| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Und nochmal DNS changer ...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.02.2009, 13:45
| #1 |
 |  Und nochmal DNS changer ... Hallo zusammen. Z.Z. Scheinen ja DNS Changer groß in Mode zu sein. Ich habe allein in diesem Forum schon an die 20 Threads gelesen ... Habe hier ein Problem mit meinem Laptop. Wenn ich mich in unser LAN (ohne Internet Zugang) hänge kann ich diverse HTTP-Server nicht mehr erreichen. Ein kleiner Trace mit Wireshark zeigte mir auch gleich das die DNS Anfragen nicht zum Hauseigenen DNS Server gelenkt werden sonder zu den allseits bekannten 85.255.xxx.xxx Ukrainischen Servern. Hier im LAN werden fixed IP's verwendent. Auch für DNS. Upnp gibt's meilenweit nicht. Nachdem ich doch einige Beiträge gelesen, einige Tools wie Smithfraudfix, Exterminate-it, MAB & spynomore ausprobiert und einiges entfernt habe, existiert das Problem leider immer noch. Sobald ich eine DNS Auflösung mache werde ich an besagte Server umgeleitet - sehr schön in Wireshark zu sehen. Ebenfalls sehr merkwürdig ist das ich den Internetexplorer nicht mehr öffnen kann. Es gibt keine Fehlermeldung oder ähnliches. Es geht einfach nur nicht ... Firefox scheint kein Problem zu haben. Hier die "mandatory" Logfiles. Ich hoffe es fällt euch noch was ein. Ich bin mit meinem Latein am ende ... Neuinstallieren iss leider nicht ... Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:07:51, on 12.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\DellTPad\Apoint.exe C:\Programme\OfficeScan NT\pccntmon.exe C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DellTPad\ApMsgFwd.exe C:\Programme\DellTPad\HidFind.exe C:\Programme\DellTPad\Apntex.exe C:\Programme\FileZilla Server\FileZilla Server.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\OfficeScan NT\ntrtscan.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe C:\WINDOWS\system32\StacSV.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\Programme\OfficeScan NT\tmlisten.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\OfficeScan NT\CNTAoSMgr.exe C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMP\QAA146.EXE C:\Programme\NetSetMan\NetSetMan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: NameServer = 10.102.83.18,10.102.83.19 O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: SafeGuard Easy Control (SgeCtl) - Utimaco Safeware AG - C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\StacSV.exe O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programme\OfficeScan NT\TmProxy.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3949 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3
12.02.2009 11:42:10
mbam-log-2009-02-12 (11-42-10).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 77010
Laufzeit: 9 minute(s), 48 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter SmitFraudFix v2.395
Scan done at 13:22:02,39, 12.02.2009
Run from D:\Download\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DellTPad\Apoint.exe
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\DellTPad\Apntex.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe
C:\WINDOWS\system32\StacSV.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\OfficeScan NT\CNTAoSMgr.exe
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMP\QAA146.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\gm093850
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\gm093850\LOKALE~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\gm093850\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\gm093850\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Broadcom NetXtreme 57xx Gigabit Controller #2
DNS Server Search Order: 10.150.128.10
DNS Server Search Order: 10.149.0.4
Description: Broadcom NetXtreme 57xx Gigabit Controller #2
DNS Server Search Order: 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
|
|
13.02.2009, 11:11
| #2 |
| | Und nochmal DNS changer ... OK, der ComboFix hat ihm den gar aus gemach
__________________ |
|
| Themen zu Und nochmal DNS changer ... |
| analysis, attention, cs3, dll, einstellungen, explorer, fehlermeldung, frage, ftp, hijack, hijackthis, internet, internet explorer, keine fehlermeldung, lan, malwarebytes' anti-malware, monitor, nicht mehr öffnen, nvidia, officescan, ohne internet, problem, programme, proxy, registrierungsschlüssel, rundll, software, suche, system, temp, userinit.exe, windows, windows xp, wireshark |
Linear-Darstellung
