|
DNS Poisoning, Rootkit? Sorry, erste Thema bitte löschen, Anhänge sind hier in der Forensoftware im Editiermodus nicht mehr möglich. Windows XP (SP3) mit ESET Smart Security Version 5 ESET Smart Security (Software Firewall) protokollierte seit 26.10.11 DNS-Poisoning Angriffe auf meine IP Zusätzliche diverse Portscans von verschiedenen Quell-IP auf meine IP, ich bin über TV-Kabelmodem mit fester IP im Internet. - habe daraufhin am 25.11.11 einen Router dazwischen gesetzt. Mir schien der PC (Windows XP SP3) danach insgesamt schneller geworden zu sein. Nach jedem DNS-Poisoning-Angriff habe ich den Browser geschlossen. Nach dem Routereinsatz erfolgten weiterhin DNS-Poisoning Angriffe auf Zieladresse 192.168.0.1:53 und Portscans Dann war der Browser (FireFox Version 8) mal längere Zeit unbeaufsichtigt aktiv. Beim anschließenden Weiterarbeiten am noch geöffneten Browser wurde bei jedem Klick eine zusätzliche Seite geöffnet mit scheinbarer Adresse aus meinem Browser Cache. Zeitweilig hörte ich über meine Boxen, kurze (fremde) Stimmfetzen aus einem Video? Reaktion von mir: Netzt gekappt....gescannt mit Virenscanner ESET Smart Security, kein Fund. Browser deinstalliert und neu installiert. Dann Security Task Manager installiert, EPSON Web-To-Page.dll (wurde installiert mit Druckersoftware??) in Quarantäne geschickt, mehrmals im Taskmanager alle laufenden Prozesse beobachtet. Dort tauchte mal ein Prozess auf, bezeichnet als 1%, der aber nicht mehr vorhanden war??? Dann im abgesicherten Modus ESET Smart Security laufen lassen. Dort tauchte eine Datei ...\test\testtar.tar auf, die nicht mehr in diesem Pfad ...\test\ zu finden war. Inzwischen habe ich einige Software, die schon lange nicht/bzw. noch nie richtig - benutzt war, deinstalliert. Die Portscans und DNS-Poisoning-Anfriffe sind z.Zt. ausgeblieben. Insgesamt scheint mir der PC ruhiger zu laufen, das erkenne ich an den wenigen verbleibenden offenen Netzverbindungen im tcpview beim Besuch von Webseiten. ( tcpview von w*w.sysinternals.com) Weiterhin habe ich Spybot SD (Teatimer) wieder aktiviert und meine host-Tabelle (%systemroot%\system32\drivers\etc) in den Originalzustand zurückgesetzt und schreibgeschützt. Istzustand : 20.12.11 PC läuft stabil, ruhig, die Symptome scheinen zur Zeit verschwunden zu sein. Dauerhaft?? Deshalb meine Bitte um eine Analyse. Es geht doch weiter 20.12.11 DNS-Poisoning-Angriff auf 192.168.0.1:53 Arbeite in zwischen die Anleitung ab. defogger Finished > OK > aber keine Aufforderung zum Neustart. defogger_disable.log defogger_disable by jpshortstuff (23.02.10.1) Log created at 05:10 on 22/12/2011 (pumuckl) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- Ich arbeite an einem 32bit Windows Arbeitsplatz. Meine Virensoftware ESET Smarte Security kann ich nur bis zum nächsten Neustart stoppen. Gmer erfordert aber nach jedem Scan den Neustart? Scannt Gmer mehrmals und selbstandig weiter? Mit dem Neustart ist auch ESET Smart Security wieder aktiv. Lassen die bisherigen Anhänge schon eine Aussage zu? Vielen Dank! |
Zitat:
Zitat:
Zitat:
Lerne wie man Paketfilter solchen Kalibers richtig konfiguriert. Wenn du das nicht kannst sind diese Teile Spengstoff für Diskussionen und für dich persönlich nicht an Sinnfreiheit zu toppen. Meine Empfehlung: deinstallieren und die Windows-Firewall verwenden. Da du einen Router hast wäre normalerweise nicht mal die Window-Firewall erforderlich. |
Vielen Dank für die schnelle Antwort. Gmer hat mir noch diese Meldung gezeigt.... Warning!!! GMER has found system modification, with might have been caused by ROOTKIT activity. PINNACLE ist eigentlich der Anbieter meiner TV-Karte. Code: GMER 1.0.15.15641 - http://www.gmer.netWenn denn nun wirklich alles nur Panikmache einer PFW gewesen ist, was muß ich an den Vorbereitungen /Änderungen zum Rootkit Scannen wieder rückgängig machen? Stichwort: defogger.exe - deaktivieren von Emulatoren, sind die noch deaktiviert? Schonmal herzlichen Dank fürs Mitdenken. |
Die PFW hast du nun deinstalliert? Wenn nicht unbedingt machen. Separat abschalten ist sinnfrei |
Zitat:
Frohes Fest! |
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Malwarebytes Vollscan Code: Malwarebytes' Anti-Malware 1.51.2.1300 |
ESET Online Scan Code: ESETSmartInstaller@High as downloader log: |
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. |
Ja, 20 min. zuvor den ungewollten Quick-Scan. Code: Malwarebytes' Anti-Malware 1.51.2.1300 |
Keine Funde. Noch Probleme? Sah so aus, als würde da nur wieder eine PFW sinnlose Hysterie verbreiten. |
Der PC läuft wieder 'geschmeidig'. Habe mittels Security Taskmanager (h**p://neuber.com/taskmanager/deutsch/index.html, Testversion) nach deiner ersten Antwort 2 Prozesse in Quarantäne geschickt. Die fielen mir schon länger ins Auge. 1. Pinnacle\Mediacenter\EpgSpooler Srv.exe 2. EPSON\Web-to-Page\Epson Web-to-Page.dll (Browser Erweiterung, BHO) Vielen Dank für deine Hilfe. |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board
