| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Geänderte DNS-Einträge, Restart, kdxhr.exe !?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
10.03.2007, 08:01
| #1 |
 |  Geänderte DNS-Einträge, Restart, kdxhr.exe !? Hallo, Wie es ausssieht habe ich mir trotz aller Vorsicht etwas eingefangen. Folgendes ist passiert: Der PC lief und ich war einige Stunden weg. Als ich zurück kam war der PC neu gestartet. Als nächstes meldete meine Hardware-Firewall folgendes immer wieder: [Firewall] 2007/03/09 16:46:53,920 Paket matched rule BLOCK DstIP: 85.255.112.16, SrcIP: 192.168.0.110 TOS: ---- Prot.: ICMP (1) port unreachable embeded IP header: DstIP: 192.168.0.110, SrcIP: 85.255.112.16 TOS: ---- Prot.: UDP (17) DstPort: 2027, SrcPort: 53 send email to administrator packet dropped [Firewall] 2007/03/09 16:55:37,790 Paket matched rule BLOCK DstIP: 85.255.114.53, SrcIP: 192.168.0.110 TOS: ---- Prot.: ICMP (1) port unreachable embeded IP header: DstIP: 192.168.0.110, SrcIP: 85.255.114.53 TOS: ---- Prot.: UDP (17) DstPort: 2029, SrcPort: 53 send email to administrator packet dropped Ich kontrollierte meine Netzwerkeinstellungen. Diese waren tatsächlich geändert worden! Es war nicht mehr die Router-Adresse eingetragen, sondern 85.255.114.53 und 85.255.112.16. Hab ich wieder richtig eingestellt und die FW-Medlungen kommen nicht mehr. Allerdings bin ich erstaunt wie dies pasieren kann. Desweiteren bin ich mir auch noch unsicher ob mein system sauber ist. An dieser Stelle villeicht ein paar Daten zum System: OS: MS Windows 2000 Prof. (inkl. akt. Updtaes), vor ca. 3 Wochen neu installiert Virenscanner: McAfee VirusScan Enterprise 8.0.0 inkl akt. Updates und höchster Sicherheitsstufe. Daher habe ich einmal nach Rottkits gesucht. Hierbei wird die versteckte Datei kdxhr.exe gefunden!? Wer kann mehr dazu sagen google findet hierzu nichts. Allerdings scheinen die geänderten DNS-IPs öffters aufzutauchen  Grüsse Oskar |
|
10.03.2007, 08:10
| #2 |
  | Geänderte DNS-Einträge, Restart, kdxhr.exe !? Hallo
__________________Mach bitte alle versteckten Datein und Ordner sichtbar und erstelle ein HijackThis log --> HijackThis editiere alle Links (z.B. http -> hxxp) und personlichen Einträge. lade dir auch (wenn nicht schon geschehen) Blacklight und poste anschließend das Log (findest du im selben Ordner wie Blacklight). Du hast dir wie es aussieht eine Umleitung über die Ukraine eingefangen. MFG |
|
10.03.2007, 08:40
| #3 |
| | Geänderte DNS-Einträge, Restart, kdxhr.exe !? Hallo, vielen Dank für die schnelle Antowrt!
__________________Hier das logfile: Logfile of HijackThis v1.99.1 Scan saved at 08:25:04, on 10.03.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\Programme\Symantec\Norton Commander\NC.EXE C:\DL\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [FscHMCfg] C:\Programme\Fujitsu Siemens Computers\DeskView\Common\FscHMCfg.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171975525843 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171981484468 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - hxxp://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{36EBB40E-DC05-4494-B08A-CE155A1EE0CD}: NameServer = 192.168.0.201,192.168.0.201 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.53 85.255.112.16 O17 - HKLM\System\CS1\Services\Tcpip\..\{36EBB40E-DC05-4494-B08A-CE155A1EE0CD}: NameServer = 192.168.0.201,192.168.0.201 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.53 85.255.112.16 O17 - HKLM\System\CS2\Services\Tcpip\..\{36EBB40E-DC05-4494-B08A-CE155A1EE0CD}: NameServer = 192.168.0.201,192.168.0.201 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.53 85.255.112.16 O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: DvcCfg - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\DeskView\Common\DvcCfg.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe Wie ich sehe sind noch die Ukraine DNS-Einträge vorhanden!? Was hat das ganze ausgelöst, und wie ist das sicherheitstechnisch zu bewerten? Gruß Oskar |
|
10.03.2007, 08:43
| #4 |
| | Geänderte DNS-Einträge, Restart, kdxhr.exe !? Nachtrag blacklight log: 03/10/07 07:12:30 [Info]: BlackLight Engine 1.0.55 initialized 03/10/07 07:12:30 [Info]: OS: 5.0 build 2195 (Service Pack 4) 03/10/07 07:12:30 [Note]: 7019 4 03/10/07 07:12:30 [Note]: 7005 0 03/10/07 07:12:34 [Note]: 7006 0 03/10/07 07:12:34 [Note]: 7011 1416 03/10/07 07:12:34 [Note]: 7026 0 03/10/07 07:12:34 [Note]: 7026 0 03/10/07 07:12:38 [Note]: FSRAW library version 1.7.1021 03/10/07 07:16:42 [Info]: Hidden file: c:\WINNT\system32\kdxhr.exe 03/10/07 07:16:42 [Note]: 7002 32 03/10/07 07:16:42 [Note]: 7003 1 03/10/07 07:16:42 [Note]: 10002 1 03/10/07 08:23:56 [Note]: 7007 0 |
|
10.03.2007, 09:20
| #5 |
| | Geänderte DNS-Einträge, Restart, kdxhr.exe !? Hallo lass die c:\WINNT\system32\kdxhr.exe bitte mal hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde. MFG |
|
10.03.2007, 12:40
| #6 |
| | Geänderte DNS-Einträge, Restart, kdxhr.exe !? Hallo, vielleicht eine etwas dumme Frage, aber wie komme ich an die Datei ran, wenn diese per rootkit versteckt wurde!? Im Explorer und per attrib-Befehl ist nichts sichtbar. Desweiteren habe ich festgestellt, daß die Datei in der Registry eingetragen ist: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="kdxhr.exe" Gruss Oskar |
|
10.03.2007, 19:27
| #7 |
| | Geänderte DNS-Einträge, Restart, kdxhr.exe !? Ich bin neu hier, aber ich tippe auf Win32:Adan-094. Aber ohne Logfile will ich mich da nicht festlegen. |
|
10.03.2007, 19:32
| #8 | |
| Administrator > Competence Manager  | Geänderte DNS-Einträge, Restart, kdxhr.exe !?Zitat:
Bei Adan-094 handelt es sich um Adware und nicht um ein Rootkit.  Das solltest du mir mal erklären wie du auf den Schädling kommst, außerdem ist ein Logfile vorhanden. Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
11.03.2007, 12:09
| #9 |
| | Geänderte DNS-Einträge, Restart, kdxhr.exe !? Hallo! Zunächst einmal großen Dank an sunny und nochdigger. Ich mußte nach der Aktion einmal Pause machen. Heute schalte ich den Pc ein und muß nach einiger Zeit feststellen, daß doch nicht alles in Ordnung ist  Meine Hardware-Firewall meldet immer wieder folgenden traffic: Date: 3/11/2007 10:52:14 The packet below Src: 192.168.0.110:2120 Dst: 85.255.114.53:53 (TCP) 45 00 00 30 c8 bc 40 00 80 06 a8 bf c0 a8 00 6f | E..0..@. .......o 55 ff 72 35 08 48 00 35 3e 93 c6 aa 00 00 00 00 | U.r5.H.5 >....... 70 02 40 00 73 02 00 00 02 04 3e ca 01 01 04 02 | p.@.s... ..>..... matched this filter rule: BLOCK and exceeded this limit: more than 0 kilobits transmitted or received on a connection during last second because of this the actions below were performed: drop send email to administrator Nach ein paar Minuten ist dann aber wieder ruhe. Also ließ ich nochmal blacklight laufen, aber es wurde nichts gefunden. Dann suchte ich in der Registry nach 85.255.114.53, und tatsächlich war die IP mehrfach vorhanden, und zwar bei den DHCP-Servern->gelöscht! Bislang kein weiterer traffic, aber einmal abwarten... Ist aber schon komisch Zugriff auf Port 53 und dann noch TCP, oder ist das bei DHCP normal? Gruss Oskar |
|
| Themen zu Geänderte DNS-Einträge, Restart, kdxhr.exe !? |
| 192.168.0.1, datei, daten, eingestellt, email, geändert, google, immer wieder, mcafee, melde, neu, nicht mehr, port, richtig, scan, scanner, stelle, system, trotz, träge, udp, updates, versteckte, virusscan, windows, woche, wochen |
Hybrid-Darstellung
