Statt Internetseite nur "Zone Labs: VSMON - Lockup Server" - Seite

#0
27.05.2006, 23:59
...neu hier

Beiträge: 4
#1 Hallo!

Ich habe seit kurzem folgendes Problem:

Sobald ich eine Internetseite aufrufen möchte, bekomme ich anstatt der aufgerufenen Seite nur eine Seite mit dem Titel "Zone Labs: VSMON - Lockup Server" zu sehen, egal ob ich web.de, google oder ähnliches aufrufen möchte (hab da mal n Screenshot angehängt).

Nach einem PC-Neustart kann ich ungefähr 5 min surfen, bis diese Seite wieder erscheint!

Ich muss dazu sagen, dass ich noch nie ZoneAlarm auf meinem Rechner installiert hatte, ich benutze die Sygate Firewall.

Ich hatte auch noch nie Probleme mit Trojanern oder Hijackern und achte auch auf aktuelle Antivirensignaturen und allem anderen, was mit Sichherheit zu tun hat.

Ad-Aware und Spybot sowie meinen AntiVir habe ich schon über mein System laufen lassen, ohne das es irgendwelche Funde gegeben hat!

Ich habe mal mit Hijackthis eine .log erstellt (kann da aber auch nichts außergewöhnliches erkennen):


Logfile of HijackThis v1.99.1
Scan saved at 23:41:20, on 27.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Intel Pro Wireless 2200BG\Bin\EvtEng.exe
D:\Programme\Intel Pro Wireless 2200BG\Bin\S24EvMon.exe
D:\Programme\Intel Pro Wireless 2200BG\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Sygate Firewall\smc.exe
D:\PROGRA~1\INTELP~1\Bin\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Premium\sched.exe
D:\Programme\AntiVir PersonalEdition Premium\avguard.exe
D:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
D:\Programme\Intel Pro Wireless 2200BG\Bin\OProtSvc.exe
D:\Programme\Intel Pro Wireless 2200BG\Bin\RegSrvc.exe
D:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Intel Pro Wireless 2200BG\Bin\ifrmewrk.exe
D:\Programme\Intel Pro Wireless 2200BG\Bin\EOUWiz.exe
D:\Programme\NHC\nhc.exe
D:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
D:\Programme\Mobile Net Switch\MNS.exe
D:\Programme\Bluetooth\BTTray.exe
D:\Programme\Firefox\FirefoxPreloader\FirefoxPreloader.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
O2 - BHO: Media Playback Support Dll - {9D9A7350-46C9-4E3C-92EF-382B5740A1C3} - C:\WINDOWS\system32\bvicore.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IntelWireless] D:\Programme\Intel Pro Wireless 2200BG\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] D:\Programme\Intel Pro Wireless 2200BG\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [NotebookHardwareControl] "D:\Programme\NHC\nhc.exe" -quiet
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MNS] D:\Programme\Mobile Net Switch\MNS.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Firefox Preloader.lnk = D:\Programme\Firefox\FirefoxPreloader\FirefoxPreloader.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java RE\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java RE\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120327159527
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O20 - Winlogon Notify: IntelWireless - D:\Programme\Intel Pro Wireless 2200BG\Bin\LgNotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\VPN Client\cvpnd.exe
O23 - Service: EvtEng - Intel Corporation - D:\Programme\Intel Pro Wireless 2200BG\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\Programme\Matlab\webserver\bin\win32\matlabserver.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: OwnershipProtocol - Intel Corporation - D:\Programme\Intel Pro Wireless 2200BG\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - D:\Programme\Intel Pro Wireless 2200BG\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - D:\Programme\Intel Pro Wireless 2200BG\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate Firewall\smc.exe


Vielleicht weiß von euch noch jemand einen Rat, ich habe nämlich überhaupt keine Ahnung was ich noch probieren könnte (außer mein System neu aufzusetzen :-) )!

Vielen Dank schonmal!

Anhang: screen.jpg
Seitenanfang Seitenende
28.05.2006, 00:33
Moderator
Avatar joschi

Beiträge: 6466
#2 Ähnlicher Fall, jedoch mit installiertem Zoenalarm.
http://www.trojaner-board.de/archive/index.php/t-15840.html%3C/t-565.html
Scheint ein paar Tips/Links zu beinhalten, die den PC erfolgreich kuriert haben ;).
Wie Du zu der Ehre kommst als nicht Zonealarm-User ist mir schleierhaft.
Beim überfliegen habe ich etwas von Webseiten-Einträge in der Registry gelesen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
28.05.2006, 01:24
...neu hier

Themenstarter

Beiträge: 4
#3

Zitat

Ähnlicher Fall, jedoch mit installiertem Zoenalarm.
http://www.trojaner-board.de/archive/index.php/t-15840.html%3C/t-565.html
Das habe ich auch schon gefunden, aber da ich nicht weiß, wo diese Einträge in der Registry sein sollen (Webseiten-Einträge in der Registry bzw. die "ganze Menge Urls Einträge in der Registry"), konnte mir das auch nicht helfen.

Das mit der Startseite ("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main") hab ich natürlich schon ausprobiert, hat aber nicht geholfen.

Das Problem bei mir ist ja auch nicht die Startseite, die steht bei mir auf "about blank", und das passt auch so. Nur wenn ich z.b. web.de aufrufen will, kommt diese besch... Seite!

Wie ich zu dieser zweifelhaften Ehre komme würde ich auch gerne wissen :-)

Das Problem tritt übrigens im Internet Explorer (siehe auch oben der Anhang) auf, UND auch beim Firefox. Der Firefox zeigt interessanterweise aber nur den Quellcode an, nicht die Seite wie der IE!
Seitenanfang Seitenende
28.05.2006, 10:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 der Rechner ist keineswegs sauber:
OpenWares "ContextuAd" aka MediaBack adware
http://www.wilderssecurity.com/showthread.php?t=75897

Zitat

O2 - BHO: Media Playback Support Dll - {9D9A7350-46C9-4E3C-92EF-382B5740A1C3} - C:\WINDOWS\system32\bvicore.dll (file missing)
*
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

*
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.05.2006, 21:03
...neu hier

Themenstarter

Beiträge: 4
#5 Sodala, danke schonmal für die Tipps.

Hab das "O2 - BHO: Media Playback Support Dll - {9D9A7350-46C9-4E3C-92EF-382B5740A1C3} - C:\WINDOWS\system32\bvicore.dll (file missing)" mit Hijackthis gefixt!

Danach hab ich CleanUp mit den Einstellungen von oben laufen lassen.

Jetzt ist mein PC zwar wieder n Stückchen sauberer ;-), das Problem von mir ist aber leider immer noch vorhanden!

Ich hab mal mit Ethereal meinen Netzwerk-Verkehr mit protokolliert, und da sieht es meiner Meinung so aus, dass die Anfrage lokal bei mir aufm Rechner an die IP " 209.87.208.60 " umgeleitet wird, aber wie schon gesagt, erst nach ca. 5 min nach einem PC-Neustart! Ich hab ein Screenshot mit angehängt, vielleicht kann da jemand Rückschlüsse daraus ziehen (192.168.1.203 ist mein Rechner)!

Außerdem habe ich noch die Textdateien, wie von Sabina beschrieben, erstellt. Die sehen bei mir wie folgt aus:


Datenträger in Laufwerk C: ist Windows

Verzeichnis von C:\


28.05.2006 13:39 535.678.976 hiberfil.sys
28.05.2006 13:39 805.306.368 pagefile.sys
28.05.2006 11:40 211 boot.ini
24.12.2005 02:40 3.373 LGSInst.Log
24.11.2005 16:50 0 logwmemory.bin
11.02.2005 12:32 0 CONFIG.SYS
11.02.2005 12:32 0 MSDOS.SYS
11.02.2005 12:32 0 IO.SYS
11.02.2005 12:32 0 AUTOEXEC.BAT
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM



Datenträger in Laufwerk C: ist Windows

Verzeichnis von C:\WINDOWS\system32

28.05.2006 13:39 13.646 wpa.dbl
28.05.2006 01:53 5 SndDrv32ds_g.ods
28.05.2006 01:53 5 AuxDrv32ds_g.ods
26.05.2006 11:28 130.096 FNTCACHE.DAT
16.05.2006 11:22 88 internal.ini
04.05.2006 06:26 5.818.784 MRT.exe
10.04.2006 13:00 555.824 LegitCheckControl.DLL
04.04.2006 09:40 98.304 CmdLineExt.dll
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
29.03.2006 12:12 8 success
28.03.2006 11:46 398.016 perfh009.dat
28.03.2006 11:46 61.290 perfc009.dat
28.03.2006 11:46 412.760 perfh007.dat
28.03.2006 11:46 73.926 perfc007.dat
28.03.2006 11:46 956.572 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 91.136 mtxoci.dll



Datentr„ger in Laufwerk C: ist Windows

Verzeichnis von C:\WINDOWS

28.05.2006 13:40 1.344.052 WindowsUpdate.log
28.05.2006 13:39 0 0.log
28.05.2006 13:39 2.048 bootstat.dat
28.05.2006 11:40 594 win.ini
28.05.2006 11:40 227 system.ini
28.05.2006 11:13 828.287 setupapi.log
27.05.2006 22:39 116 NeroDigital.ini
27.05.2006 12:30 1.409 QTFont.for
27.05.2006 12:30 54.156 QTFont.qfn
27.05.2006 00:03 95 winamp.ini
23.05.2006 12:56 50 wiaservc.log
23.05.2006 12:56 354 wiadebug.log
21.05.2006 14:24 400 ODBC.INI
21.05.2006 14:23 63 vbaddin.ini
17.05.2006 12:03 1.592 VPNInstall.MIF
16.05.2006 23:42 709.496 ntbtlog.txt
16.05.2006 22:58 492.647 iis6.log
16.05.2006 10:44 1.592 VPNUnInstall.MIF
13.05.2006 22:08 142.260 comsetup.log
13.05.2006 22:08 86.149 ntdtcsetup.log
13.05.2006 22:08 19.912 tabletoc.log
13.05.2006 22:08 22.202 ocmsn.log
13.05.2006 22:08 1.374 imsins.log
13.05.2006 22:08 188.306 tsoc.log
13.05.2006 22:08 14.388 KB913580.log
13.05.2006 22:08 69.866 netfxocm.log
13.05.2006 22:08 28.356 MedCtrOC.log
13.05.2006 22:08 207.142 ocgen.log
13.05.2006 22:08 19.861 msgsocm.log
13.05.2006 22:08 388.543 FaxSetup.log
13.05.2006 22:08 130.876 msmqinst.log
13.05.2006 22:08 33.683 updspapi.log
13.05.2006 22:08 1.374 imsins.BAK
13.05.2006 22:08 14.126 KB900485.log
12.04.2006 13:40 178.741 setupact.log
12.04.2006 12:43 20.543 KB911562.log
12.04.2006 12:42 22.764 KB912812.log
12.04.2006 12:42 14.382 KB908531.log
12.04.2006 12:42 13.787 KB911567.log
12.04.2006 10:07 1.830.424 setupapi.log.1.old
05.04.2006 09:21 158 matlab.ini
31.03.2006 10:48 69.607 Omega Drivers v3.8.231.log
31.03.2006 10:45 451.072 Radeon Omega Drivers v3.8.231 Uninstall.exe
31.03.2006 10:38 16 wininit.ini
13.03.2006 19:01 12.024 WGA.log



Datenträger in Laufwerk C: ist Windows

Verzeichnis von C:\DOKUME~1\XXXXX\LOKALE~1\Temp

28.05.2006 16:18 16.384 ~DFCA4D.tmp
28.05.2006 16:12 19.077 etherXXXX3ONFAT
28.05.2006 13:49 24 etherXXXX3M4GAT
28.05.2006 13:40 32.768 ~DF51C2.tmp

Anhang: shot.jpg
Seitenanfang Seitenende
29.05.2006, 00:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 name_th

ich brauche nur GO DADDY SOFTWARE, INC. zu lesen, da geht mir schon die Hutschnur hoch. Es ist natuerlich kein Zonealarm, sondern ein alter Bekannter im Internet fuer Spyware, Viren , Backdoors usw....
Am besten...formatieren !!!!!!!!!!!!!!

Zitat

addresses 209.87.208.60

Domain Name: ZONELABS.COM
Registrar: GO DADDY SOFTWARE, INC.
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS1.CHECKPOINT.COM
Name Server: DNS1.ZONELABS.COM
Name Server: DNS2.ZONELABS.COM
Name Server: NS4.CHECKPOINT.COM
Status: REGISTRAR-LOCK
Updated Date: 08-dec-2005
Creation Date: 10-nov-1998
Expiration Date: 09-nov-2013

Registrant:
Zone Labs, L.L.C.

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: ZONELABS.COM

Domain servers in listed order:
DNS1.ZONELABS.COM
DNS2.ZONELABS.COM
NS1.CHECKPOINT.COM
NS4.CHECKPOINT.COM

OrgName: Zone Labs, Inc.
OrgID: ZONEL
Address: 475 Brannan Street
City: San Francisco
StateProv: CA
PostalCode: 94107
Country: US

NetRange: 209.87.208.0 - 209.87.223.255
CIDR: 209.87.208.0/20
NetName: ZONELABS
NetHandle: NET-209-87-208-0-1
Parent: NET-209-0-0-0-0
NetType: Direct Assignment
NameServer: DNS1.ZONELABS.COM
NameServer: DNS2.ZONELABS.COM
Comment:
RegDate: 2003-12-30
Updated: 2006-03-24

RTechHandle: OCONN2-ARIN
RTechName: O'Connell
RTechPhone: +1-415-633-4567
RTechEmail: hostmaster@zonelabs.com

DNS records
name class type data time to live
lockup.zonelabs.com IN A 208.185.174.60 86400s (1.00:00:00)
zonelabs.com IN A 208.185.174.44 86400s (1.00:00:00)
zonelabs.com IN MX
preference: 10
exchange: mfnbm1.zonelabs.com
86400s (1.00:00:00)
zonelabs.com IN MX
preference: 10
exchange: mfnbm2.zonelabs.com
86400s (1.00:00:00)
zonelabs.com IN TXT v=spf1 a:hqjump.zonelabs.com a:dejavu.zonelabs.com mx -all 86400s (1.00:00:00)
zonelabs.com IN NS ns1.checkpoint.com 86400s (1.00:00:00)
zonelabs.com IN NS ns4.checkpoint.com 86400s (1.00:00:00)
zonelabs.com IN NS dns1.zonelabs.com 86400s (1.00:00:00)
zonelabs.com IN NS dns2.zonelabs.com 86400s (1.00:00:00)
zonelabs.com IN SOA
server: dns1.zonelabs.com
email: hostmaster.zonelabs.com
serial: 2006052401
refresh: 21600
retry: 3600
expire: 604800
minimum ttl: 86400
86400s (1.00:00:00)
60.208.87.209.in-addr.arpa IN PTR lockup.zonelabs.com 86400s (1.00:00:00)
Traceroute

Tracing route to lockup.zonelabs.com [209.87.208.60]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 0 0 0 64.29.192.145 port-64-1949841-zzt0prespect.devices.datareturn.com
3 0 0 0 64.29.192.226 daa.g921.ispb.datareturn.com
4 0 0 0 168.215.241.133 hagg-01-ae0-1001.dlfw.twtelecom.net
5 0 0 0 66.192.253.124 core-02-ge-3-1-0-504.dlfw.twtelecom.net
6 34 43 34 66.192.255.19 core-01-so-0-0-0-0.asbn.twtelecom.net
7 34 34 34 66.192.255.229 peer-01-so-0-0-0-0.asbn.twtelecom.net
8 * * *
9 34 34 34 64.125.30.118 so-4-0-0.mpr1.iad2.us.above.net
10 118 34 44 64.125.29.133 so-4-0-0.mpr2.iad1.us.above.net
11 34 34 34 64.125.28.129 so-1-0-0.cr2.dca2.us.above.net
12 63 63 63 64.125.28.205 so-3-2-0.cr2.dfw2.us.above.net
13 64 63 63 64.125.29.189 so-1-0-0.cr1.dfw2.us.above.net
14 76 76 76 64.125.29.45 so-3-0-0.mpr4.sjc2.us.above.net
15 76 76 166 64.125.30.94 so-0-0-0.er10a.sjc2.us.above.net
16 77 112 77 64.124.57.109 64.124.57.109.available.above.net
17 * * *
18 * * *
19 * * *
20 * * *

Trace aborted


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.05.2006, 14:53
...neu hier

Themenstarter

Beiträge: 4
#7 Na super, wo habe ich denn den sch... her??

Was macht den das Ding noch, außer umleiten? Hoffentlich nichts....

Wenn es nur umleitet, dann ist das zwar tierisch nervig, aber wenigsten verursacht es keinen Schaden!

Tja, dann wirds wohl aufs formatieren hinauslaufen...
Seitenanfang Seitenende
29.05.2006, 20:29
...neu hier

Beiträge: 1
#8 Huhu! Hab das gleiche Problem auch! Aber nicht nur das, mein Grafikkatentreiber hat sich auf einmal deinstalliert. Konnte zusehen, aber nichts dagegen tun!! *lol*

Dieses Problem kam wie aus dem nichts!!

---

Mit Lavasoft - Adaware (FULL Systemscan) bin ich auf einen Trojaner-Downloader gestoßen. - Nachdem ich diesen entfernt hatte war auch nichts besser!!
Seitenanfang Seitenende
29.05.2006, 22:19
...neu hier

Beiträge: 2
#9 HUHU!!!

Nee, nix Trojaner, nix Virus, nix gefährlich ;)

Das alles hängt mit dem CISCO VPN CLIENT zusammen! Dieser enthält nämlich einige Firewallfunktionen von Zone Labs, weshalb gerade diese Seite aufgerufen wird... Versuch mal den Cisco VPN - Dienst zu starten... wenn dieser nämlich deaktiviert ist, kommt die genannte Meldung nach einiger Zeit. Einfach auf START, AUSFÜHREN... und "services.msc" eingeben. In der Liste "Cisco Systems, Inc. VPN Service" suchen und doppelt anklicken. Dort unter "Starttyp" dann "Automatisch" wählen und mit "OK" bestätigen. Dann vergewissern, dass dieser Eintrag in der Liste noch ausgewählt ist und links oben auf "starten" bzw. "neu starten".

Hoffe, dass das weiterhilft... Dies gilt primär übrigens nur für WinXP.

Somit sollte auch klar sein, wie ZA auf PCs kommt, auf denen noch nie ZA drauf war ;)

Sollte das nichts nützen, Cisco VPN deinstallieren ;)

Grüße, mITm
Seitenanfang Seitenende
29.05.2006, 23:18
Moderator
Avatar joschi

Beiträge: 6466
#10

Zitat

Das alles hängt mit dem CISCO VPN CLIENT zusammen!
Würde das gerne von name_th noch bestätigt sehen....oder schon formatiert !?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
30.05.2006, 00:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 das GoDaddy.com, Inc mit zonealarm "zusammenarbeitet" und CISCO VPN CLIENT mit Zonealarmfunktionen, welche zur bekanntesten Malwareschleuder im Internet weiterleiten [addresses 209.87.208.60]...ist mir neu.
GoDaddy.com, Inc hat so ziemlich viele Seiten/Server am Laufen, der Phantasie sind keine Grenzen gesetzt.

Beispiel (eines von vielen)


Zitat

yyy202.html - Look2Me - PopUps
Domains by Proxy, Inc.
Registered through: GoDaddy.com
Domain Name: HUG-EDISCOUNTS.COM
Domain servers in listed order:
NS1.ARIZONAENTERPRISESLLC.COM
NS2.ARIZONAENTERPRISESLLC.COM

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.05.2006, 12:19
...neu hier

Beiträge: 2
#12 Na gut, GoDaddy.com kenn ich nicht...;), aber ich hatte diese "Umleitung" auf diese Zone Alarm Seite auch nach ca. 5 Minuten und wusste erstmal nicht weiter... bis ich bei google zufällig herausgefunden habe, dass der VPN Client wie gesagt Teile von Zone Alarm beherbergt. Da ich diesen Clienten installiert hatte, und im Logfile ( HijackThis ) von name_th der Service "Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\VPN Client\cvpnd.exe" auftauchte, hab ich da mal was ausprobiert, wie in meinem letzten Post beschrieben... Und jetzt funktioniert es zumindest bei mir wieder einwandfrei.

MfG mITm
Dieser Beitrag wurde am 30.05.2006 um 12:24 Uhr von mITm editiert.
Seitenanfang Seitenende
12.07.2006, 15:21
...neu hier

Beiträge: 7
#13 Hallo zusammen,

so wie es aussieht habe ich exakt dasselbe Problem wie hier beschrieben:
also 5 Minuten nach einem reboot werden pötzlich alle Requests auf Port 80
auf diesenicht-existente Seite umgeleitet. Port 443 funktioniert nach wie vor einwandfrei. Sogar ein telnet www.google.at 80 wrd umgeleitet;)

Ich habe jetzt schon alles ausprobiert: Norton drüber laufen lassen, spybot, cleanup, hijackthis, cisco client entfernen, ... aber nichts funktioniert ;)

Habt ihr eventuell noch Tipps was ich probieren könnte?

THX, Chris
Seitenanfang Seitenende
12.07.2006, 17:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 crettig

arbeite das ab und poste die logs
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.07.2006, 18:12
...neu hier

Beiträge: 7
#15 So, das wären mal die Ausgaben - siehe Attachment

Chris

Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: