| |
| |||||||
Log-Analyse und Auswertung: DNS-Umleitung über einen ausländischen Server? *Hilfe?!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
22.01.2008, 14:42
| #1 |
 |  DNS-Umleitung über einen ausländischen Server? *Hilfe?! Danke erstmal für die schnelle Hilfe! Das war mir alles zu "wild" habe windows neu inst. und hoffe das jetzt alles sauber ist.. anbei der neue scan. Wie kann ich mich zukünftigt schützen? Habe mir jetzt zusätzlich zu antivir zonealarm inst. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:23:48, on 22.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Acer\Empowering Technology\admServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\Explorer.EXE C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://shop.antivir-pe.de/?U2VyaWFsPSIwMDAwMTQ5OTk2LUFESklFLTAwMDEiJlVzZXJuYW1lPSJBdmlyYSBBbnRpVmlyIFBlcnNvbmFsRWRpdGlvbiBDbGFzc2ljIiZQcm9kdWN0SWQ9IjU3IiZFeHBpcnlEYXRlPSIyOC0wM i0yMDA3Ig== O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe" O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{D1CCB70F-F104-48BC-9A51-D62901EC137F}: NameServer = 192.168.0.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5034 bytes |
|
22.01.2008, 15:17
| #2 |
  | DNS-Umleitung über einen ausländischen Server? *Hilfe?! Hi,
__________________sehr gut; Das hier sieht wild aus, geht aber wohl auf antivir zurück: R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://shop.antivir-pe.de/?U2VyaWFsPSIwMDAwMTQ5OTk2LUFESklFLTAwMDEiJlVzZXJuY W1lPSJBdmlyYSBBbnRpVmlyIFBlcnNvbmFsRWRpdGlvbiBDbGF zc2ljIiZQcm9kdWN0SWQ9IjU3IiZFeHBpcnlEYXRlPSIyOC0wM i0yMDA3Ig== So, Antivir hat einen Wächter (Datei-Level), Zonealarm ist die Firewall, fehlt noch sowas wie ein Registry-Monitor (proaktiver Schutz); Spybot mit Teatimer etc. (wenn der keine Probleme machen sollte bei Dir); Dann wirst du auch informiert, wenn die Registry verändert wird. Weiterhin Firefox als Browser mit NoScript-Erweiterung und ev. FoxyProxy... chris
__________________ |
|
22.01.2008, 17:30
| #3 |
| | DNS-Umleitung über einen ausländischen Server? *Hilfe?! Hi, denke auch das das die richtige entscheidung war... nebenbei habe ich noch ad-aware und tune-up inst. welche regelmäßig durchlaufen und das nicht erst seit heute. dazu alle aktuellen und wichtigen updates, dachte immer ich bin sauber, so schnell kann es gehen, weiß auch nicht wieso ich aufeinmal so befallen wurde?! hast du eine idee wie das kommt. firefox ist standard.
__________________mal ein virus ist ok, aber backdoor viren und umleitungen auf einen anderen server machen mich nachdenklich... meinste ich sollte ein proxy nutzen? wird da meine leitung nicht langsamer, bzw. was ist "foxyproxy" aufjedenfall danke für deine schnelle hilfe, sonst hätte ich wahrscheinlich nicht so schnell reagiert! gruß |
|
| Themen zu DNS-Umleitung über einen ausländischen Server? *Hilfe?! |
| antivir, avira, backdoor, black, canon, desktop, excel, firefox, ftp, google, hijack, hijackthis, hkus\s-1-5-18, hotspot, internet, internet explorer, monitor, mozilla, mozilla firefox, object, registry, rundll, s-1-5-18, senden, server, shockwave, software, system, urlsearchhook, viren, windows, windows xp |
Hybrid-Darstellung
