Netzwerk geht nicht mehr, DNS plötzlich 192.168.0.1

19.04.2009, 19:59

Hallo

Hab mir glaube ich wieder mal was eingefangen. Mein Router blinkt die ganze Zeit wirr durcheinander (früher war das nicht so), sobald ich einen Computer vom Netzwerk entfernte, war der Router wieder normal. Ging davon aus, das ein Schädling auf diesem Computer war, jedoch kamen heute auch andere Computer nicht ins Netzwerk. Komischerweise ist beim Router plötzlich DNS 192.168.0.1 eingetragen und bei den Computern auch, sonst steht da immer etwas anderes mit 62 etc. Ich selbst habe den DNS im Router nicht geändert. Ach ja, die Computer beziehen die IP und DNS automatisch vom Router und dieses Problem besteht seit ca Anfang April --> evtl Conficker? Auf den Computern habe ich einen Scan mit Kaspersky mit den härtesten Einstellungen gemacht --> nichts gefunden.

Bitte helft mir weiter

Gruss
Power

19.04.2009, 20:11

Hallo Power,
Bitte zuerst die Anleitung abarbeiten am besten du fängst bei Punkt 2 an -> http://www.trojaner-board.de/69886-a...-beachten.html

19.04.2009, 22:46

So, also

a) Anleitung -> CCleaner
Jop hab ich gemacht

b) Anleitung -> Malwarebytes-Anti-Malware
(Wenn das Programm schon ausgeführt wurde, bitte den Report kopieren und uns zeigen, steht alles in der Anleitung!)

Jop hab ich gemacht. Hier das log

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2010
Windows 5.1.2600 Service Pack 3

19.04.2009 23:13:54
mbam-log-2009-04-19 (23-13-54).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|H:\|)
Durchsuchte Objekte: 281592
Laufzeit: 1 hour(s), 43 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

c) Anleitung -> Anleitung: HijackThis
Habs mal automatisch auswerten lassen, dort hats 2 rote Einträge, vor 10min waren die aber noch nicht da :-). Hier das log.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:50, on 19.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\VMware\VMware Player\hqtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\hans_muster~1.000\LOKALE~1\Temp\~nsu.tmp\Au_.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Secunia\PSI\psi.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\wuauclt.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RemoteShutDown Service (RemShutDownSvc) - Unknown owner - C:\WINDOWS\System32\remsdnsv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8328 bytes

d) Liste installierter Software ->

Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

* Starte nochmals "HijackThis"
* Klick "open the Misc Tools section"
* Klick "Open Uninstall Manager"
* Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.)
* Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.

Code:

ATTFilter

2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
7-Zip 4.65
Ad-Aware
Ad-Aware
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
ClearProg 1.5.0 Final
Conexant HD Audio
FileZilla Client 3.2.3.1
FreeMind
GeoGebra
HDAUDIO Soft Data Fax Modem with SmartCP
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946344)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB948127)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB951708)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB942288-v3)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
HP Integrated Module with Bluetooth wireless technology
Intel(R) Network Connections Drivers
Java DB 10.3.1.4
Java(TM) 6 Update 13
Java(TM) 6 Update 7
Java(TM) SE Development Kit 6 Update 7
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Access MUI (German) 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Professional 2007
Microsoft Office Professional 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft SQL Server 2008
Microsoft SQL Server 2008
Microsoft SQL Server 2008 Common Files
Microsoft SQL Server 2008 Common Files
Microsoft SQL Server 2008 Database Engine Services
Microsoft SQL Server 2008 Database Engine Services
Microsoft SQL Server 2008 Database Engine Shared
Microsoft SQL Server 2008 Database Engine Shared
Microsoft SQL Server 2008 Management Objects
Microsoft SQL Server 2008 Native Client
Microsoft SQL Server 2008 RsFx Driver
Microsoft SQL Server 2008 Setup Support Files (English)
Microsoft SQL Server 2008-Browser
Microsoft SQL Server Compact 3.5 SP1 (Deutsch)
Microsoft SQL Server Compact 3.5 SP1 Design Tools (Deutsch)
Microsoft SQL Server VSS Writer
Microsoft Sync Framework Runtime v1.0 (x86)
Microsoft Sync Framework Services v1.0 (x86)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU
Microsoft Visual Basic 2008 Express Edition with SP1 - DEU
Microsoft Visual C# 2008 Express Edition mit SP1 - DEU
Microsoft Visual C# 2008 Express Edition with SP1 - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
Mozilla Firefox (3.0.8)
MSN
MSXML 6.0 Parser (KB933579)
NetWaiting
Notepad++
NVIDIA Drivers
OpenOffice.org 3.0
Paint.NET v3.36
PDFCreator
phase6_19
Secunia PSI
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB960003)
Security Update for Microsoft Office Excel 2007 (KB959997)
Security Update for Microsoft Office PowerPoint 2007 (KB951338)
Security Update for Microsoft Office Publisher 2007 (KB950114)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office Word 2007 (KB956358)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Spelling Dictionaries Support For Adobe Reader 9
Sql Server Customer Experience Improvement Program
SQL Server System CLR Types
Streamripper (Remove only)
Synaptics Pointing Device Driver
Update for Microsoft Office Outlook 2007 (KB952142)
Update for Office 2007 (KB946691)
Update for Outlook 2007 Junk Email Filter (kb962871)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951618-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VMware Player
VMware Server Console
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
ZoneAlarm

Zudem habe ich Secunia PSI installiert und damit alles uptodate gebracht und die neusten Windowsupdates installiert.

Werde jetzt noch scannen mit Adaware, Spybot und SuperAntispyware.
Und das war ja jetzt erste ein PC

. Trenne morgen mal alle Computer vom Netzwerk und führe die Schritte die ich heute gemacht habe mal auf jedem PC durch.

Plötzlich steht beim DNS aufem PC wieder 192.168.0.1, aber ins inet komme ich noch. Komisch, wie geht sowas?

20.04.2009, 13:09

Das mit dem Ip Domänen kann vielleicht durch VMware kommen. Deinstalier es bitte wenn du es nicht benötigst.

Fix bitte diesen Eintrag bei hijackthis:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Diese Einträge:
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll

O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll

solltest du wie bie der Hijack this auswertung prüfen. Hier der Text:
Prüfe deine Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org! Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.

Voo.Doo

ordell1234 · 20.04.2009, 15:01

Zitat:

Zitat von Voo.Doo

Diese Einträge:
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll

O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll

solltest du wie bie der Hijack this auswertung prüfen. Hier der Text:
Prüfe deine Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org! Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.

Voo.Doo

Gibt es einen begründeten Verdacht für einen Zusammenhang? Bevor hier wild gefixt wird, würde ich den Router unter die Lupe nehmen:

1. Welchen Router nutzt du? (genaue Modellbezeichnung)
2. Firmwareversion des Routers?
3. Agiert dieser als DNS-Server? Vermutlich ja.
4. Baut der Router eine Verbindung zum Internet auf?
5. Funktioniert die Namensauflösung im Router?
6. Poste bitte den Inhalt der hosts-Datei unter c:\windows\system32\drivers\etc

20.04.2009, 15:31

2 Computer mache ich sowieso platt, den Rest bin ich noch am scannen, poste dann die Hijacklogs.

Auf allen Computer ist DNS 192.168.0.1 (Windows und Linux). Nicht auf allen Computern ist Vmware installiert. Sollte bei den Netzwerkeinstellungen nicht als DNS 62.2.17.61 und 62.2.24.158 eingetragen sein?

Zitat:

1. Welchen Router nutzt du? (genaue Modellbezeichnung)

MR814v2

[QUOTE]2. Firmwareversion des Routers?[/QUOTE
V5.3_05

Zitat:

3. Agiert dieser als DNS-Server? Vermutlich ja.

Ja, es ist 62.2.17.61 und 62.2.24.158 eingetragen

Zitat:

4. Baut der Router eine Verbindung zum Internet auf?

Ja, über ein Modem. DNS wird automatisch bezogen. Die Einstellung im Router heisst Get Automatically From ISP.

Zitat:

5. Funktioniert die Namensauflösung im Router?

Hmm.... ja ich denke schon. Also ich kann Google zB anpingen. Wie kann ich das prüfen?

Zitat:

6. Poste bitte den Inhalt der hosts-Datei unter c:\windows\system32\drivers\etc

Die Datei ist zu gross, passt weder in den Post noch in den Anhang. Eingetragen ist dort

Code:

ATTFilter

# Copyright (c) 1993-1999 Microsoft Corp.

#

# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP

# für Windows 2000 verwendet wird.

#

# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.

# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-

# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen

# Hostnamen stehen.

# Die IP-Adresse und der Hostname müssen durch mindestens ein

# Leerzeichen getrennt sein.

#

# Zusätzliche Kommentare (so wie in dieser Datei) können in

# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,

# aber müssen mit dem Zeichen '#' eingegeben werden.

#

# Zum Beispiel:

#

#      102.54.94.97     rhino.acme.com          # Quellserver

#       38.25.63.10     x.acme.com              # x-Clienthost



127.0.0.1       localhost

# Start of entries inserted by Spybot - Search & Destroy

und dann folgen viele Einträge wie zB

Code:

ATTFilter

127.0.0.1	www.007guard.com

127.0.0.1	007guard.com

127.0.0.1	008i.com

127.0.0.1	www.008k.com

127.0.0.1	008k.com

127.0.0.1	www.00hq.com

127.0.0.1	00hq.com

127.0.0.1	010402.com

127.0.0.1	www.032439.com

Worries · 20.04.2009, 18:13

Zitat:

Zitat von Power

Hallo
[...]

evtl Conficker?

[...]

Gruss
Power

Wennst du vieleicht nicht weißt ob du mit Conficker idendifizert bist
Dann geh auf diese Seite..
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Und schau in der Tabelle ob du mit den Conficker Idendifiziert bist..

20.04.2009, 19:51

Also das DNS 192.168.0.1 am Client ist scheint wohl richtig zu sein.

Werde den Link mit Conficker ausprobieren.

Die Hijacklogs sind im Anhang, kann die jemand prüfen und kurz drüberschauen?

ordell1234 · 21.04.2009, 13:02

Die gesammlten HJT-logs habe ich mir nicht angeschaut. Sollten Probleme mit einem Rechner auftreten, eröffne bitte jeweils einen Thread mit genauer Problembeschreibung.

Im Eingangslog findet sich

Zitat:

C:\DOKUME~1\hans_muster~1.000\LOKALE~1\Temp\~nsu.tmp\Au_.exe

Sollte die Datei noch vorhanden sein, prüfe sie bei virustotal.com.

Scanne den Rechner mit gmer und poste das log.

zur Namensauflösung:
Ich weiß nicht, ob dein Router einen Telnetzugang hat. Probiere unter Windows (Start-Ausführen-Öffnen:cmd-ENTER)

Code:

ATTFilter

telnet 192.168.0.1

und gib das Passwort ein (Standard 1234). Öffnet sich die Sitzung, gib am Prompt

Code:

ATTFilter

nslookup www.google.de

ein. Wird der Name aufgelöst, funktioniert DNS im Router (vorausgesetzt das Kisterl kennt nslookup

).

Alternativ kannst du auch

Code:

ATTFilter

nslookup www.google.de

in der Eingabeaufforderung von Win eingeben. Prinzipiell scheint die Namensauflösung bei dir aber zu funktionieren. Woher die Änderung im Routerconfig rührt... keinen blassen Schimmer.

Deinstalliere spybot S&D und restauriere die hosts-Datei, d.h. lösche sämtliche Einträge bis auf

Code:

ATTFilter

127.0.0.1 localhost

. Das Ding schaut dann in etwa so aus:

Code:

ATTFilter

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost

Mitunter haben auch die DNS-Server Probleme. Im Router bzw bei den Netzwerkeinstellungen unter XP kannst du auch andere Server eintragen. Siehe google.

Fast vergessen: Poste bitte die Ausgabe von ipconfig /all in der Eingabeaufforderung.(Start - Ausführen - Öffnen: cmd)
ipconfig /all>>%tmp%\ip.cfg & notepad %tmp%\ip.cfg)

22.04.2009, 17:17

Also ein Computer werde ich sowieso platt machen und das DNS 192.168.0.1 ist wird wohl richtig sein, wenn nicht, finde ich vielleicht noch eine Lösung. Den Link mit Conficker habe ich ausprobiert und alle Bilder wurden richtig angezeigt. Für mich hat sich die Sache erledigt

. Danke für eure schnelle Hilfe!

22.04.2009, 21:51

Für alle die einmal vielleicht das gleiche Problem haben:
Habe auf allen Pcs

alle Updates installiert
Superantispyware laufen gelassen
Malwarebytes laufen gelassen
Adaware laufen gelassen
Secunia installiert und alle Programme auf den neusten Stand gebracht
2 Computer platt gemacht die ich eh Neuaufsetzen wollte

Warum bei allen Clients DNS 192.168.0.1 ist weiss ich noch nicht, werde die Antwort dann aber hier posten falls ich es herausfinde.

Bitte Präfix des Treats auf "gelöst" setzen.

ordell1234 · 22.04.2009, 22:11

Danke für die Rückmeldung!

Xp bezieht bei dir DNS vom Router (Netgear) entweder per DHCP oder aufgrund manuellen Eintrags in der Netzwerkconfig. Aus Sicht des clients (XP) fungiert der Router mit der IP-Adresse 192.168.0.1 als DNS-Server. XP kümmert sich nicht um die Namensauflösung, das übernimmt der Router. Im Router selbst muß wiederum entweder ein DNS-Server manuell angegeben werden oder er bezieht - meist standardmäßig - den DNS-Server von deinem ISP.

Abweichend/alternativ kannst du bei den Netzwerkeinstellungen im OS eigene, freie DNS-Server eintragen (keine Bindung an den ISP) oder für einzelne Einträge manuell die hosts-Datei bearbeiten. Einträge der hosts-Datei gehen Einträgen bei den Netzwerkeinstellungen vor, letztere wiederum der Routerconfig.

19.04.2009, 20:11	#2
Voo.Doo Gast	Netzwerk geht nicht mehr, DNS plötzlich 192.168.0.1 Hallo Power, Bitte zuerst die Anleitung abarbeiten am besten du fängst bei Punkt 2 an -> http://www.trojaner-board.de/69886-a...-beachten.html __________________

20.04.2009, 19:51	#8
Power Gast	Netzwerk geht nicht mehr, DNS plötzlich 192.168.0.1 Also das DNS 192.168.0.1 am Client ist scheint wohl richtig zu sein. Werde den Link mit Conficker ausprobieren. Die Hijacklogs sind im Anhang, kann die jemand prüfen und kurz drüberschauen?

22.04.2009, 17:17	#10
Power Gast	Netzwerk geht nicht mehr, DNS plötzlich 192.168.0.1 Also ein Computer werde ich sowieso platt machen und das DNS 192.168.0.1 ist wird wohl richtig sein, wenn nicht, finde ich vielleicht noch eine Lösung. Den Link mit Conficker habe ich ausprobiert und alle Bilder wurden richtig angezeigt. Für mich hat sich die Sache erledigt . Danke für eure schnelle Hilfe!

Netzwerk geht nicht mehr, DNS plötzlich 192.168.0.1

Plagegeister aller Art und deren Bekämpfung: Netzwerk geht nicht mehr, DNS plötzlich 192.168.0.1