| |
| |||||||
Log-Analyse und Auswertung: TROJAN DNS - Anleitung durchgeführt -> GMER-AuswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.01.2011, 17:06
| #1 |
 |  TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung Hallo zusammen, erstmal vielen herzlichen Dank für Eure tolle Arbeit. Habe euer Forum erst vor ein paar Tagen entdeckt und es hat mir bis jetzt unglaublich geholfen. AUSGANGSSITUATION ---------------------- Mein Rechner hatte das Problem, dass er über Google ständig andere Seiten anlief, als gewünscht. Durch die Suche im Forum, fand ich auch die Lösung für mein Problem. Mein System war vom "Trojan.DNSChanger" befallen. BISHERIGES VORGEHEN ---------------------- Leider hatte ich die Anleitung von AdminBot (13.08.2009) erst am Ende gefunden. Daher war mein Vorgehen wie folgt: (1) Alle AV-Programme aktualisiert, dann vom Netz getrennt. (2) Hijack Auswertung -> zwei Einträge waren gefährdet (DNS auf falsche Adresse) diese hab ich gelöscht (3) Neustart in abgesicherter Modus (4) Malware -> fand Trojan.DNSChanger und zwei Rootkit-Einträge: diese wurden behoben (5) escan -> fand einen "WORM" (6) Neustart im normalen Modus (7) Systemwiederherstellung deaktiviert, Cache gelöscht, Temp gelöscht (9) Internet wieder mit WinsockFix repariert (10) Hijack Auswertung -> keine Fehler gefunden (11) vom Netz getrennt, Virenscanner (Norten beendet, Hintergrund) (12) escan -> nix gefunden (13) Malware -> nix gefunden (14) HostsXpert durchgeführt (15) GMER-durchgeführt (16) Neustart normaler Modus (17) Malware -> nix gefunden (18) GMER-durchgeführt Am Ende wurde geschrieben, dass man unbedingt das GMER-LOG posten soll. Hier ist es ... GMER-LOG ---------------------- GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit scan 2011-01-07 16:57:27 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-2 Intel___ rev.1.0. Running: mrqgecg7.exe; Driver: C:\DOKUME~1\Joke\LOKALE~1\Temp\kwrdypow.sys ---- System - GMER 1.0.15 ---- SSDT 88F38050 ZwAlertResumeThread SSDT 88F3A050 ZwAlertThread SSDT 88E12C88 ZwAllocateVirtualMemory SSDT 88F26050 ZwAssignProcessToJobObject SSDT 89654FB0 ZwConnectPort SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xA957A210] SSDT 88E123A0 ZwCreateMutant SSDT 88E11E68 ZwCreateSymbolicLinkObject SSDT 88E13288 ZwCreateThread SSDT 88F28050 ZwDebugActiveProcess SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xA957A490] SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA957A9F0] SSDT 88E12DE0 ZwDuplicateObject SSDT 88E12AE8 ZwFreeVirtualMemory SSDT 88F34050 ZwImpersonateAnonymousToken SSDT 88F36050 ZwImpersonateThread SSDT 89730488 ZwLoadDriver SSDT 88E12A08 ZwMapViewOfSection SSDT 88F31050 ZwOpenEvent SSDT 88E12F80 ZwOpenProcess SSDT 88F4B050 ZwOpenProcessToken SSDT 88F2D050 ZwOpenSection SSDT 88E12EB0 ZwOpenThread SSDT 88E11F38 ZwProtectVirtualMemory SSDT 88F3C050 ZwResumeThread SSDT 88F42050 ZwSetContextThread SSDT 88E128B0 ZwSetInformationProcess SSDT 88F2A050 ZwSetSystemInformation SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA957AC40] SSDT 88F2F050 ZwSuspendProcess SSDT 88F3E050 ZwSuspendThread SSDT 89633C18 ZwTerminateProcess SSDT 88F40050 ZwTerminateThread SSDT 88F45050 ZwUnmapViewOfSection SSDT 88E12BB8 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2D30 805045CC 4 Bytes CALL FED926FB ? SYMDS.SYS Das System kann die angegebene Datei nicht finden. ! ? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) Device \FileSystem\Fastfat \Fat A5B2ED20 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions) ---- EOF - GMER 1.0.15 ---- AKTUELLE SITUATION ---------------------- Ich hoffe damit ist das Thema ausgestanden *daumendrück* ... fürchte aber, ich werde an einem Neuaufsetzten (zur Sicherheit) nicht vorbeikommen, oder? Wäre kein Problem, habe heute bereits einen neuen Rechner gekauft, es wäre mir aber wichtig, dass der alte Rechner sauber ist, bevor ich meine privaten Fotos und Grafikdateien (PSD, INDD) auf den neuen überspiele. Droht bei solchen Dateien Gefahr? Würde sie entweder per USB-Stick oder DVD übertragen. Neuer Rechner würde ich nicht mit dem neuen verbinden. Habe auch gelesen, dass ich nun alle meine Passwörter ändern muss. Würde das über den neuen Rechner machen. VIELEN DANK ---------------------- Schon mal vielen Dank für Eure Hilfe :-) ... ohne dieses Forum wäre ich aufgeschmissen gewesen. Dürft Ihr auch Spenden annehmen? Möchte Euren Einsatz gerne unterstützen! |
| Themen zu TROJAN DNS - Anleitung durchgeführt -> GMER-Auswertung |
| auswertung, bot, escan, fehler, google, harddisk, hijack, hintergrund, internet, malware, microsoft, neue, neuer rechner, neustart, problem, seiten, sicherheit, suche, symantec, system, systemwiederherstellung, temp, trojan, udp, worm, ändern |
Baum-Darstellung