|
Trojan.DNSChager die Zweite, Hilfe dringend Ich habe den vorangegangenen Beitrag gelesen, leider hilft er mit nur bedingt weiter. Aber alles nach der Reihe. Ich bin einigermaßen vertraut mit dem Board hier, ich habe schon sehr wertvolle Sicherheitstips bekommen. Mein System: Windows XP professional SP3 mit Bitdefender Antivirus WLAN Router: Arcor easybox A 600. ISP Arcor angeschlossen als LAN der verseute Computer als WLAN ein Laptop Es begann damit, dass ich versucht habe manuell ein Update des Bitdefenders zu fahren. Ich bekam zu meiner Überraschung eine Fehlermeldung "invalid Server", woraufhin ich den Support angerufen habe. Die schickten mir zunächst eine batch Datei die ich öffnen sollte. Auch dies gelang nicht, angeblich fehlten mir die Rechte im System, obwohl ich als Admin angemeldet war. Eine zweite Datei wurde mir geschickt, nachdem man festgestellt hatte, das die DNS Eintrage meiner TCP/IP verbindung eben auf diesen bereits bekannten ukrainischen Server umgeleitet wurden. IP war 85.255.XXX.XXX. es lagen zwei Eintrage an, einmal primär und sekundär. Das Umstellen auf automatisch beziehen brachte nichts, die Einträge wurden immer wieder gesetzt. Die zweite Datei ließ sich über Umwege auf meinen USB Stick entpacken und auf den Desktop des verseuchten Rechners bringen. Es handelt sich hierei wohl um ein Anti DNS Changer tool von Bitdefender, welches jedoch mein System als CLEAN bezeichnete. Ein drittes Tool von Bitdefender bestehend aus Gmer und Avis ließ sich ebenfalls nicht öffnen. Ich versuchte daraufhin Updates von Windows und Malwarebyte zu fahren, was jedoch nicht gelang. :pfui: Es blieb mir nichts übrig und ließ Bitdefender und Malwarebyte suchen. Bitdefender brachte dann 2 rootkits zu Tage, die ich leider nicht mehr nennen kann, da Bitdefender offensichtlich abgebrochen hat. Im Log war nichts zu finden. Gesehen habe ich die Funde jedoch. Sie waren als TMP Dateien in meinem Ordner C:\Dokumente und Einstellungen\Mein Name\Locale Einstellungen \ Temp abgelegt. Diese beiden Dateien wurde von Bitdefender gelöscht.....sagt er. Als Malwarebyte fertig war, hat er 3 Einträge des Trojan.DNSChangers gefunden und zwar in HKey_Local_Maschine. Diese wurden ebenfalls gelöscht. Ab hier verschwanden auch die umgebogenen DNS Einträge in meiner LAN Verbindung des verseuten Rechners. Die TCI/IP Verbindung des Laptops ist ok, ich habe keine Probleme mit dem Browser. Mit Hijackthis finde ich selbst keine verdächtigen Einträge und genau ab hier suche ich eure Hilfe. Ich schreibe im Moment mit meinem Laptop, von hier habe ich bereits unseren WLAN Router untersucht, der übrigens mit Passwort gesichert ist. Die DNS Einträge hier sind vollkommen ok und fangen mit 192.XXX an. Ich habe trotzdem obwohl offensichtlich die wirklich schädlichen Dinge beseitigt SCHEINEN, keine Möglichkeit ein Update bei Microsoft oder bei Bitdefender zu fahren, Malwarebyte lässt sich ebenfalls nicht updaten. Ich dachte bereits an CCCleaner und ComboFix, getraue mich jedoch nicht das ohne fachkundige Anleitung zu tun. Logfiles habe ich erst mal nicht gepostet, ich hoffe ich finde jemanden, der mir kompetent zur Seite steht und diese Dinger von meinem Rechner verbandt. Und falls Fragen aufkommen---ich habe wirklich keine Ahnung woher und warum. Dies ist ein 4 Zugangs Rechner ( 2 Kids und 1 Frau ) aber offensichtlich ist etwas während meiner online Zeit passiert. Die schädlichen Dinge befanden sich in meinen Accounts. Bis auf email checken und surfen auf Otto Versand war an diesem Tage nichts. Surfen mit dem verseuten Rechner ist kaum möglich, auch jetzt noch, entweder sehr langsam oder umgeleitet auf zunächst andere Seiten bevor er die originale Aufmacht. U.A erscheint in der Browerzeile auch mal ganz kurz TEST, eine weisse Seite erscheint mit rechts außen geschrieben TESTING..was immer das bedeuten mag. Ich brauche eure Hilfe gaaaaanz dringend. Danke im voraus.... |
Noch ein Zusatz ich war jetzt nochmals am verseuchten Rechner und habe als Startseite Google festgelegt. Wann immer ich versuche einen Link zu öffnen passiert immer das gleiche. In der Überschrift der Registerkarte erscheint zunächst redirect, dann test mit der Schrift Testing am äußerst rechen Fenster. Weiter gehts mit der Suchseite von Lycos oder anderem, aber nicht der seite die ich eigendlich aufrufe. Irgendwas ist noch krum, obwohl die DNS auf Automatisch steht. lasse gerade nochmal Malwarebyte darüber laufen. Brauch dringend Unterstützung |
Malwarebyte findet nichts |
Hallo Redwulf, bitte trotzdem mal die HijackThis-Logfile posten und lade Dir Gmer direkt von http://www.gmer.net/gmer.zip runter. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei File-Upload.net uploaden und Link posten. Grüße 45cl3p1u5 |
Wird erledigt, file ist bereits runtergeladen. Ich hab im Augenblick wieder den Bitdefender laufen, zur Zeit hat er bereits 2 files gefunden die verseucht sind. Ich habe die Systemwiederherstellung zuvor abgeschaltet. Werde Gmer dann morgen posten.Lasse jetzt den Bitdefender arbeiten und spätestens morgen berichten. Eines noch, der Bitdefender hat sein letztes Update am 13.07.2009 ohne Probleme gemacht,. Nachdem ich mails gecheckt und gesurvt habe, fings dann an. Die DNS primär und sekundär, beginnend mit 195.XXX hab ich bei arcor checken lassen. Die gehören zu Arcor, also kein Befall am Router, bzw WLAN. Danke vorab für deine Hilfe |
So, da bin ich wieder. Ich bin nicht mehr in der Lage den IE 7 zu öffnen. Ich denke ich habe gestern noch etwas zerschossen als ich Hijack this benutzt und einen Eintrag gefixt habe. :headbang: Muss wohl mit dem Laptop nochmal IE 7 runterziehen und dann dort installieren. mal sehen. Aber hier erst mal das aktuellste HiJack Log: Code: Logfile of Trend Micro HijackThis v2.0.2LINK: http://www.file-upload.net/download-...erlog.log.html Ich hoffe wir kriegen das noch hin Danke nochmals |
Update Ich habe IE 7 nochmals installiert und siehe da....Ich kann wieder MS Updates auf meinem System machen. Meine Bitdefender Software zeigt immer noch invalid Server an..... Malwarebyte lässt sich noch nicht updaten. Ich kanns mir nicht leisten dieses System zu verlieren, ich hoffe es gibt trotzdem noch eine Lösung |
Hi Redwulf, Dein Problem kommt mir sehr bekannt vor... Meine Systeme: XPProf. SP 3 (Toshiba Tecra A2) und Vista Home Premium SP 1 (HP Pavilion), WLAN mit Netgear Router DG834GB, Firmware V4.01.06 Habe jetzt zwei Tage an dem Problem rum gedoktort, dass Windows-Update nicht mehr funktioniert, statt dessen auf die Google-Startseite verweist. Google verweist wiederum auf unsinnige und werbende Internet-Seiten, während seltsame Pop-Up-Fenster aufgehen. Und: Updates für Spybot u.ä. sind nicht mehr möglich. Richtig ist, dass sämtliche Spyware-Scanner (z.B. Spybot- mein Favorit - oder Malwarebytes' Anti-Malware) anschlagen: Gefunden werden Registry-Einträge mit dem Hinweis auf "Zlob.DNSChanger" - ein Trojaner, der dafür sorgt, dass Websites umgelenkt werden (s.o.). Schön ist, dass der Trojaner und die Registry-Einträge sich alle entfernen lassen. Großes Problem ist aber, dass sämtliche Registry-Einträge nach dem Neustart wieder vorhanden sind! Viren-Scans (Avira Professional) brachten - auch im abgesicherten Modus - kein Ergebnis. :confused: Die Lösung bei mir: Ein infizierter Router! Ich weiß nicht, wo und wie der Netgear DG834GB mißbraucht wurde. Tatsache ist jedoch, dass die Einträge in die Registry erfolgten, sobald der Rechner mit dem Router verbunden wurde. Keine Infizierung erfolgte dagegen, als ich mich zum Test per web'n'walk-Stick im Internet anmeldete. Konsequenz: Router auf Werkseinstellung zurück setzen (hierfür auf der Rückseite den versenkten Knopf mit einem spitzen gegenstand für ca. 10 sek. gedrückt halten). Danach sämtliche Zugangsdaten neu eingeben - und das werkseitige Kennwort ändern. Systeme laufen bei mir seither störungsfrei! :daumenhoc |
Hallo Redwulf, komprommittierte Systeme (http://www.trojaner-board.de/65029-t...tml#post394394) sollte man neu aufsetzen (http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html Anleitung: Neuaufsetzen des Systems + Absicherung) Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte: - lade Dir bitte Avenger runter (http://swandog46.geekstogo.com/avenger2/download.php) - starten und folgenden Code eingeben: Code: Drivers to delete:- klicke auf "Execute" - klicke auf "Yes" -> der Rechner startet neu - poste den Inhalt der Datei "C:\avenger.txt Grüße 45cl3p1u5 |
@ 45cl3p1u5: Mein Beitrag sollte kein Ersatz für die übrigen Empfehlungen hier im Bord sein, sondern nur eine Anregung sein, auch diese mögliche Ursache zu untersuchen. Deinen Hinweis, ihn "zu ignorieren" halte ich daher für nicht gerechtfertigt: 1. Bei mir war definitiv der Router der Verursacher, was natürlich die Behandlung des komprommitierten Systems nicht ersetzt, sondern nur ergänzt (sonst wird der Versuch der Fehlerbehebung ein endloses Ping-Pong-Spiel) 2. Mein Problem ist kein obskurer Einzelfall; PC-Welt hat schon im Juni 2008 hierüber berichtet: h..p://www.pcwelt.de/start/sicherheit/virenticker/news/165924/zlob_malware_manipuliert_router/ Gruß Joenni |
@joenni ich meinte den von mir geposteten Hinweis bzgl. Kompromittierung. Hatte mich nicht auf Deinen Hinweis bezogen. Sorry, dass das missverständlich war. Grüße 45cl3p1u5 |
Hier ist das Avenger LOG: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gaopdxserv.sys" not found! Deletion of driver "gaopdxserv.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\drivers\gaopdxxecwrxwe.sys" not found! Deletion of file "C:\Windows\system32\drivers\gaopdxxecwrxwe.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\gaopdxpnpsxdql.dll" not found! Deletion of file "C:\Windows\system32\gaopdxpnpsxdql.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Bevor du jetzt schimpfst. Ich habs selber gemacht. Hab mir then Threat mit Google Umleitung angeschaut und dann mein Log betrachtet. Ich hatte andere Einträge, nämlich die o.g. sys und dll Dateien. Es hat wunderbar funktioniert. Wie du siehst... Also nicht hauen... JEDOCH, kurz nachdem dies gemacht wurde meldete sich der [B]itdefender nach seinem update: Rootkit 12519 gefunden und erfolgreich gelöscht. Malwarebyte meldete daraufhin : C:\WINDOWS\system32\drivers\gaopdxxecwrxwe.sys (Trojan.Agent) -> Quarantined and deleted successfully. Malwarebyte / Bitdefender updates gehen wieder. Mein Router ist auch wieder erreichbar. Alles soweit unverändert. der Router war mit Passwort geschützt. Kann ich jedem nur empfehlen. Aber in der system32 war noch ein gadopcounter-file übriggeblieben, den ich per hand gelöscht habe.... Mehrfaches rebooten war nötig, aber jetzt scheint alles ok zu sein.... Avenger kann kein Rootkit mehr finden, ebenso gmer, Malwarebyte und Bitdefender zeigen nichts mehr an. Wie ist deine Meinung? |
sieht gut aus ich rate Dir aber Java zu deinstallieren und Dir die neuer Version Java jre 6 update 12 zu laden und installieren. Grüße und bye 45cl3p1u5 |
Vielen Dank Falls nochmals was sein sollte, kann ich mich dann nochmal melden? Ich meine per PM? Vielen, vielen Dank für eure Hilfe :party::taenzer: |
Zitat:
Grüße 45cl3p1u5 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board