden nicht du hättest dir nix eingefangen.

 

[Debbie87]

Vielen lieben Dank, werkam!

Wir scheinen der Lösung immer näher zu kommen! :-)
Ich lass die Analyse-Programme mal über die Rechner laufen und melde mich nochmal.

Bei der Hosts-Datei bekomme ich nur eine "Sample Datei" angezeigt.
Und bei den Autostarts scheint alles okay zu sein - oder gibt's Dinge, die da auf gar keinen Fall gelistet sein sollten?
Aber wie gesagt: Analyseprogramme und dann weitersehen! ;-)

Ergänzung (31. August 2011)

M80331, Danke!
Also formatieren, oder?
Argh... hatte gehofft, das vermeiden zu können!
Aber alles in allem würde das wohl schneller gehen... und nötig hätten es die beiden Rechner wohl auch mal wieder... :-/