Und nochmal DNS changer ...
Hallo zusammen.
Z.Z. Scheinen ja DNS Changer groß in Mode zu sein. Ich habe allein in diesem Forum schon an die 20 Threads gelesen ...
Habe hier ein Problem mit meinem Laptop. Wenn ich mich in unser LAN (ohne Internet Zugang) hänge kann ich diverse HTTP-Server nicht mehr erreichen.
Ein kleiner Trace mit Wireshark zeigte mir auch gleich das die DNS Anfragen nicht zum Hauseigenen DNS Server gelenkt werden sonder zu den allseits bekannten 85.255.xxx.xxx Ukrainischen Servern.
Hier im LAN werden fixed IP's verwendent. Auch für DNS. Upnp gibt's meilenweit nicht.
Nachdem ich doch einige Beiträge gelesen, einige Tools wie Smithfraudfix, Exterminate-it, MAB & spynomore ausprobiert und einiges entfernt habe, existiert das Problem leider immer noch.
Sobald ich eine DNS Auflösung mache werde ich an besagte Server umgeleitet - sehr schön in Wireshark zu sehen.
Ebenfalls sehr merkwürdig ist das ich den Internetexplorer nicht mehr öffnen kann. Es gibt keine Fehlermeldung oder ähnliches. Es geht einfach nur nicht ...
Firefox scheint kein Problem zu haben.
Hier die "mandatory" Logfiles. Ich hoffe es fällt euch noch was ein. Ich bin mit meinem Latein am ende ...
Neuinstallieren iss leider nicht ... Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:51, on 12.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DellTPad\Apoint.exe
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\DellTPad\Apntex.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe
C:\WINDOWS\system32\StacSV.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\OfficeScan NT\CNTAoSMgr.exe
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMP\QAA146.EXE
C:\Programme\NetSetMan\NetSetMan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: NameServer = 10.102.83.18,10.102.83.19
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SafeGuard Easy Control (SgeCtl) - Utimaco Safeware AG - C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\StacSV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programme\OfficeScan NT\TmProxy.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 3949 bytes
Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3
12.02.2009 11:42:10
mbam-log-2009-02-12 (11-42-10).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 77010
Laufzeit: 9 minute(s), 48 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
SmitFraudFix v2.395
Scan done at 13:22:02,39, 12.02.2009
Run from D:\Download\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DellTPad\Apoint.exe
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\DellTPad\Apntex.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe
C:\WINDOWS\system32\StacSV.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\OfficeScan NT\CNTAoSMgr.exe
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMP\QAA146.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\gm093850
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\gm093850\LOKALE~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\gm093850\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\gm093850\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Broadcom NetXtreme 57xx Gigabit Controller #2
DNS Server Search Order: 10.150.128.10
DNS Server Search Order: 10.149.0.4
Description: Broadcom NetXtreme 57xx Gigabit Controller #2
DNS Server Search Order: 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
| 