ComputerBase Menü
Aktuelles

rxnmb.com, oder: Der Chinamann greift an

Ark'Shell

Ark'Shell

Commander
Registriert
Juni 2008
Beiträge
2.186
Entschuldigung wegen dem Titel aber das reimt sich so schön. ;)

Also ich bin hier über das Uni-Netzerk der Uni Jena am Internet angebunden. Nun hab ich das Problem das seit Freitag das Internet meistens extrem lahm ist. Und zwar so sehr das man kaum noch auf Internetseiten zugreifen kann. Die laden extrem lahmarschig und sind Teilweise komplett offline.
Seit heute ist es besonders schlimm das Internet ist immer nur für 2-3 Minuten zu erreichen dann ist Schicht - ich würde aktuell meine dicke Leitung hier gegen ein 56k Modem tauschen... Mein erster Verdacht war ein Virus oder ähnlich. Hab aber von einem sicheren Bootmedium (Knoppicilin 7 CD aus der aktuellen c't) mit Avira Antivir, Kaspaerky und Bitdefender gescannt und nichts gefunden.
Nun weiß ich aber in der Zwischenzeit das es den anderen hier nicht besser geht. Es liegt also am Netz. Heute hat der Buschfunk auch eine Erklärung geliefert, auch wenn es nur ein Gerücht ist.
So soll hier im Netzwerk ein Chinesischer Virus sein Unwesen treiben und der Uni zu schaffen machen vor allem da wohl gängige AV Software diesen nicht erkennt. Da aber die Uni bisher Champignon Taktik fährt (im dunkeln lassen und mit Schei*** füttern) weiß man nichts genaues. Auch nicht ob hier ein Virus durchdreht oder ob es ein gezielter Angriff ist. Aber er soll auch die Rechner der angeschlossenen Studenten zahlreich bevölkern. ;)

Bisher habe ich noch nichts bei mir gefunden auch keine verdächtigen Aktivitäten (ja ich weiß das muss nichts heißen) allerdings ist auf dem Rechner meiner Freundin eine auffällige Aktivität zu beobachten. Bei NoScript (Firefox add-on) wird auf so mancher Website angezeigt das Scripte von einer Domain namens "rxnmb.com" geladen werden wollen. Obwohl diese da definitiv nicht hingehören und wenn ich rauf gehe auch nicht da sind. Leider hat sie auch einmal die Scripte erlaubt ... hab aber gesagt sie soll das mal unterlassen. Virenscann brachte auch hier bei ihre leider nichts.
Das Auffällige ist nun das diese rxnmb.com keine Webseite beheimatet dafür ist diese URL mit einem Server verbunden der praktischer Weise im schönen China beheimatet ist ;) Nun wollte meine Freundin sich dann doch mal eine PF installieren (wozu sie sich bisher hat nicht bereden lassen) und da empfahl ich ihr es doch mal mit comodo zu versuchen. Der Download wurde auch gleich mal auf rxnmb.com umgeleitet obwohl er eigentlich auf comodo.com beheimatet sein sollte auch hieß die Datei einfach "setup.exe" anstatt "CIS_Setup(Versionsnummer)_XP_VISTA_x32.exe". Ein späterer Downloadversuch brachte wieder die richtige Datei zu Tage. Das macht mich natürlich mehr als stutzig. Ist sowohl bei meiner Freundin als auch bei mir so, andere Downloads werden aber nicht umgeleitet zumindest nichts was ich bisher ausprobiert habe. Außerdem wurde sowohl bei mir als auch bei meiner Freundin bei unterschiedlichen Downloads von eigentlich vertrauenswürdigen Seiten von Avira in der runterzuladenden Datei der Virus (bzw Malware) "DR/Xorer.EY" gefunden (und gelöscht). Ein mal war der Virus im Cache von Firefox. Allerdings habe ich da bisher kaum etwas interessantes zu gefunden außer ein zwei kurze Angaben die wohl in Richtung Backdoor gehen. Die Avira Seite listet ihn lediglich als Malware ohne genauere Angaben.

Ich erzähle die Geschichte hier um rum zu fragen ob Andere dieser Tage ähnliche Probleme hatten oder etwas über rxnmb.com, den dahinter steckenden Server oder "DR/Xorer.EY" wissen bzw. Erfahrung damit gemacht haben.

Frage mich auch ob es etwas mit dem aktuellen Exploit für den IE zu tun hat. Ist zwar nur geraten aber da dafür gerade einiges kursieren soll und hier dann offenbar manches im Argen liegt ist die Vermutung das es damit zu tun haben könnte nicht zu weit her geholt. In diesem Zusammenhang auch meine Frage ob ICQ immer noch für bestimmte Sachen auf IE zugreift. Früher war das mal so aber ich benutzte ICQ schon lange nicht mehr, habe aber von mehreren Leuten hier gehört das ICQ zur Zeit gerne einen Scriptfehler anzeigt.
 
Also woran diese Umleitung liegt kann man so nicht direkt sagen. Ich empfehle eine Linux-Live-CD (Knoppix oder Ähnliches) zu starten um sicherzugehen, dass diese Umleitung nicht an den PCs liegt. Wenn die PCs befallen sind, sollten sie komplett neu aufgesetzt werden.

Das langsame Surfen liegt meines Erachtens nach wohl daran, dass alle Seitenaufrufe über den chinesischen Server umgeleitet werden. Das kann daran liegen, dass vielleicht auf dem Rechner die DNS-Einstellungen auf diesen Server umleiten (bzw. irgendein Virus läuft) oder dass irgendwas im Uninetz im Argen liegt (Spoofing oder der Uni-DNS-Server ist befallen).
 
Ich vermute das auch mal. Da hier alle mit denen ich gesprochen habe das Problem haben liegt wohl was im Uninetz im argen. Das da am DNS gefummelt wurde.
Wollte aber nicht rum spekulieren mir ist klar das man ohne weiteres nicht einfach sagen kann woran es liegt, daher frage ich auch ob Andere gerade ähnliche Probleme haben oder gar etwas sachdienliches wissen.

Bei dem Test der Downloadumleitung ist das Problem das der nur kurz aktiv war (ist bisher nur ein mal aufgetreten) nach 5 Minuten wurde wieder die Originaldatei runtergeladen...
 
BerniG hat recht. einfach mit irgendnem live system, das nicht durch den exploit betroffen ist, die geschwindigkeit testen. wenn die dann auch bescheiden ist, ist wahrscheinlich das uni netz an sich betroffen.

aber zu der gerüchte sache: ich erzähl einem, dass es vielleicht ein virus ist. der erzählts dem nächsten und fügt hinzu, dass es auch am dns liegen kann. der nächste hört dann virus und dns und weiß AHH in china wird das netz zensiert. und irgendwann kommt es als chinesisches dns editierender server an, obwohl es ursprünglich nur nen virus oder ne dns fehlkonfiguration war :) stille post for the win.
 
Also ich bin mir recht sicher das es am Uninetz liegt weil ich nicht an eine spontane und parallele Massenverseuchung von dutzenden Rechnern unterschiedlicher Leute glaube. Aber auch mit einem Livesystem lief es ebend zwar stabil (läuft es Nachts aber meist auch so) aber auf niedrigem Niveau. Werd mal morgen zur Stoßzeit wenn es zeitweise gar nicht mehr geht noch mal schauen ob es mit dem Livesystem dann läuft oder auch alles tot ist.

Mir ist klar das das mit China einigermaßen spekulativ ist aber ich habe ja oben auch geschrieben das ich den Titel auch wegen dem Reim. Mal ganz davon abgesehen ist das ja nicht nur reine Spekulation der Marke "Wenns ein Virus/Angriff ist dann bestimmt aus China" sondern wie ich oben gleichfalls schrieb ist der immer wieder dazwischenfunkende Server durchaus in China beheimatet.
 
Guten Morgen miteinander,
nur zur Info, ich kann nicht schlafen und da heut sowieso die Diskussion um das Netzwerk der Uni Jena aktuell ist will ich auch mal meinen Senf dazugeben.

Also fuer alle zum Mitlesen. So stell ich mir die ganze Sache vor.
Ich hab letzten Freitag aus heiterem Himmel die Meldung bekommen das ich einen Virus DR/Xorer.EY besitze und der in meinen temp. Inetdateien liegt. Das ist einfach eine setup[1/2].exe die ich geloescht habe. Als ich mit Firefox was downloaden wollte hats bei mir ebenfalls ne setup.exe runtergeladen statt die gewuenschte Datei.

So nun gab es vielerlei Vermutungen. Durch einen Exploit im Internet Explorer war es nun moeglich fremden Code auszufuehren. Der Exploit wurde seitend Microsoft noch nicht behoben und Microsoft empfiehlt auch das Skripting auszustellen.

Dieser Exploit gepaart mit einem neuen Virus ( http://www.heise.de/newsticker/Trojaner-mit-eingebautem-DHCP-Server--/meldung/120115 ), welcher sich durch Routing selbst verbreitet, fuehrt zu einer Masseninfektion.

Sobald also einer sich diesen Virus mit dem IE geholt hat und ausfuehrt installiert sich ein Rootkit. Dann wird der infizierte Rechner zum DNS. Wenn dann normale User eine Anfrage ins Internet stellen werden sie entweder ganz normal zum DNS geleitet oder aber zu dem infizierten PC. Dieser stellt eine Weiterleitung durch den normalen DNS zu der ominoesen Website rxnmb.com her auf der sich ein Javascript befindet. Dadurch erscheint ein Popup auf der Seite was auf China schliesen laesst ^^.

Durch diese Weiterleitungen wird das Hochschulnetzwerk extrem ausgebremst wie ihr ja merkt. Das dumme ist auch das man sich diese setup.exe automatisch holt wenn man fehlgeleitet wird. Es wurden wie ich erfahren habe 2 "infizierte" PCs vom Netzwerk getrennt. Also die falschen DNS / DHCP und es waere von Vorteil wenn die User die setup.exe nicht ausfuehren! Andernfalls infizieren sie sich auch und werden ebenfalls getrennt. Antivir erkennt diesen Virus sofort und er laesst sich ganz normal loeschen.
Also einfach abwarten bis diese infizierten Rechner vom netz genommen wurden und dann sollte auch niemand mehr diese setup.exe bekommen.

Hier koennt ihr ueberpruefen ob ihr "infiziert" seid..
http://www.symantec.com/security_response/writeup.jsp?docid=2008-120318-5914-99&tabid=2
einfach die Registry Eintraege vergleichen. Wer solche Eintraege bei sich stehen hat sollte sich ueberlegen nicht lieber den Stecker zu ziehen

Ich hoffe ich konnte etwas mehr Verwirrung stiften ^^
Nein natuerlich nicht. Das ist so der Kenntnisstand. Natuerlich kann das auch falsch sein aber besser sone Erklaerung als gar keine ;)

SORRY fuer die fehlende Formatierung der Links, hab mich eben erst registriert ;)
mfg crasher.sys
 
Hmmm, hört sich ja mal interessant an. Werde mal versuchen ob die Verbindungen Tags über besser werden wenn ich die zuständigen Adressen fest eintrage statt sie vom DHCP zu beziehen. Dadurch dürften mich die falschen DHCP ja nicht mehr direkt tangieren, die Frage ist nur ob es nur ein Wettrennen der DHCP Server ist (schönes Bild bei heise ;) ) oder einfach der Traffic tags über so heftig ist und es deshalb so lahmt.

Btw. es ist nicht nur ein Popup das auf China schließen lässt (dank NoScript poppt da nix up bei mir und solche Seiten bekommen mich nur Scriptfrei zu sehen). Man muss die Adresse da nur mal auflösen und dann durch ein paar dutzend IP GEO Auflösungsseiten jagen...
Code: 
IP Address	        121.15.220.71
City	                GUANGDONG
State or Region	        ZHEJIANG
Country	                CHINA
ISP	                CHINANET GUANGDONG PROVINCE NETWORK.
 
Grüßt euch!


Ich bin auch am Uninetzwerk Jena angeschlossen und bin ein bisschen verwirrt... Also dieses China-PopUp habe ich auf meinem PC auch schon desöfteren gesehen, hab' aber kein einzigen registry-entry von dem Link, den crasher.sys gepostet hat. Bin ich jetzt aktiv betroffen oder passiv?

Avira AntiVir hat bei DR/Xorer.EY auch schon mal angeschlagen, hab' dann aber gleich auf löschen geklickt. Und diesen Scripteintrag mit der Umleitung auf rxnmb.com habe ich auch ab und zu mal in meinem Quelltext zufälliger Seiten stehen. Ich weiß jetzt nicht, ob ich betroffen bin und dafür sorgen muss, dass der Virus von meinem Rechner runterkommt oder ob ich einfach nur abwarten soll, bis das Uni-Netzwerk wieder bereinigt ist?

Ich hatte eigentlich seit Ewigkeiten keinen Virus mehr und finde es komisch, dass jetzt hier alle betroffen sein sollen :eek: Die ganze Sache ist einfach nur nervig und absolut ärgerlich. Im Internet rumsurfen ist sogut wie überhaupt nicht mehr möglich und wie Ark'Shell schon sagte wünscht ich mir manchmal, mit einem 56k-Modem verbunden zu sein.


LG rob, hoffe auf Antwort :)
 
Zuletzt bearbeitet:
Also wenn ichs richtig verstanden hab bist de nich infiziert, solange in der registry nix steht scheint alles " gut " zu sein ....... :)
 
Die erste Gegenmaßnahme wäre wohl, nicht mehr DHCP zu verwenden, sondern eben statische IPs mit statischem DNS-Server zu verwenden. Das hilft zwar nicht 100%ig (der Virus könnte die IP des wahren DNS-Servers/Gateways spoofen), in dem Fall sollte es aber reichen. Das Rechenzentrum sieht das zwar wohl nicht gerne, in dem Fall sollte es aber legitim sein. Abgesehen davon müsste das Rechenzentrum das Netzwerk mal genau beobachten und infizierte Anschlüsse rigoros sperren.
 
Hallo,

also ich bin grad mit ner Knoppicilin online und alles läuft wunderbar. Werd jetzt mal das Windows neu aufsetzen und schauen wies da läuft. Bei mir kam gestern dieses komische chinesische Fenster und ne Virenmeldung vom Kaspersky. Da ich eh mal wieder neu installieren wollte, ist das die ideale Gelegenheit. Werde dann berichten.

Grüße aus Jena nach Jena
 
Ja genau das habe ich gemacht. Läuft jetzt etwas flüssiger und es wurde auch nicht mehr versucht auf eine andere Seite umzuleiten.

Man ist dadurch betroffen das die Viren befallenen Rechner versuchen sich als DHCP Server auszugeben und damit versuchen deine Aufrufe auf andere Adressen zu lenken. Dadurch wird es sau lahm zum einen durch die vielen Anfragen zum anderen durch die Aufrufe die umgeleitet werden. Nur weil es langsam läuft heißt es nicht das man selbst einen Virus hat, aber ein Scan (von einem garantiert nicht kompromittiertem Medium wie einer Boot-CD) würde ich trotzdem jedem ans Herz legen. Schließlich müssen ja ein paar Leute hier den Virus haben ... auch wenn es ziemlich viele Kandidaten gibt (inkl. der ganzen Studis die angeschlossen sind, Büro- und Laborrechner sowie Rechenpools ... ff an die Admins hier :D)

Also am Besten vorerst IP, DNS + co direkt eintragen und den DHCP erstmal DHCP sein lassen bis hier alle Virenschleudern auf im Schongang laufen.

Gruß an alle Jenaer und verlauft euch nicht im Nebel. :D
 
Zuletzt bearbeitet:
Ark'Shell schrieb:
Also am Besten vorerst IP, DNS + co direkt eintragen und den DHCP erstmal DHCP sein lassen bis hier alle Virenschleudern auf im Schongang laufen.
Zum Vergrößern anklicken....



Sorry, kenn mich mit PCs nicht soooo gut aus. Könntest du mir kurz erläutern, wie ich das anstelle?


Desweiteren habe ich jetzt mit Avira Antivir und Windows Defender mal alles gründlich durchscannen lassen und nichts gefunden. Ich bin guter Dinge, dass ich nicht betroffen bin :)



LG rob
 
Ja es lief so schön heute Vormittag und nu is alles wieder beim alten :((

Najut, Avira ist schon ganz schick aber es wäre besser noch ein mal mit einem sicheren System scannen. Das ist besser da sich Viren und ähnliches sonst zu gut im System "verstecken" können. Dazu eigenet sich z.B. die Knoppicilin CD von heise/c't http://www.heise.de/software/download/knoppicillin_download_edition/37894 die auf ein Knoppix mit Antivir setzt. (einfach image laden und auf CD brennen) Gibt es auch gerade in der aktuellen c't wieder, da ist dann sogar noch zusätzlich Bit Defender und Kaspersky mit drauf (inkl. 1 Jahr Lizenz wenn ich mich nicht irre).

Die Daten gibst Du bei Vista wie folgt ein (da Du den Windows Defender erwähntest vermute ich mal Du hast Vista):
Systemsteuerung starten -> Netzwerk und Internet -> dann unter "Netzwerk- und Freigabecenter" auf "Netzwerkstatus und Aufgaben" dann links "Netzwerkverbindungen verwalten"
Hier sollte ein neues Fenster aufpoppen dort siehst Du alle Deine Netzwerkfähigen Geräte. Heißen Lan-Verbindung (ggf. nummeriert) da nun die raussuchen die angeschlossen ist (wenn nur ein Gerät da ist, dann ist die Trefferwahrscheinlichkeit um die 100 %).
Darauf nun rechts klicken und auf "Status" denn als erstes brauchst Du die Daten. Im nächsten Fenster auf "Details" klicken. Es ploppt ein Fenster mit allerlei Anzeigen auf. Hier brauchst Du: "IPv4 IP-Adresse" die ist Individuell nur für Deinen Rechner und die musst Du dort ablesen. Desweiteren brauchst Du das IPv4 Standardgateway, und DNS-Server (zwei Stück).
Nun ist das Problem das ein falscher DHCP Server hier die falschen Daten an Deinen Rechner übermittelt haben könnte. Deine IP sollte aber richtig sein (141.35.xxx.xxx) denn sonst hast Du sowieso kein Internet ;)
Das Standardgateway sollte 141.35.184.1 sein und die DNS 141.35.1.16 / 141.35.1.80. Auf jeden Fall diese Werte nehmen auch wenn bei Dir etwas anderes steht.
Nun das Anzeigefenster schließen und im vorherigen Fenster unten rechts auf Eigenschaften klicken. Dann sollte eine kleine Warnung kommen (weiterklicken) und dann ein weiteres Fenster. Hier nun "Internetprotokoll Version 4 (TCP/IPv4)" markieren und auf Eigenschaften klicken. Im nächsten Fenster nun statt "IP Adresse automatisch beziehen" und "DNS Server automatisch beziehen" auf folgende Adressen verwenden klicken:

IP-Adresse: die IP die du eben notiert hast
Subnetzmaske: 255.255.248.0
Standardgateway: 141.35.184.1
DNS-Server: 141.35.1.16 - 141.35.1.80

Bei XP sollten per Rechtsklick auf Netzwerk -> Eigenschaften die Netzwerkverbindungen aufploppen und dann so weiter wie bei Vista auch.

Dann OK, schließen usw drücken und es sollte funktionieren. Internet fällt trotzdem immer wieder aus, aber die Umleitung der Zugriffe sollte ausbleiben. Es ist aber nicht zu 100% Sicher da es theoretisch möglich wäre das auch jemand den DNS Server der UNI kompromittiert hat. Aber bisher habe ich eigentlich keine Anzeichen dafür.
 
Zuletzt bearbeitet:
Ark'Shell schrieb:
Es ist aber nicht zu 100% Sicher da es theoretisch möglich wäre das auch jemand den DNS Server der UNI kompromittiert hat. Aber bisher habe ich eigentlich keine Anzeichen dafür.
Zum Vergrößern anklicken....
Der DNS-Server der Uni muss gar nicht kompromittiert sein (ist wohl auch unwahrscheinlich, da das Rechenzentrum die in der Regel gut überwachen wird und es kaum ne Windows-Kiste sein wird). Wenn dein PC mit dem DNS-Server kommunizieren will, so wird erst über ARP die MAC-Adresse zu dieser IP bestimmt (dein PC cached dieses Mapping dann einige Minuten). Wenn nun der Virus entweder MAC-Spoofing oder ARP-Spoofing betreibt, so geht der Traffic möglicherweise weiterhin über den befallenen Rechner und nicht über den korrekten DNS-Server. Am Sichersten wäre es, wenn du irgendwohin (also in ein "sicheres Netz" und nicht wieder an die Uni) ein VPN aufbauen könntest und dann darüber ins Internet gehst.
 
hmm, hab jetz auch ma auf statische ip umgestellt, muss aba sagen das ich ne wirklich nen unterschied merke, hat das bei wem anders bessa geklappt`?
 
Hallo,

ich wohne auch in 'nem Wohnheim in Jena und habe ebenfalls über die Uni nen Anschluss zum Internet. Die Probleme die ihr beschreibt haben bei mir nur den Anfang gebildet. Die Pop-Ups sind bei mir am Sonntag das erste Mal aufgetaucht. Ebenso das Problem mit der Bandbreite. Dabei blieb es dann aber nicht. Die Auslastung des Systems ist irgendwann grundlos angestiegen. Nach mehreren Neustarts gab es dann irgendwann das Problem, dass die Taskleiste irgendwann nicht mehr mitgeladen wurde. Manuelles starten des Explorer-Prozesses hat das Problem nicht behoben.
Als Folge dessen habe ich mein System neu aufgesetzt und dachte auch, dass damit das Problem behoben sei. Leider war dem nicht so. Direkt nach der Neuinstallation des Systems war der Virus weiterhin vorhanden. Hat sich dann in der Bandbreiten-Begrenzung und den nervigen China-Popups geäußert. Internetseiten jeglicher Art sind auf dem System quasi nicht ausführbar. Das drängendste Problem besteht jedoch darin, dass der Virus die Installation von Antivirusprogrammen jeglicher Art verhindert. Dazu kommt noch, dass ich nichtmal die Ordner im Explorer öffnen kann, weil dieser dann direkt abstürzt.

Mir ist nicht erklärbar, wie der Virus auf einem komplett neu aufgesetzten System noch vorhanden sein kann. Mit den Fachtermini die ihr hier bringt kann ich nur eingeschränkt was anfangen. Falls jemand dazu 'ne Idee hat, wie ich das Ding endgültig runterkriege, damit mein PC wieder einwandfrei läuft, wäre ich euch dankbar.
 
Ist natürlich richtig, das der DNS wahrscheinlich nicht betroffen ist. Das angesprochene Spoofing wäre da schon eher ein Problem.

@ Kascho1: Das feste Eintragen der IP wird auch die Geschwindigkeitsprobleme nicht beheben. Das Einstellen soll einfach verhindern das sich Viren per DHCP in Deine Verbindungen einmischen. Wobei die von BerniG angesprochene Spoofing Problematik bleibt. Es ist halt keine Lösung, aber es klammert einen Teil der Angriffsmöglichkeiten aus.
Die Geschwindigkeits- / Verbindungsprobleme werden einfach von zu viel Traffic verursacht. Durch extrem viele Anfragen gehen einfach die Zugriffszeiten baden ist ein bisschen wie bei einem DOS Angriff, nur das es vermutlich nicht als solcher geplant ist. Daher ist es manchmal gut, manchmal lahm und manchmal ganz down.

@ Belegurth: Die Popups sind eine Nebenwirkung des Virus (laut Smantec Beschreibung). Ein Virenprogramm zu installieren wird das akute Problem nicht wirklich beheben. Was Du brauchst ist die ein sauberes System von dem aus Dein Rechner gescannt werden kann. Am besten eine Live-CD mir Virenscanner. Frag am Besten einen Freund ob er Dir so etwas runterladen und brennen kann. Hab oben einen Link zu einer frei runterladbaren Version der Knoppicillin CD der c't. Gibt aber auch Alternativen. Damit kannst Du versuchen das System sauber zu bekommen, aber evtl. hilt es nur komplett zu formatieren und alles Platt zu walzen. Am Besten mal jemanden Fragen der sich mit so etwas auskennt. Der Xorer wird wohl ganz gut erkannt aber er dient, laut einigen Beschreibungen, auch dazu Hintertüren zu öffnen und ggf weitere Sachen nachzuladen. Außerdem bietet es sich an dann im neu aufgesetzten System vorerst auf IE zu verzichten. Weiß zwar nicht ob die Viren diese ausnutzen aber sicher ist sicher.
 
Zuletzt bearbeitet:
soooo, ich hab dann ma (höchstwahrscheinlich) die lösung, ich sag glei ma das es ne von mir is , sondern von crasher.sys ;)

zitat:

start -> ausfuehren -> cmd
dann folgendes eingeben
arp -s 141.35.184.1 00-06-52-4C-DA-0A
arp -a
hinter der ip 184.1 muesste jetzt statisch stehen


Wenn dein Rechner den Standard-Gateway rufen will (die IP-Adresse hat er vom DHCP-Server) guckt er nach, ob er die MAC-Adresse hat. Wenn nicht fragt er in die Runde "Welche MAC-Adresse hört auf 141.35.184.1?" und fügt es seiner Tabelle hinzu. Der Trojaner antwortet jetzt auch auf die Anfrage und versorgt deinen Rechner mit Fehlinformationen, er sei diese IP. Daraufhin wird dein Rechner immer, wenn er diese IP ansprechen will, die falsche MAC-Adresse anrufen.
Legst du die Zuordnung statisch fest, so bleibt der Eintrag ewig bestehen und du bist vor diesen Angriffen sicher. Bis der Router wirklich mal die MAC-Adresse ändert, dann sitzt du im Dunkeln, aber das sollte seltener passieren

/zitat :))

Also das is jetze nich die Lösung für das virusproblem an sich, aber jedem einzelnen sollte es helfen , bei mir funzt es bis jetz :)
 
Jena united hier.

Der Trick @ Kascho funktioniert bei Vista (und damit auch bei mir) anscheinend nicht. Ich bekomme eine Fehlermeldung nach dem ersten command und die IP-Adresse bleibt dynamisch.

Das von Ark´Shell hört sich aber Vistakonform an, werd ich mal ausprobieren wenn mehr Zeit ist.

Achja eins noch, mal so generell:

Ich bin ab Freitag hier sowieso weg, wie die meisten wahrscheinlich. Kann man dem Virus vom Rechenzentrum überhaupt zentral beikommen irgendwann?! Ich sehs schon vor mir, dass ich hier mit lahmen Internet ins neue Jahr starte. Ich meine wenn die "Lösung" darauf hinausläuft, das die Betroffenen ihr System neu aufsetzen müssen, dann kann man es doch gleich vergessen. Ich will nicht wissen wieviele hier schon betroffen sind im Netzwerk, wieviele davon nichts wissen und wieviele auch nichts machen werden.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Captain Mumpitz
CSGO - FPS Cap per Wattman greift nicht
Antworten
5
Aufrufe
1.073
Captain Mumpitz
Captain Mumpitz
S
Powershell startet automatisch & greift auf div. Dateien zu
Antworten
14
Aufrufe
6.980
Serjo
S
Quidoff
[Fritzbox] IPv6 Freigabe für Cubieboard (Ubuntu 16.04) greift nicht
Antworten
1
Aufrufe
1.366
heubergen
H
Boogeyman
Leserartikel Windows Rechner sicher einrichten und wichtige Verhaltensregeln
2 3 4
Antworten
69
Aufrufe
159.209
Boogeyman
Boogeyman
marcOcram
Reallocated Sector Count bei 2047 - greift Garantie?
Antworten
1
Aufrufe
1.410
Simpson474
Simpson474
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz