Sebastian Sennebogen: Browser (alle) können plötzlich Host nicht mehr auflösen

Hallo Forum!

Seit rund vier Wochen plagt mich nun schon ein Problem, dass mich zur Weißglut treibt:
Ich gehe über einen Linux-Server ins Internet, bei dem mittels Iptables IP-Forwarding und Masquerading aktiviert ist. Funktioniert auch ganz gut, nur nach ganz unregelmäßigen Abständen bekomme ich dann die Meldung (Im Firefox) Resolving Host www.xyz.de und er kriegt die Domain einfach nicht aufgelöst.
So jetzt dachte ich mir stell ich die Vebrindung mal am Client selbst mittels einer DFÜ-Verbindung her: Resultat das selbe - eine Zeit lang kann er jede Seite anzeigen und dann wieder Resolving Host.

Beispiel zur Verdeutlichung:
1.) Ich rufe im Firefox forum.de.selfhtml.org auf
2.) Bekomme die Meldung resolving host forum.de.slefhtml.org
3.) es tut sich ca. 12s nichts ---> ich ruf beispielsweise www.linuxforen.de auf ---> es geht forum.de.selfhtml.org immer noch nicht
4.) Es ist jetzt nicht nur bei selfhtml so, sondern auch bei ebay.de, chip.de, debian.org, de.wikipedia.org etc. und dass sowohl um 12 uhr mittags als um 3 uhr nachts - es kann also nicht mit den Servern der jeweiligen Seiten zusammenhängen.

Wie gesagt, das ganze passiert nur unter windoof xp - wenn ich mit meinem SuSE ins I-Net gehe, funktionierts ohne Probleme. Aus diesem Grunde muss es meiner Meinung nach mit Windows zusammenhängen - doch nur wie? Ich habe keine Ahnung.

Kennt jemand das Problem und hätte vielleicht sogar eine Lösung? Ein Virus kann es ja nicht sein, oder? Ich bin eben ein verwöhnter Linuxer, der das Problem nicht so kennt ;-)

Grüße,

euer Sebi

P.s. Wenn ihr noch Infos braucht, nur melden!

  1. Hello,

    was mir so spontan einfällt:

    Mal HiJackThis verwenden und schauen, ob der Client verseucht ist.
    Mal überlegen, wo der Nameservice vereinbart wird und schauen, ob der eingetragene noch lebt.

    Liebe Grüße aus http://www.braunschweig.de

    Tom

    --
    Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
    Nur selber lernen macht schlau
    1. Hi Tom!

      Mal HiJackThis verwenden und schauen, ob der Client verseucht ist.

      OK, mach ich ;-)

      Mal überlegen, wo der Nameservice vereinbart wird und schauen, ob der eingetragene noch lebt.

      Der wäre eingetragen und funktioniert auf dem Server auch - die Clients haben den gleichen.

      Mittlerweile glaube ich schon wirklich, dass es sich um irgendeinen Virus handeln muss - ich hab jetzt schon zweimal die Sasser bekannte Meldung gekriegt "System muss heruntergefahren werden" etc., obwohl wirklich alle Patches, die es beim Windowsupdate zu installieren gab, installiert sind!

      Kennt jemand vielleicht einen aktuellen Virus, der sich ähnlich äußert?

  2. hi,

    ich hab von linux kein plan aber ich hatte ein ähnliches Problem auf meinem Win2k client. Da habe ich das Problem mit ipconfig -flushdns gelöst. Vielleicht gibt es bei linus ja was ähnliches.

    Gruss

    Holger

    1. Hi Holger!

      ich hab von linux kein plan aber ich hatte ein ähnliches Problem auf meinem Win2k client. Da habe ich das Problem mit ipconfig -flushdns gelöst. Vielleicht gibt es bei linus ja was ähnliches.

      Wie bereits gesagt, es liegt auf alle Fälle am Client und darum erscheint mir das ipconfig -flushdns gar nicht so abwegig. Ich probiers gleich mal.

      Grüße,

      Sebi

  3. Hi!

    Kurze Rückmeldung:

    HiJackThis meldet und findet nichts verdächtiges - AntiVir ebenfalls nichts.

    Sonst noch jemand Tipps?

  4. Wie gesagt, das ganze passiert nur unter windoof xp - wenn ich mit meinem SuSE ins I-Net gehe, funktionierts ohne Probleme. Aus diesem Grunde muss es meiner Meinung nach mit Windows zusammenhängen - doch nur wie? Ich habe keine Ahnung.

    Kennt jemand das Problem und hätte vielleicht sogar eine Lösung? Ein Virus kann es ja nicht sein, oder? Ich bin eben ein verwöhnter Linuxer, der das Problem nicht so kennt ;-)

    Ich kenne mich mit Linux nun zwar so gut wie gar nicht aus, doch bei XP
    könnte wohl der Eintrag der beiden t-doofline DNS bei Netzwerkeigenschaften abhilfe bringen. So wie Du das schilderst könnte es möglich sein das der Linux auch DNS spielt und das XP nur dort anfrägt.

    Hier die beiden t-online DNS Ip's  217.237.149.225 194.25.2.129

    Vieleicht hilft es ja.

    mfg

    Das Schmunzelmonster

    1. Hi!

      Hier die beiden t-online DNS Ip's  217.237.149.225 194.25.2.129

      Die habe ich schon drin. Trotzdem Danke!

  5. Hi,

    Wie gesagt, das ganze passiert nur unter windoof xp - wenn ich mit meinem SuSE ins I-Net gehe, funktionierts ohne Probleme. Aus diesem Grunde muss es meiner Meinung nach mit Windows zusammenhängen - doch nur wie? Ich habe keine Ahnung.

    Irgendwelche verdächtige Einträge in [einer] der hosts-Datei[en] auf Deinem Windows?

    cu,
    Andreas

    --
    MudGuard? Siehe http://www.Mud-Guard.de/
    Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
  6. Hallo!

    Ich will jetzt aus dem Haus fahren - aber das besagte Problem ist seit rund 15min nicht aufgetaucht - neuer Rekord ;-)

    Das von Holger genannte ipconfig /dnsflush ___scheint zu helfen___!

    Aber wie gesagt, ich trau der Sache noch nicht ganz ;-)

    Jetzt hätte ich da nur noch ein Problem: Manchmal vebraucht einer der svchost.exe-Anwendungen mehr als 95% Prozessorlast, wenn ich den dann manuell beende öffnet sich so ein Fenster NT AUTORITÄTSSYSTEM - das System wird heruntergefahren - sie haben noch 60s Zeit etc. Das kann ich dann natürlich durch shutdown -a abbrechen, aber dann funktionieren einige Win-Programme nicht mehr (z.B. Suchen v. Dateien). Könnte es sich um einen Virus/Wurm handeln? AntiVir(neuste Version) findet nichts, alle Patches installiert.

    Grüße,

    Sebi

    1. Hello,

      Könnte es sich um einen Virus/Wurm handeln? AntiVir(neuste Version) findet nichts, alle Patches installiert.

      Grundsätzlich kann man die meisten "Anti-Viren-Programme" auf einem infizierten Sysrtem gar nicht installieren, weil sie selbst nicht bootfähig sind und keinen echten Basischeck durchführen. Dü müsstest das System zur richtigen Virensuche schließlich von einem nicht infizierten Boot-Datenträger hochfahren und dann mittels ebenfalls nicht infizierter Anti-Viren-Software scannen lassen.

      Bei DOS ging das noch. Bei Linux garantiert auch. Aber ob man das bei Windows noch hinbekommt, daran zweifele ich.

      Liebe Grüße aus http://www.braunschweig.de

      Tom

      --
      Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
      Nur selber lernen macht schlau
      1. Hi Tom!

        Könnte es sich um einen Virus/Wurm handeln? AntiVir(neuste Version) findet nichts, alle Patches installiert.

        Grundsätzlich kann man die meisten "Anti-Viren-Programme" auf einem infizierten Sysrtem gar nicht installieren, weil sie selbst nicht bootfähig sind und keinen echten Basischeck durchführen. Dü müsstest das System zur richtigen Virensuche schließlich von einem nicht infizierten Boot-Datenträger hochfahren und dann mittels ebenfalls nicht infizierter Anti-Viren-Software scannen lassen.

        Ich muss jetzt mal schauen, irgendwie muss ich es wieder hinkriegen...

        Bei DOS ging das noch. Bei Linux garantiert auch.

        Na klar, geht das in Linux :-)

        Aber ob man das bei Windows noch hinbekommt, daran zweifele ich.

        Ich auch :-(

    2. Hola!

      Jetzt hätte ich da nur noch ein Problem: Manchmal vebraucht einer der svchost.exe-Anwendungen mehr als 95% Prozessorlast

      Das deutet auf Wurm namens Agobot hin; davon gibt´s allerdings verschiedene.

      Schau mal in der Registrierung nach folgenden Einträgen:

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchost

      HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\svchost (Quelle:http://www.sophos.de/virusinfo/analyses/w32agobotlo.html)

      Viel Glück
      Toni