tom.com -> Virus?

#1 Hallo einmal,
ich habe gestern aufgrund einer kleinen Internetrecherche unter anderem die Website tom.com geöffnet, nach einigen Klicks wurde mein Bildschirm plötzlich ganz seltsam (lauter Streifen überlagerten das Bild, dass es unleserlich wurde), Strg+Alt+Ent ging nicht mehr, andere Klicks oder Tasten auch nicht mehr, dann habe ich einfach einen Notabsturz gemacht.

Virenscan mit Norton Anti Virus 2008 + Kaspersky Online Scaner brachte zwar nichts zum Vorschein, auch in den typischerweise befallenen Gegenden fand ich beim Durchsuchen nichts verdächtiges, auch keine neuen Starteinträge. Trotzdem kommt mir das seltsam vor. Könnte sich von euch vielleicht jemand kurz mein HijackThis Logfile durchsehen, ob da etwas verdächtiges drinnen steht?

-> http://www.happytec.at/upload_files/hijackthis/2008-03-23_09-35.log

Verwendet habe ich FF (nicht die aktuellste Version ) als sich der Bildschirm veränderte. Seltsame Prozesse die auf das Internet zugreifen habe ich bisher noch keine mit TcpView bemerkt. Nur irgendeinen Grund muss dieser "Vorfall" ja gehabt haben. Der Bildschirm ist jedenfalls nicht defekt, jetzt gerade funktioniert er einwandfrei

Über tom.com habe ich mich jedenfalls informiert, scheint ein sehr großes Unternehmen zu sein, dass andere chinesische, vorwiegend Online Firmen aufkauft. Die hatten aber schon mehrmals massive Probleme, dass ihre Server als Spamschleudern bzw. Virenschleudern verwendet wurden, sofern man den Seiten im Netz glauben darf.

Ich danke euch schon mal im Voraus für eure Hilfe ;-)


MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!

#2 Hallo
im log ist nichts zu erkennen, doch zur Sicherheit poste bitte das Log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke einmal für die rasche Antwort. Da immer mehr kleinere Probleme auftraten habe ich heute einmal mein Backup der Festplatte wieder aufgespielt. Egal welche Ursache das jetzt hatte, ich habe nicht ewig die Zeit mich mit Viren oder Windows Problemen zu ärgern, wenns mit einem Backup behoben ist

Das Programm wollte ich vor dem Wiederherstellen übrigens noch ausführen, es brach aber immer mit der Fehlermeldung "Installation fehlgeschlagen" ab. Was soll's - hauptsache es geht wieder alles

btw: Gibts eigentlich eine Möglichkeit, diese "tolle" Website irgendeinem Anti Viren Team zu senden, ob dort ein Virus vorhanden ist, der vielleicht noch nicht entdeckt ist? Würde mich mal interessieren


MfG Christian
__________
100,00 % Virenfrei, wenigstens die Nachricht!

#4 Hallo

hier kannst du schreiben:
http://www.abuse.net/

das hier steckt dahinter:

Zitat

canonical name tom.com.
aliases
addresses 202.108.12.68
Domain Whois record

Queried whois.internic.net with "dom tom.com"...

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: TOM.COM
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: http://www.melbourneit.com
Name Server: BROWN.HUTCHCITY.COM
Name Server: EDNS.WYITH.NET
Name Server: NS1.TOM.COM
Name Server: NS2.TOM.COM
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 18-oct-2006
Creation Date: 13-mar-1995
Expiration Date: 08-dec-2014

>>> Last update of whois database: Mon, 24 Mar 2008 14:31:34 UTC <<<

NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.

Queried whois.melbourneit.com with "tom.com"...

Domain Name.......... tom.com
Creation Date........ 1995-03-13
Registration Date.... 2002-03-08
Expiry Date.......... 2014-12-09
Organisation Name.... BEIJING LEITINGWANJUN NETWORK TECHNOLOGY COMPANY LIMITED
Organisation Address. C01, Yongchang Business Center, No. 3 North Yongchang Road
Organisation Address. Economic and Technological Development Area
Organisation Address. Beijing
Organisation Address. -
Organisation Address. -
Organisation Address. CHINA

Admin Name........... Director of Investigation and Development Center
Admin Address........ C01, Yongchang Business Center, No. 3 North Yongchang Road
Admin Address........ Economic and Technological Development Area
Admin Address........ Beijing
Admin Address........ -
Admin Address........ -
Admin Address........ CHINA
Admin Email.......... wanhua@tomonline-inc.com
Admin Phone.......... +86.1068730066.2599
Admin Fax............ +86.1088578978

Tech Name............ System Administrator
Tech Address......... Wyith Ltd - Labs/NOC-HK
Tech Address......... 7th Fl., No.4 Kamhong St.
Tech Address......... Hong Kong
Tech Address......... -
Tech Address......... -
Tech Address......... HONG KONG
Tech Email........... sysadmin@WYITH.NET
Tech Phone........... +852.25121808
Tech Fax............. +852.25120378
Name Server.......... NS1.TOM.COM
Name Server.......... NS2.TOM.COM
Name Server.......... EDNS.WYITH.NET
Name Server.......... BROWN.HUTCHCITY.COM



Network Whois record

Queried whois.apnic.net with "202.108.12.68"...

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 202.108.0.0 - 202.108.255.255
netname: CNCGROUP-BJ
descr: CNCGROUP Beijing province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN
admin-c: CH455-AP
tech-c: SY21-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-BJ
mnt-routes: MAINT-CNCGROUP-RR
changed: hm-changed@apnic.net 20031017
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20060124
source: APNIC

role: CNCGroup Hostmaster
e-mail: abuse@cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse@cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC

person: sun ying
address: fu xing men nei da jie 97, Xicheng District
address: Beijing 100800
country: CN
phone: +86-10-66030657
fax-no: +86-10-66078815
e-mail: suny@publicf.bta.net.cn
nic-hdl: SY21-AP
mnt-by: MAINT-CNCGROUP-BJ
changed: suny@publicf.bta.net.cn 19980824
changed: hm-changed@apnic.net 20060717
source: APNIC



DNS records

DNS query for 68.12.108.202.in-addr.arpa returned an error from the server: NameError
name class type data time to live
tom.com IN A 202.108.12.68 3600s (01:00:00)
tom.com IN MX
preference: 10
exchange: tommx.163.net
3600s (01:00:00)
tom.com IN TXT v=spf1 ip4:202.108.255.192/26 ip4:202.108.252.129/26 ip4:202.108.29.0/25 ip4:61.135.158.0/24 ip4:218.30.111.0/24 ip4:211.100.41.0/24 ip4:202.108.12.0/24 -all 3600s (01:00:00)
tom.com IN SOA
server: ns1.tom.com
email: wangyan.bj.tom.com
serial: 2008031903
refresh: 3600
retry: 3600
expire: 604800
minimum ttl: 3600
3600s (01:00:00)
tom.com IN NS ns4.tom.com 3600s (01:00:00)
tom.com IN NS ns1.tom.com 3600s (01:00:00)
tom.com IN NS ns2.tom.com 3600s (01:00:00)
tom.com IN NS ns3.tom.com 3600s (01:00:00)
Traceroute

Tracing route to tom.com [202.108.12.68]...
hop rtt rtt rtt ip address fully qualified domain name
1 1 1 1 70.84.211.97 61.d3.5446.static.theplanet.com
2 0 0 0 70.84.160.129 vl1.dsr01.dllstx5.theplanet.com
3 0 0 0 70.85.127.105 po51.dsr01.dllstx3.theplanet.com
4 0 0 0 70.87.253.13 et5-1.ibr04.dllstx3.theplanet.com
5 0 0 0 12.87.41.149

__________
MfG Sabina

rund um die PC-Sicherheit