technox
Goto Top

Einzelne Clients haben bei dem Aufruf einer www Seite Probleme

Seite läd sich endlos - IE8 hängt sich dabei auf.

Tach,

ich schließe nicht aus das sich eine Malware da als Ursache herausstellt. Allerdings hat weder mein Mcafee noch Spybot, noch Adware, noch Hijackthis etwas gebracht.

Das Problem ist Benutzerprofil abhängig. Und ich konnte es teilweise einkreisen.
Wir haben Raoming Profiles im Einsatz.

Die User gehen bei einem Kunde per Secure ID auf deren Seite. Dort Browsen sie zu einer Stelle an der sie auf dortige Daten Zugriff nehmen müssen.
Doch die Seite läd sich nicht vollständig - sie bleibt bei 99% hängen & bekommt einen Befehl zum permanenten RE-LOAD (man hört den Refresh Klick wie
n Technobeat abgehen.. 180 Beats per minute mindesten ;-D )
Dabei Hängt sich der IE8 gänzlich auf. Man muss den Task abschießen.

Nun - lösche ich das Profil aufm Server, und auf dem Client. Wird das Profil ja von grund auf neu angelegt. Und da funktioniert der IE8 dann wieder absolut ohne
Murren. Selber User.. selber PC.. aber eben Neues Profil. Nun haben die Nutzer aber dummerweise ziemlichen Daten Content in ihrem Profil.
Darum is eine exakte bestimmung der Quelle schwer möglich. Was aich aber sagen kann ist - nach der Datenübernahme dauert es nicht lange & das Problem besteht
erneut.

Inzwischen sind 3 User davon betroffen. Das einzige was mir kürzlich auffiel war die Tatsache das die Favoriten einen Schuß weg haben. Es lässt sich aber auch nicht genau sagen ob es nun Favoriten sind die die Leute brauchen oder nicht. (Teilweise über 180 Links in X Ornern..).
Doch nun zu der Art und weise wie sich der "Schuss" äußert:

Es existieren Favoriten folgender Benahmung:

Aktuelles
Bloomberg
Capitol Records
CBS
CNET Dow Johnes Busines Video
Cnet Today - Technology News
CNN Videoselect
Disney
...
sogar Warner Bros. hip Clips

Es sind noch weit mehr, an sich nix auffälliges wenn man die Namen liest. Doch sind die Links dahinter alles andere
als gewöhnlich:

http://www.microsoft.com/isapi/redir.dll?prd=Windows&sbp=MediaPlaye ...
http://www.microsoft.com/isapi/redir.dll?prd=Windows&sbp=MediaPlaye ...
usw..

Ich tippe das es sich dabei um Reste einer Malware handelt. Da die Links bei allen betroffenen User gleich oder ähnlich heißen.

Aber ich finde deren Ursprung nicht. Sind die Links der Ursprung? Oder nur das Symtom?
Kennt wer das Problem? Hatte auch schon einen Link der Deutschen Bahn AG mit dieser Zeile gefunden. War aber bisher einmalig.
Dies ist aber auch der einzigeste Anhaltspunkt den ich habe. Ich habe an einem betroffenen Arbeitsplatz sogar dem PC ausgetauscht.
Das Problem wanderte mit. Warscheinlich weil die Datenübername den Schädling mit zieht.
Ansonsten - bis auf diese eine wichtige und absolut Notwendige Seite - verhällt sich der PC absolut normal und unauffällig.
Keine besonderen Prozesse die auffallen. Kein besonderer oder auffälliger Traffic auf den Ports der Kisten, nix das auch nur im
Ansatz einen Angriffspunkt für recherchen darstellt. Keine Autorun einträge, auch keine popups oder all sowas..

Ich kann aber auch nicht alle Daten der Profile einfach löschen. Gibt es einen bekannten Wurm, oder Trojaner oder was das diese
Symtome aufweist die ich beschreibe?

Platt machen hilft nix ohne den Ursprung zu finden. Habs versucht.

Content-Key: 163571

Url: https://administrator.de/contentid/163571

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: L4SCHI
L4SCHI 29.03.2011 um 15:44:26 Uhr
Goto Top
Hallo TechnoX,

ich hab ähnliches Problem gehabt.

Lass doch mal zur Sicherheit den Kidokiller auf nem betroffenen Client durchlaufen.

Der Conficker-Wurm ist echt lästig.


Unter:
Für Heim-Anwender (lokale Entfernung)
einfach die kk.zip runterladen, entpacken und ausführen.
Der Rest ist selbsterklärend.


Ich hoffe für dich, dass du davon nicht betroffen bist.
Bitte post dein Ergebnis. Mich interessiert es brennend, ob das Ding mal wieder herumkreucht.

Gruß
L4SCHI
Mitglied: TechnoX
TechnoX 29.03.2011 um 15:59:38 Uhr
Goto Top
Merci ich werds bald möglich ausprobieren und das Ergebniss posten
Mitglied: TechnoX
TechnoX 30.03.2011 um 14:29:15 Uhr
Goto Top
Also die bisher getesten PC haben keinen Fund angezeigt. Ich bin mir auch beinahe sicher das es passiv abläuft.
Die Infektion selbst könnte von von anno dazumal stammen. Und dort gestreut worden sein. (sin erst von 2003 auf 2008 migriert).
Und sich über alte Roaming Reste auf anderen PCs wieder hoch ziehen. Is aber auch nur ne Vermutung..

Auffällig ist, das viele User diese Favoriteneintträge besitzen. Doch nur bei 3en führt es zu diesem benannten Problem mit dem dauertklick load.
Da die Verknüpfungen nicht gebraucht werden - und keiner sie benutzt werde ich sie mal provisorisch in ner Nacht und Nebel aktion Löschen.
Tauchen sie mit der Problematik dann immer noch auf bin ich ratlos.
Doch ebenso gibt es User die NICHT diese Einträge aufweisen - und da klappt alles Prima. Die Profile sind aber durchweg neuern Ursprungs.

Ohne den Eigentlichen Ursprung zu wissen - stehen knapp 250 mögliche PCs als Ursprung zur Auswahl..
und Mcafee Client fro EPO erkennt es nicht als Bedrohung. Sollte ich das Problem klarer nachweisen können poste ich meine Ergebnisse.
Mitglied: L4SCHI
L4SCHI 30.03.2011 um 14:49:16 Uhr
Goto Top
Vergiss die Verbreitung über USB-Sticks nicht face-smile

Das war bei uns der Fall.

Gruß
L4SCHI
Mitglied: TechnoX
TechnoX 30.03.2011 um 17:27:03 Uhr
Goto Top
So ich bin wieder ein Stückchen schlauer. Hab auch mal Malwarebytes drüber laufen lassen ohne Erfolg.

AAAAABER:

Bei dem ersten anlegen des Profils bekommt der IE ja eine Statusseite. Diese ist eingestellt auf MSN.
Daran is im ersten Moment nichts ungewöhnliches - darum viel es mir bis jetzt nicht auf.

DOCH halt - die Seite läd beim Erststart!!! des Browsers im Hintergund VOLL durch. Während man in der Sicherheits
Abfrage des IE Erststarts hängen bleibt. Und erstmal den Phishingfilter & Standardeinstellungen einstellen darf.
Diese Seite habe ich diesmal noch bevor die Seite zu Ende laden konnte abgebrochen. Und siehe da - es läuft!
Mal schauen ob es morgen auch noch läuft..

Der IE Start kommt mir verdammt modifiziert vor..
Ist dieses Verhalten Typisch für den Conficker? Hab da keine Erfahrung mit.. bisher.
Mitglied: L4SCHI
L4SCHI 30.03.2011 um 17:32:48 Uhr
Goto Top
Conficker ist spezialisiert den zugriff auf z.B. microsoft, kaspersky, antivir usw. zu canceln
Mitglied: TechnoX
TechnoX 31.03.2011 um 08:16:59 Uhr
Goto Top
Na dann kann ich mit großer Warscheinlichkeit sagen, das es kein Konficker is - denn ich komme auf diese Seiten. Sowohl Avira, Microsoft update, und co.
Der Fehler tritt beim Laden einer Https Webverbindung auf.

Diese öffnet bei einem Klick auf ein Hyperlink ein Browserfenster und dieses sollte dann weiteren Zugriff auf verschiedene Daten enthalten. Ein Inhalt der vermutlich - entweder mit Java oder Flash vermischt ist. Wenn die Seite sich korrekt läd habe ich eine Funktionierende Leiste mit Links oben in der Page. Diese klappen Auswahlmenüs nach unten auf. Darum auch meine Vermutung auf Malware..

Das Problem ist - bis auf das Hintergrundbild und einige Tables wird nix geladen. Und Bang, läd diese Seite sich bis zum jüngsten Tage.

klick klick klick klick klick klick....
(Stop bei 99/100% & dann reload)

Wäre es nicht extrem notwendig das die User sich da anmelden & Zugriff haben - wäre es nicht so drastisch. Doch die User brauchen den Zugriff auf
die dort liegenden Spezifikationen, Vorlagen und co. Ohne die müssen sie ständig an einen anderen Arbeitsplatz oder jamand bitten da kurz nach zu schlagen.
Mitglied: TechnoX
TechnoX 31.03.2011 um 08:48:34 Uhr
Goto Top
Nachtrag - gerstern Abend das Profil mehrfach getestet: Lief nach der letzten Neuanlage.
Heute Morgen setzt sich der User an sein platz und will die Seite aufrufen... -> klick klick klick klick klick klick....

Ich werd noch irre. Bin an der Grenze meines Könnens angelangt. Was kann man denn noch machen?
Ich verstehs nich.
Mitglied: L4SCHI
L4SCHI 31.03.2011 um 09:01:48 Uhr
Goto Top
Guten morgen,

Probiers doch vielleicht noch mim Firefox.

Oder hast des schon probiert?

Gruß
L4SCHI
Mitglied: TechnoX
TechnoX 31.03.2011 um 09:14:25 Uhr
Goto Top
Tolle Lösung...
..da es nich 1 sondern 3 (mir bekannte) Personen sind die Betroffen sind - lässt sich das so nicht bewerkstelligen.

Der Grund is nicht gefunden - sprich:

"Kaptain uns steht da Wasser bis zum Hals was solln wir tun?"
Kaptain: "Schaut nich hin & alles is gut"

Das kann ich nicht verantworten. Ich habe langsam das Gefühl ich suche vollkommen am falschen Platz.
Mitglied: L4SCHI
L4SCHI 31.03.2011 um 09:21:25 Uhr
Goto Top
Ich würde es an einem Client ausprobieren. Dann siehst du was sich dahinter verbirgt.
Ich könnte mir vorstellen, dass irgendein ie regkey Schaden genommen hat.

Da ich leider nicht weiß welche Keys man da genau suchen muss bevorzuge ich die Methode:

liegts am Browser oder am Windows.

Versuch wärs Wert
Mitglied: TechnoX
TechnoX 31.03.2011 um 09:49:44 Uhr
Goto Top
Du vergisst das ich den PC schonmal wegen dem Problem getauscht habe...

Werd trotzdem den PC nochmal tauschen. Dann werd ich vollkommen Clean da Profil durchdrücken ohne Datenübernahme.
Dann soll der User das Passwort austauschen. Und wenn der User WIRKLICH Daten von dem alten Profil benötigt soll er sie von
CD einzeln laden damit ich nen Überblick bekomme ab wann das Problem auftritt.

Langsam nervt mich das total - ich tu und mach und meine Abende gehen drauf und morgends is es fürn Arsch. So macht Arbeiten einfach
keinen Spass.
Mitglied: L4SCHI
L4SCHI 31.03.2011 um 10:00:56 Uhr
Goto Top

Langsam nervt mich das total - ich tu und mach und meine Abende gehen drauf und morgends is es fürn Arsch. So macht Arbeiten
einfach
keinen Spass.


Du strahlst zuviel negativen Einfluss auf deine EDV face-smile

Was bedeutet denn für dich Profil durchdrücken?
Werden da die Favoriten mit übertragen?
Du kannst ja, wenn der Rechner clean ist, die IE-Daten von einem User importieren, bei dem es geht.
Mitglied: TechnoX
TechnoX 31.03.2011 um 11:03:25 Uhr
Goto Top
Profil durch drücken damit is volgende Aktion gemeint:

1) Benenne Profil Ordner auf Server um
2) Benenne Profil ordner auf Client um - versichere dich das keine Profil Reste in der Registry vorhanden sind / Profile
3) Melde user am Client an & ab.

Dadurch wird das Basis Profil geladen und die Registry und alles neu gezogen.
Es klappt danach wieder - aber eben nicht lange.

Ich richte die Drucker ein, Stelle die userspezifischen Deskop & Profil Daten wieder her - bis dahin alles super. Habs getestet.
Richte unser CTI ein (telefonsoftware), alles nix besonderes. Alles ohne Auswirkung.
Ich stelle die Sicherheitseinstellung um - da ich sonst kein Zugriff bekomme - und schalte den Zugriff auf dateien über Domänen Grenzen
hinweg ein. Subframes zwischen Domänen = ein & Automatische aufforderung zur Bestätigung eines Dateidownload ein.
Die Optionen sind notwwendig da sonst die PDFs und XLS Dateien nicht korrekt angezeigt und Gedownloadet werden können.
Ich teste die Seite - die Seite geht. Auch nach mehrmaligem Ab & Anmelden / und neustart. (msn Startseite)

Ich öffne Outlook - das Profil zieht sich auf den Client. Gleicht ab und gut is. Die Seite geht..

Ich überprüfe nochmals die Funktionalitäten - es laufen alle Programme wie gewollt unter dem User.
Melde den User ab - geh in Feierabend & wenn ich Morgends wieder da bin & den User Frage ob er drauf kommt.
-> NEIN...

Ich begreifs nicht. Der User hat weder irgendwelche besonderen Einträge in der Registry, autostart, Current version Run, noch irgendwelche
Auffälligkeiten durch Scanns. Weder durch McAffee, noch durch Avira, noch durch Malwarebytes oder Spigot Search & Destroy. Es ist nichts auffälliges
(verglichen mit einem PC selben Typs an dem es Läuft) mit Hijack This zu erkennen. Alle aktuellen Microsoft Updates sind installiert. Java, Flash sind aktuell.
Der Internet Explorer ist der IE8. Den Inhalt der Tempordner habe ich schon zu beginn gelöscht - es befinden sich keine Relevanten Daten darin.
Es laufen keine Ungewöhnlichen Prozesse - die hätte ich mit procexp.exe gesehen. Mit TCP View sind auch keine ungewöhnlichen Connetions geöffnet - alles absolut unauffällig.
Die Userrechte habe ich auch schon überprüft - mit gpedit am Client - die sind ebenfalls korrekt.

Habe sogar die automatische Wiederherstellung Deaktiviert - im abgesicherten Modus alle Scans und co erneut ausgefüht. Ohne Erfolg. Hab mich vergewissert das auch hier alle Registry einträge und Autostarts noch so sind wie sie sein sollen.

Ich habe den IE8 deinstalliert & neu installiert - ohne Erfolg. Das Problem blieb bestehen. Ich habe sogar den PC gewechselt - und das ganze Problem
wanderte mit. Als anderer User am selben Client - habe ich Zugriff auf die Seite.
Als betroffener User aber - geht es nach der Profil Neuanlage nur bis sich der User Morgerns anmeldet.

Ich stehe kurz davor Weihwasser, Knoblauch & Kreuze zu besorgen. Die gesammte Siutuation is echt bescheuert.
Mitglied: L4SCHI
L4SCHI 31.03.2011 um 11:10:16 Uhr
Goto Top
Boar dann weiß ichs leider aber auch nicht.

Was passiert mit den Benutzerprofilen über Nacht? Werden die gesichert?
Ist ein fehlerhaftes Update durchgelaufen?

Bin grad auch ratlos.
Mitglied: TechnoX
TechnoX 31.03.2011 um 11:39:40 Uhr
Goto Top
Die Profile werden über Nacht Inkrementell / Vollständig auf dem Server gesichert (am WE vollständig). Die Sicherung läuft ohne Probleme.
Der Server ist Brand neu (NOV/Dez 2010) und ist ein Windows 2008 Server Standard 64 Bit.

Die Übernahme von 2003 auf 2008 hatte keine Auswirkung auf die Problematik. Es trat davor auf & tut es noch.
Das Roaming funktioniert auch ohne Probleme und Loggs im Severprotokoll.
Es ist auch auf dem Sever keine Auffälligkeit zu finden.

Wir haben auch einen neuen Exchangeserver - Jan2010, der hat zwar noch einige Kinderkrankheiten läuft aber ansonsten Problemlos.

Ich habe allerdings bei manchen Clients (ob dieser betroffen war kann ich mich nicht erininnern) Probleme bei der Installation der NetFramework
Updates gehabt. Allerdings habe ich provisorisch auch das Net Framework schon deinstalliert - und von 1 - 3.5 von hand installiert. Incl. Patches.
Da gab es dann auch keinen Erfolg. Ob das nun vor oder nach dem PC tausch stattfand... kann ich leider nicht mehr sagen.
Es wäre ja ein Denkbares Szenario das NET Framework Defekt ist - und die Seite auf das Framework zugreift. Aber warum klappt es dann mal -
und mal nicht?

Ansich verhällt es sich wie Malware.. aber wie will man was bekämpfen das man weder klar identifizieren, greifen oder mit dem Vorschlaghammer bekämpfen kann.. Und WARUM sind es nur 3 User? Warum nicht alle anderen Nutzer der Abteilung - und wie kommt es das einer der 3 User in einer ganz anderen Abteilung zu finden ist?
Ich hatte den Verdacht das das Roaming verhalten der Profile schuld sein könnte. Das sich irgendwie die User alle an einem Infizierten Rechner angemeldet hatten. Und sich die Dateien immer zurückschreiben. Aber andererseits - wenn der Client clean is, das Serverprofil ebenso. Ist des Raoming nur zwischen 2 sauberen Profilen. Und selbst WENN es alt wäre - würde es überschrieben von dem neueren. Und hätte somit den selben Stand wie das Cleane Profil..

Es ist die Frage - was war vorher die Henne oder das Ei ? War der schädling (wenn es einer ist) schon zuvor drauf? Oder ist er nachträglich druf gekommen. Letzeres wäre schlimmer - denn dann wäre hier was aktiv im Outbreak. Dem aber wiederspricht unsere Netzauslastung. Die wäre dann für gewöhnlich weit aus höher. Oder handelt es sich tatsächlich um den höchst unwarscheinlichen fall das 2 neue PCs ein und den selben Registry defekt aufweisen der nicht behoben werden kann. Dafür würde der Negative Scan sprechen..
Oder aber is der Schädling so extrem schlau das er sich bedekt hällt - schlummert und nur Nachts aktiv wird und sich dann in die Roming Profiles schreibt?
Aber warum sind dann nicht alle betroffen?

Wie ichs dreh und wende.. ich drehe mich total im Kreis..
Mitglied: L4SCHI
L4SCHI 31.03.2011 um 11:48:52 Uhr
Goto Top
Ich würde es nochmal in einem anderen Forum probieren.

Ich hab absolut keine Ahnung mehr wo man ansetzen könnte.
Mitglied: TechnoX
TechnoX 31.03.2011 um 15:08:50 Uhr
Goto Top
IE8 deinstalliert... erstmal probleme en Maas bekommen. Dann neu installiert - updates gezogen.
Userprofil zum xten mal neu gezogen. IE Standardseite - kontrolliert - about blank ausgewählt.
Flashplayer neu installiert.

Nun scheint es zu gehen... wie lange - ich hoffe noch ne ganze Weile.

Interessant war ein weiterer Aspekt - User - hatte, als ich mich zu Beginn nun wieder dran setzte ein anderes Desktop Hintergrundbild.
Da unklar ist WOHER das Bild stammt - könnte das die Quelle sein.. ?? Ich werde die lokalen Desktopicons mal auf virustotal durch prüfen lassen.
Hab jedenfalls Kopfschmerzen..

Soviel zu der Aussage der User zu "ich hab nichts gemacht"..
Mitglied: L4SCHI
L4SCHI 31.03.2011 um 15:19:12 Uhr
Goto Top
Ich drück dir die Daumen face-big-smile

"Ich kenn mich nicht aus, deswegen hab ich nichts angerührt und alles was verstellt ist war überhaupt nicht ich." face-big-smile

Oder wie Microsoft es formulieren würde:

"It's not a bug! It's a feature! face-big-smile

Gruß
L4SCHI
Mitglied: TechnoX
TechnoX 01.04.2011 um 08:19:33 Uhr
Goto Top
Ich hab kein Glück...

Donnerstag von 15:30-17Uhr keine probleme mehr. Abmeldung, shutdown.
Freitag Morgen - 8:12... User ruft an: Es passiert wieder.

Was auch immer es ist - gestern war es weg. Heut Morgen is es wieder da. Der PC war über Nacht ausgeschalten.
Mitglied: L4SCHI
L4SCHI 01.04.2011 um 11:24:07 Uhr
Goto Top
Hi,


OMG

gibt es vielleicht noch irgendein Profil mit dem gleichen Namen?

Gruß L4SCHI