Hallo, folgende Frage: Ich habe vorhin versucht die Seite meiner Krankenkasse (DAK: w*w.dakexclusiv.de aufzurufen. Daraufhin wurde versucht die Server nthost.ru und alkras.ru laut Statuszeile im Firefox 3.6 zu kontaktieren, die Seite baute sich jedoch nicht auf (Statuszeile: ...wartend). Nach Klick auf den Wiederholungsbutton wird die Seite problemlos von dak.de geladen, russische Server tauchen da nicht mehr auf. Nach Schließen des Browsers, erneutem Start und erneutem Aufrufen der Seite wird wiederum versucht die russischen Server zu kontaktieren. Nach Wiederholung wird jedoch die Seite von dak.de vollständig geladen. Nun traue ich mich gar nicht, mich auf der Seite einzuloggen, weil ich befürchte, das das Ding irgendwie manipuliert wird. Nach einer Weile, nach erneutem Probieren baut sich die Seite jetzt sofort auf - wenn ich jedoch die Statuszeile im Firefox verfolge, so taucht zwischen den dak.de-Servern wiederum ein russischer Name, wahrscheinlich alkras.ru auf. Versucht da jemand die Seite umzuleiten / zu manipulieren?? Oder habe ich mir ein Virus / Trojaner eingefangen??? Ich habe schon die Cookies kontrolliert, aber nichts gefunden. Auch ein Virenscan mit Antivir brachte keinen Erfolg. Kann mir jemand einen Tipp geben?? Kann ich irgendwie verfolgen von welchen Servern die Inhalte einer Seite geladen werden?? Oder überhaupt mit einem Tool den Internetverkehr verfolgen / protokollieren?

Vielen Dank.

BS: Vista Home Basic, Firefox 3.6.

Also mein Kaspersky hat einen Netzwerkmonitor...mit dem Programm TCPView sollte sowas auch gehen.

Windows hat auch eine Funktion drin, mit der man den Verkehr kontrollieren kann:

START > Ausführen > CMD > Und in der DOS Oberfläche mal NETSTAT eingeben...da stehen jetzt die IP Adressen, die Angewählt werden...

Ich glaube mal fest, das du einen DNS Changer drauf hast und du solltest hier bestimmt hilfe finden...warte mal auf die Profis...die bekommen das bestimmt in den Griff!

Und zwischenzeitlich sich nicht mit Passwörtern auf Seiten einloggen...

Hallo, vielen Dank BIOTEC. Habe gerade noch mal erneut probiert. Beim ersten Laden taucht immer alkras.ru sowie eine Ziffernfolge zwischen den DAK-Servern auf. Merkwürdig.

Habe mal in die hosts-Datei geguckt. Da steht neben den Examples nur

127.0.0.1 localhost
::1 localhost

.

Kann mir jemand noch etwas weiter helfen??

Vielen Dank.

Hi,

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Hallo, vielen Dank, Chris. Ich werde das während der nächsten Tage mal machen.

Danke erstmal.

Hi,

poste dann die Logs...

chris