Dein System ist kompromittiert, der bzw. die Schädlinge haben die TCP/IP-Einstellungen umgebogen, dein "Provider" sitzt nun in der Ukraine!

=> Whois record for 85.255.116.152

Ich würde das System umgehend vom Netz trennen und neu aufsetzen oder ein sauberes Image zurückspielen!

Übrigens ist das schon eine "ältere Masche" mit dem Umbiegen der TCP/IP-Einstellungen, kannst ja mal hier im Board nach "ukraine" suchen.

hallo,

dank dir für deine antwort cosinus.

bevor ich das system neu installiere, versuche ich erst mal eine
reparatur, auch wenn das natürlich nicht die theoretisch ideale lösung ist.
habe - wie du vorgeschlagen hast - mal nach ukraine gesucht, und die
anweisungen in den entsprechenden threats durchgeführt:




1) fixwareout benutzt. das liefert folgenden report:
-------------------------------------------------




Username "Admin" - 2007-07-13 16:17:37 [Fixwareout edited 2007/07/05]

»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdklz.exe"

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{2A5F6974-7B99-4A86-BE71-304A1F7F62FD}
"DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{598F67AE-FEE4-4AA7-BF14-3359890B5C44}
"DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D305A2F2-358C-4536-9A3C-11FBCC5F026B}
"DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared.

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
C:\Casino Deleted
....
»»»»» Checking for older varients.
....
»»»»» Other
C:\WINDOWS\Temp\kdklz.ren 65057 04.08.2004

»»»»» Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\ATI-CPanel\\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Advanced Tools Check"="C:\\PROGRA~1\\NORTON~1\\AdvTools\\ADVCHK.EXE"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»







2) im abgesicherten modus escan durchlaufen lassen. ergebnis:
-------------------------------------------------







~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.1
Sprache: German
C:\DOKUME~1\Admin\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\044664F7//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\045B77A5.class//CryptFF infiziert von "Trojan.Java.ClassLoader.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\04A8508C//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\04BE7672//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\0A3767AF//CryptFF/document.txt .exe infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\0A4A6399//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\0A4E0D95//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

... (hab hier paar einträge rausgelöscht, alles im quarantine-ordner) ...

Datei C:\Programme\Norton AntiVirus\Quarantine\7CC54D04//CryptFF/data.rtf .scr infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7CD61EF2//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7CDC72EB//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7EF74660//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7F0E6C47//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton AntiVirus\Quarantine\7F1B1439//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP462\A0150092.exe//stream infiziert von "Trojan.Win32.DNSChanger.jc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150315.exe//stream infiziert von "Trojan.Win32.DNSChanger.jc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Admin\LOKALE~1\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\NPROTECT\00199486.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150360.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Admin\LOKALE~1\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\NPROTECT\00199486.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150360.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 111281
Gescannte Dateien: 111281
Gefundene Viren: 120
Gefundene Viren: 120
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 218
Anzahl Fehler: 218
Dauer des Scans bisher: 01:19:16
Dauer des Scans bisher: 01:19:16


alle außer zwei gefundene viren befinden sich allerdings im norton-ordner,
und sind daher eher nicht gefährlich vermute ich. was meint ihr zu den infizierten dateistreams? kann die entsprechneden files nicht löschen.
komme an diese files nicht ran, da der ordner "system volume information" den zugriff verweigert.

noch ne frage: wenn nur der dns-server umgeändert war, konnte ja eigentlich nichts ausgespäht werden, oder? d.h. mein system hat auf ne namens-anfrage einfach die falsche ip bekommen - nicht aber der ganze internetverkehr wurde umgeleitet, nehm ich mal an.

vielen dank soweit.

achso, im anschluss hab ich nochmal HijackThis die bemängelten einträge fixen lassen. das neue log (ach nach mehren neustarts) ist jetzt so:


Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

mhm. meint ihr, das ist das jetzt einigermaßen ok so?

Hi,

da frag doch mal den, der dir empfohlen hat, den hier gegebenen Rat in den Wind zu schießen ob er dir dafür garantieren möchte, dass Du jetzt ein sicheres System hast.

Die meisten Escan-Funde sind zwar schon in Quarantäne gewesen, aber dorthin schließlich nicht aus dem liuftleeren Raum gelangt, sondern aus dienem System.

naja, eine garantie kann man nach ner infektion natürlich nie geben; im grunde ja nicht mal ohne ne infektion gehabt (bemerkt) zu haben. mir gehts erst mal nur darum, die wahrscheinlichkeit zu minimieren, dass da noch was ist. wenn wieder irgendwelche symptome auftreten, installier ich halt neu.

dachte, vielleicht kann mir jemand nochmal einen rat geben zum escan-report. also wie ich mit den gefundenen files umgehe... die infizierten files im system volume information ordner, stören ja im grunde nicht, solange sie nicht ausgeführt werden, oder seh ich das falsch?

Na wenn das so ist

Die Norton-Quarantäne leeren (warum bewahrst Du den Mist denn auf). Den Norton-Papierkorb ebenfalls leeren. Komplette Datenträgerbereinigung.

Solange Du nicht zurücksetzt, kommen die Dateien aus der Systemwiederherstellung nicht raus, stimmt. Wenn Du sie dennoch loswerden willst: Deaktiviere die Systemwiederherstellung. Dazu Systemsteuerung -> System -> Tab Systemwiederherstellung -> Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" machen -> OK. Danach den Rechner neu starten. Nun die Systemwiederherstellung wieder aktivieren, indem Du den Haken wieder wegnimmst.

Und immer dran denken: Die ersten Symptome, die ein sorgfältig programmiertes Rootkit, Keylogger, usw. zeigen, können darin bestehen, dass das Bankkonto abgeräumt ist oder die Polizei morgens die Türe eintritt, um den Rechner zu beschlagnahmen. Egal, nicht mein Konto, nicht meine Türe und nicht mein Rechner

ok, danke für die tipps, werde den kram dann mal löschen.

ja, vom prinzip her hast du natürlich recht. aber mach mir doch nicht sone angst... :-)