WinFuture-Forum.de: Fehlermeldung In Firefox 0.8 - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Internet
  • 2 Seiten +
  • 1
  • 2

Fehlermeldung In Firefox 0.8 "Verbindung zurückgesetzt"

#1 Mitglied ist offline   fossil_685 

  • Gruppe: aktive Mitglieder
  • Beiträge: 162
  • Beigetreten: 26. April 04
  • Reputation: 0

geschrieben 27. April 2004 - 20:16

Hallo :)

Mein guter Firefox will eine Seite nicht aufbauen und damit meine ich wirklich EINE Seite:

www.symantec.com

Dieser Versuch wird mit dieser Fehlermeldung abgebrochen:

"Beim Versuch, www.symantec.com zu kontaktieren, wurde die Verbindung zurückgesetzt"

An der Site scheint es nicht zu liegen, alle, die ich kenne, kommen drauf. Und ich komme ebenfalls auf jede URL, nur nicht auf diese Spezielle...hat dafür Jemand eine Erklärung?

Hoffentlich ;)

Danke, Jannick :D
0

Anzeige

#2 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2

geschrieben 27. April 2004 - 20:33

Liegt nicht an Firefox, ich komme jedenfalls problemlos auf die Seite. Irgendwas an den Einstellungen geändert, mal gerebootet, Personal Firewall am Laufen, Provider hat Probleme mit Leitung und/oder Server? Was sagen Ping und TraceRoute?
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#3 Mitglied ist offline   The_Nightflyer 

  • Gruppe: Mitglieder
  • Beiträge: 815
  • Beigetreten: 01. Januar 04
  • Reputation: 0

geschrieben 27. April 2004 - 20:34

Firefox wird schon seine Gründe haben! ;) :D :)

Ne jetzt mal im Ernst, geht es bei dir mit nem anderen Browser? IE, Opera
wenn nicht, kann es schon mal nicht am Firefox liegen!
Programmieren ist ein ständiger Wettbewerb zwischen Programmierern die versuchen größere, bessere und idiotensichere Programme zu schreiben und dem Universum, das versucht größere und dümmere Idioten zu erzeugen...
...Bisher hat das Universum gewonnen." - Autor mir unbekannt

Bad Angels - Pool Billard
0

#4 Mitglied ist offline   fossil_685 

  • Gruppe: aktive Mitglieder
  • Beiträge: 162
  • Beigetreten: 26. April 04
  • Reputation: 0

geschrieben 27. April 2004 - 21:15

@The_Nightflyer: :) Ja, wird er wohl...nein, auch der IE kommt da nicht rauf.

@Rika: Das vermute ich jetzt auch sehr: Einstellungen habe ich bewußt keine geändert, aber der Ping irritiert mich extrem: Test-Pings bringen mir Mittelwerte von knapp über 40 ms. symantec.de liegt bereits bei über 130 ms und nun kommt der Hammer, denn symantec.de pingt den lacalhost auf 127.0.0.1 an.

Kein Wunder, daß da nichts geht, aber woher kommt denn sowas? Sowohl im Firefox als auch im IE sind überhaupt keine Proxies aktiviert...

Fällt Dir dazu etwas ein? Wäre echt schön ;)

Jannick :D

P. S.: Mir kommen Viren etc. in den Sinn...aber aktueller Scanner, AdAware und SpyBot zeigen Nichts an...
0

#5 Mitglied ist offline   daarg 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.212
  • Beigetreten: 30. November 11
  • Reputation: 4

geschrieben 27. April 2004 - 21:30

@fossil: schau dir mal deine hosts-datei an; was steht den dort alles drin?

> x:\WINDOWS\system32\drivers\etc\hosts

gruss
//ch
as wolves among sheep we have wandered [bathory, dis irae]
0

#6 Mitglied ist offline   fossil_685 

  • Gruppe: aktive Mitglieder
  • Beiträge: 162
  • Beigetreten: 26. April 04
  • Reputation: 0

geschrieben 27. April 2004 - 21:45

@CaptHowdy: Das wird es sein, mir ist ums Verrecken nicht mehr eingefallen, wie die zuständige Datei hieß und wo sie zu finden war. Meine Virus-Vermutung scheint gar nicht so weit hergeholt, hier sind die Einträge, das ist wohl eindeutig:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

Kannst Du mir noch sagen, wie ich herausfinden kann, welcher Schädling dafür verantwortlich sein könnte? Wiegesagt, das AVK findet mit den aktuellen Signaturen nichts, AdAware und SpyBot ebenfalls nicht. Auch die Firewall verhält sich nicht komisch, versucht also nicht, ein Programm Online zu schicken, das mir auch nur im entferntesten suspekt vorkommt.

Aber soweit euch allen schon mal BESTEN DANK! :)

Jannick :D
0

#7 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2

geschrieben 27. April 2004 - 21:47

HijackThis herunterladen und Logfile hier posten. :D
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#8 Mitglied ist offline   fossil_685 

  • Gruppe: aktive Mitglieder
  • Beiträge: 162
  • Beigetreten: 26. April 04
  • Reputation: 0

geschrieben 27. April 2004 - 22:14

Hi Rika,

schon mal im Vorfeld Danke für Deinen Aufwand. Hier das Logfile von HijackThis, einige wenige Pfade habe ich "verallgemeinert", da das Ding dann hier öffentlich ist. Allerdings fehlt nichts:

Logfile of HijackThis v1.97.7
Scan saved at 22:58:07, on 27.04.2004
Platform: >systempfad< XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\>SYSTEMPFAD<\System32\smss.exe
C:\>SYSTEMPFAD<\system32\winlogon.exe
C:\>SYSTEMPFAD<\system32\services.exe
C:\>SYSTEMPFAD<\system32\lsass.exe
C:\>SYSTEMPFAD<\system32\svchost.exe
C:\>SYSTEMPFAD<\System32\svchost.exe
C:\>SYSTEMPFAD<\system32\spoolsv.exe
C:\Programme\>AntivirusPfad<\AVKService.exe
C:\Programme\>AntivirusPfad<\AVKWCtl.exe
C:\>SYSTEMPFAD<\System32\nvsvc32.exe
C:\>SYSTEMPFAD<\System32\svchost.exe
C:\>SYSTEMPFAD<\system32\ZoneLabs\vsmon.exe
C:\>SYSTEMPFAD<\Explorer.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\>SYSTEMPFAD<\System32\LVCOMSX.EXE
C:\>SYSTEMPFAD<\Samsung\LaserSMMgr\ssmmgr.exe
C:\>SYSTEMPFAD<\Dit.exe
C:\>SYSTEMPFAD<\DitExp.exe
C:\PROGRA~1\FIREFOX\FIREFOX.EXE
C:\>SYSTEMPFAD<\System32\msiexec.exe
C:\PROGRA~1\NORTON~1\GHOSTS~2.EXE
C:\>Pfad<\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\>SYSTEMPFAD<\PCHealth\HelpCtr\System\panels\ blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\>SYSTEMPFAD<\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\>SYSTEMPFAD<\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\>SYSTEMPFAD<\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\>SYSTEMPFAD<\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\>SYSTEMPFAD<\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\>SYSTEMPFAD<\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\>SYSTEMPFAD<\System32\sti_ci.dll,WiaCreateWizardMenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: >systempfad< Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.micros...ontent/opuc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{058968FA-6200-4CE8- B14F-F227E5FE5C6E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FEECEBC-C572-48CB- AB42-352AF2F1DEF2}: NameServer = 62.26.136.136 195.185.185.195
O17 - HKLM\System\CS1\Services\Tcpip\..\{058968FA-6200-4CE8- B14F-F227E5FE5C6E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{058968FA-6200-4CE8- B14F-F227E5FE5C6E}: NameServer = 192.168.122.252,192.168.122.253
0

#9 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2

geschrieben 27. April 2004 - 22:23

Hmm... zumindest nichts zu erkennen, was mit deinem Problem zu tun haben könnten. Ansonsten:

C:\>SYSTEMPFAD<\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\>SYSTEMPFAD<\System32\LVCOMSX.EXE

Ach ja, der Logitech-Treiber, der so schön spioniert...

C:\>SYSTEMPFAD<\Dit.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
C:\>SYSTEMPFAD<\DitExp.exe

Hast du 'nen Card-Reader, USB-Stick-Software o.ä.? Es gibt einige Malware, die sich so tarnt.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#10 Mitglied ist offline   fossil_685 

  • Gruppe: aktive Mitglieder
  • Beiträge: 162
  • Beigetreten: 26. April 04
  • Reputation: 0

geschrieben 27. April 2004 - 22:35

Sag´ mal, kannst Du Gedanken lesen? Wollte nämlich gerade noch einige Dinge dazuschreiben:

Den Logitech-Treiber habe ich mittels ZoneAlarm geblockt, der geht - na ja, wer weiß das schon - nicht Online ;)

Die Dit.exe sollte eigentlich mit meinem CardReader zusammenhängen, denn die Software hatte ich erst gestern installiert. Das Problem besteht aber schon bedeutend länger und das Systemdatum der Dit.exe zeigt: Erstellt gestern, 26.04...auch die Uhrzeit kommt hin. Darüber hinaus sieht die Dit.INI folgendermaßen aus:

; GetText
[TEXT]
1=Compact Flash
2=SmartMedia
3=MultiMedia
4=Flash Disk
5=Memory Stick
6=Drive Lbl 6
7=Drive Lbl 7
8=Drive Lbl 8
9=Drive Lbl 9
; Trayicon on/off. Default is on.
[SET]
TRAYICON=0

-----------

Mir fällt jetzt aber noch etwas ein: Vor Wochen hat mein AVK einen Download bei der Prüfung als Virus eingestuft. Ich hatte daraufhin den Zugriff auf diese Datei geblockt und sie dann gelöscht, dazu auch deren Autostart- und run-Einträge. Nach dieser Geschichte hat AVK nichts mehr gefunden. Die Datei hieß, wenn ich mich recht entsinne, "msmscfg.exe" oder so ähnlich...sagt Dir das was?

Nochmal besten Dank!

Jannick
0

#11 Mitglied ist offline   fossil_685 

  • Gruppe: aktive Mitglieder
  • Beiträge: 162
  • Beigetreten: 26. April 04
  • Reputation: 0

geschrieben 27. April 2004 - 22:42

Wurde gerade in Google fündig:

1.
msmscfg.exe and hosts file
"We have Gwava and it has done an excellent job, on 4/13/04 a user opened an email attachment that came through, and it installed a file called msmscfg.exe and it modified the hosts file to redirect all requests to the major virus vendors to the local machine. Looks like a form of Polybo or Aogobot, but none of the major virus scanners (Norton, Mcaffee, eTrust) will detect it. The machines are 2000 and XP with all the updates as of today. The msmscfg.exe runs as a process and also shuts down regedit when you try to run it. The msmscfg.exe is also droped in the registry and in the C:\ and c:\windows\system32 directories. It also disables over 2000 windows processes including all the real time virus scanners. We have reported this to Computer Associates with no answer as of yet on how to resolve this issue. You can delete the files and registry entries, and they come right back."

2.
The virus infected all of the Windows XP Pro computer and our servers and most of the Windows 2000 workstation
But all of the Windows 98 machines were not infected.

This file seems to be copied it self to the c:\ c:\windows\system and sometimes c:\windows
Once the virus is there it then copies it self to any network share it can. The funny thing is, it only seems to copy it self to network share with everyone permissions on it. The shares the have stronger permission are fine.

Problems the client see:
Cannot run/open Symantec AV, 100% CPU usage by msmscfg.exe, Regedit will not open, Computer is very slow. Some may see a 1 second error message when loggin off something about AFA user is connected?

How I removed it:
Unplugged all of the computer from the network
****Donot forget the servers
Booted up in to Safemode and login as local admin
search for the file msmscfg cvmonitor
Delete them
Ran regedit and remove any key with the value msmscfg cvmonitor
Reboot into normal mode, check task manager, for msmscfg cvmonitor
Searched one more time for msmscfg
I did this for every computer we have.
Once I was done, and I was sure that none of the computer were still infected. I plugged them back in, one at a time.
0

#12 Mitglied ist offline   Stulle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 763
  • Beigetreten: 04. Dezember 03
  • Reputation: 0

geschrieben 28. April 2004 - 05:23

Wenn Du DSL hast, könnte es sein, das der MTU wert bei Dir zu hoch eingestellt ist.

Eine Anleitung dies zu prüfen und richtig einzustellen findest Du hier:


Optimaler DSL-MTU-Wert (Windows 2000/XP)
..................................

Die Signatur ist verloren gegangen. Eingefügtes Bild
0

#13 Mitglied ist offline   The_Nightflyer 

  • Gruppe: Mitglieder
  • Beiträge: 815
  • Beigetreten: 01. Januar 04
  • Reputation: 0

geschrieben 28. April 2004 - 07:58

Zitat (Stulle: 28.04.2004, 06:23)

es sein, das der MTU wert bei Dir zu hoch eingestellt ist.

Wenn man sich seine hosts Datei ansieht, kann es nicht mehr am MTU Wert liegen! ;)

Zitat

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
.....

Programmieren ist ein ständiger Wettbewerb zwischen Programmierern die versuchen größere, bessere und idiotensichere Programme zu schreiben und dem Universum, das versucht größere und dümmere Idioten zu erzeugen...
...Bisher hat das Universum gewonnen." - Autor mir unbekannt

Bad Angels - Pool Billard
0

#14 Mitglied ist offline   fossil_685 

  • Gruppe: aktive Mitglieder
  • Beiträge: 162
  • Beigetreten: 26. April 04
  • Reputation: 0

geschrieben 28. April 2004 - 18:27

That´s right ;)

Probleme sind durch die vielen Lösungsvorschläge behoben, es war die modifizierte Hosts, verursacht durch die Datei msmscfg.exe, die den Virus einschleppte.

Danke nochmal an alle, speziell an Rika!

Jannick :angry:
0

#15 Mitglied ist offline   Imperator 

  • Gruppe: aktive Mitglieder
  • Beiträge: 736
  • Beigetreten: 17. November 03
  • Reputation: 0

geschrieben 28. April 2004 - 18:39

Kleiner Tipp von mir, dass so was nicht mehr passiert:

Mach die hosts Datei einfach schreibgeschützt.
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0