|
Plagegeister aller Art und deren Bekämpfung: Möglicherweise DNSChanger eingefangen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.03.2009, 22:33 | #1 |
| Möglicherweise DNSChanger eingefangen? Hi, ich habe den Verdacht das ich mir einen DNSChanger oder ähnliches eingefangen habe und würde mir nun doch gerne bei euch Hilfe holen. Ich habe meinen Laptop deshalb erst gestern formatiert aber das Problem besteht weiter. Es äußert sich darin, das meine google Ergebnisse umgeleitet werden, entweder auf eine ganz andere Seite oderr nur über andere Webseiten redirected werden. Das allerdings auch nur wenn ich mit unserem WLAN im Mannschaftsheim unserer Kaserne bin. Bin ich mit dem Handy als Modem online is alles ok. Das Problem haben übrigens auch noch andere Nutzer des WLANs. Ich hab jetzt nochma alles wie beshrieben ausgeführt: Hijackthis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:17:54, on 17.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\EeePC\ACPI\AsTray.exe C:\Programme\EeePC\ACPI\AsAcpiSvr.exe C:\Programme\EeePC\ACPI\AsEPCMon.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxext.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\SOUNDMAN.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE D:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4373 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1859 Windows 5.1.2600 Service Pack 3 17.03.2009 22:23:55 mbam-log-2009-03-17 (22-23-55).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 68529 Laufzeit: 10 minute(s), 38 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1749 Windows 5.1.2600 Service Pack 3 17.03.2009 19:09:36 mbam-log-2009-03-17 (19-09-36).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 63268 Laufzeit: 7 minute(s), 47 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{b10ca978-a55f-4215-a33b-abed91846687}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.29 85.255.112.170 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{b10ca978-a55f-4215-a33b-abed91846687}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.29 85.255.112.170 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter Adobe Flash Player 10 Plugin Advanced IP Scanner v1.5 Advanced LAN Scanner v1.0 BETA 1 Asus ACPI Driver Avira AntiVir Personal - Free Antivirus Azurewave Wireless LAN CCleaner (remove only) HijackThis 2.0.2 Intel(R) Graphics Media Accelerator Driver Malwarebytes' Anti-Malware Mozilla Firefox (3.0.7) Realtek High Definition Audio Driver WIDCOMM Bluetooth Software WinRAR archiver ZoneAlarm Grruß UnD3Rd0g |
18.03.2009, 00:42 | #2 |
| Möglicherweise DNSChanger eingefangen? Hallo ...und
__________________GMER - Rootkit Detection
__________________ |
18.03.2009, 02:10 | #3 |
| Möglicherweise DNSChanger eingefangen? Das war definitiv ein DNS Changer mit Umleitung in die Ukraine.
__________________Er verbirgt sich hinter einem rootkit, das GMER nun versuchen wird zu finden. Ich gehe mal davon aus, das euer Router / Wlan in der Kaserne nicht mir einem Passwort geschützt ist? Malwarebytes hat nur die Parameter der Verbindung gelöscht, nicht den rootkit oder den Virus...... Geändert von Redwulf (18.03.2009 um 02:31 Uhr) |
18.03.2009, 07:58 | #4 | |
| Möglicherweise DNSChanger eingefangen? Hi, Crosspost: http://www.trojaner-board.de/71131-verdacht-wlan-betreiber-verfaelscht-google-ergebnisse-dnschanger-gefunden.html Theoretisch müsstet Ihr alle Rechner im WLAN prüfen (auf Rootkit und folgendes)... Zitat:
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
18.03.2009, 08:07 | #5 |
| Möglicherweise DNSChanger eingefangen?Code:
ATTFilter Theoretisch müsstet Ihr alle Rechner im WLAN prüfen (auf Rootkit und folgendes)... |
18.03.2009, 08:37 | #6 |
| Möglicherweise DNSChanger eingefangen? Hi, also GMER werde ich nach der Arbeit durchlaufen lassen wenn ich wieder an meinen Laptop kann. Soll ich dazu alle Laufwerke anschließen und überprüfen lassen? Mich würd allerdings auch interessieren wie so ein Rootkit auf den PC kommt. Verbreitet der sich über den Router oder über die Clients? @Redwulf: Das WLAN is zwar WEP verschlüsselt, der Schlüssel is aber öffentlich damit es alle nutzen können. Ob das config- menü des Routers(Netgear, welcher genau kA) nen PW hat weiß ich net. So, erstma vielen Dank für eure Hilfe, ihr hört heut mittag von mir. Gruß UnD3Rd0g PS: wegen des Crosspost hab ich bereits nen Mod kontaktiert, damit der andere Thread gelöscht wird. Geändert von UnD3Rd0g (18.03.2009 um 08:42 Uhr) |
18.03.2009, 08:56 | #7 |
| Möglicherweise DNSChanger eingefangen? Dein Mod ist nicht da, deshalb antworte ich dir mal Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst wenn diese Tarnung fällt, ist der Virus "sichtbar". Wie kommen rootkits und Viren auf den Rechner? Nun es gibt viele Möglichkeiten sich solche Schadware auf den Rechner zu lotsen. Illegale Webseiten, E-mail Anhänge die man öffnet, unbekannte exe Datein die man anklickt etc etc. Aber mal eine andere Frage. Dieser DNS Changer stellt ein ernstzunehmendes Sicherheitsproblem dar, je nachdem wofür der hauseigene Anschluß genutzt wird. Geht auch ein, ich drücks mal so aus, offizieller Rechner ans Netz? Sämtlicher Datenverkehr wird umgeleitet in die Ukraine , um genau zu sein nach Odessa- und ist einsehbar. Ob es nun Onlinebanking, Ebay oder "offizielle oder geheime Dokumente" sind. Sämtliche Passwörter sind ab sofort unsicher. Du solltest das in deiner Kaserne kundtun. Netgear verfügt wahrscheinlich über sein Standart Login, das selbst ich kenne, man braucht nur zu googeln nach Handbüchern... Zu deiner Frage,- und hier darf ich deinen Mod zitieren im crossposting: Code:
ATTFilter In Eurem WLAN hängt ein verseuchter Rechner, der als DNS-Server fungiert, der Rest hat "DNS-Serveradresse automatisch beziehen" in seinen Netzwerkeigenschaften stehen. So, beim ersten Start des sauberen Rechner sucht der den DNS-Server, antwortet nun der verseuchte Rechner schneller als der tatsächliche (der ja Remote ist und damit "langsamer"), bekommt der saubere Rechner Feedback von dem verseuchten, und dann war das mal ein sauberer Clientrechner (s. auch http://www.pcwelt.de/start/sicherheit/virenticker/news/189286/malware_installiert_boeswilligen_dhcp_server_im_ne tz/) . D.H. wenn Ihr den verseuchten Rechner nicht aufspürt der als DNS-Server dient, müsstet Ihr den DNS-Server "hart" verdrahten... Es gibt auch noch einen Trojaner/DNS-changer, der den Router knackt wenn das Passwort "einfach" ist und dann die Routereinstellung entsprechend abändert... Geändert von Redwulf (18.03.2009 um 09:08 Uhr) |
18.03.2009, 09:09 | #8 |
| Möglicherweise DNSChanger eingefangen? Also offizielle Rechner hängen net dran. Zum Glück! Nachdem mir die Manipulierung letztes Mal aufgefallen ist habe ich meine Passwörter bereits geändert. Das ist jetzt jedoch auch wieder hinfällig. Hab mich gestern z.B. bei web.de übers WLAN eingeloggt. Is denn wohl mein PPC(WM 6) noch clean? Der war noch net im WLAN. Mit den bin ich auch jetzt online und würd gern meine PWs ändern |
18.03.2009, 12:59 | #10 |
| Möglicherweise DNSChanger eingefangen? Hi, hier also mein GMER Log: Code:
ATTFilter GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-03-18 12:56:44 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xAA175040] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xAA171930] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xAA17CA80] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xAA175510] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xAA17B870] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xAA17BAA0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xAA17EFD0] SSDT F7C621E4 ZwCreateThread SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xAA175600] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xAA171F20] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xAA17D6E0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xAA17D440] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xAA17B580] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xAA17D8B0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xAA171D70] SSDT F7C621D0 ZwOpenProcess SSDT F7C621D5 ZwOpenThread SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xAA17E250] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xAA17DCB0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xAA174C00] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xAA17E080] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xAA175220] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xAA172120] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xAA17D140] SSDT F7C621DF ZwTerminateProcess SSDT F7C621DA ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2C7C 80504508 12 Bytes [ 10, 55, 17, AA, 70, B8, 17, ... ] ? srescan.sys Das System kann die angegebene Datei nicht finden. ! ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [AA179CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [AA17A1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [AA17A320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [AA179E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [AA179E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [AA179CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [AA17A1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [AA17A320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [AA179CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [AA179E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [AA17A320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [AA17A1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [AA17A320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [AA17A1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [AA179CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [AA179E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [AA179CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [AA17A1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [AA17A320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [AA179CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [AA179E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [AA17A320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [AA17A1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ---- Devices - GMER 1.0.14 ---- Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.14 ---- |
19.03.2009, 09:51 | #12 |
| Möglicherweise DNSChanger eingefangen? Hi, nun, das Log ist sauber (kein Rootkit)... Aber eine Infektion kommt ja auch erst später, zuerst werden über den gefälschten DHCP-Server Deine I-Netverbindung umgeleitet, alles mitprotokolliert und wenn Bedarf besteht, Dir was untergeschoben... Wenn Dein PDA kein fest vorgegebenen DHCP-Server hat und ihn auch dynamisch bezieht, dann gilt hier prinzipiell das gleiche (das ist ja das geniale an dem Trick)... Test: einen festen D-Server vergeben, wenn dann immer noch Umleitungen stattfinden, dann hängt der Router auch mit drinn, wenn nicht, dürfte der Router sicher sein... Vorher aber erst wieder die Umleitungen rausnehmen (Du weisst schon, die 85.xxx)... Fest DHCP-Server kannst Du "ergoogeln" der Nachteil ist, zieht der um oder ist nicht verfügbar wars das mit der I-Verbindung.... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
19.03.2009, 13:03 | #13 |
| Möglicherweise DNSChanger eingefangen? Hi, dann hat sich mein Gefühl ja bestätigt das mein Laptop sauber ist. Ich muss ma beim betreiber fragen welche Adresse der Router hat und dann ma mit ner statischen IP reingehen. Gruß Und3Rd0g |
20.03.2009, 09:02 | #14 |
| Möglicherweise DNSChanger eingefangen? Hi, ich hab gestern ma auf den Router geschaut und da auch gleich die falschen DNS-Einträge gefunden und wieder auf "automatisch von ISP" gestellt. Der Laptop vom Betreiber scheint auch sauber zu sein, bleibt also nur noch en verseuchter Client ders reingebracht hat. Also nochma vielen Dank. Ich denke der Thread is jetzt gelöst. |
20.03.2009, 09:59 | #15 |
| Möglicherweise DNSChanger eingefangen? Hallo ich habe mir auch den Trojan DNSChanger eingefangen. Gestern war auch ein Rootkit dabei. Habe alles gelöscht aber Dns changer taucht immer wieder auf. Jetzt habe ich diese Rootkit dedection downloaded, ich füge den bericht hier ein. GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-03-20 09:58:51 Windows 5.1.2600 Service Pack 3 ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Ip ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Tcp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Udp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\RawIp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation) ---- EOF - GMER 1.0.14 ---- |
Themen zu Möglicherweise DNSChanger eingefangen? |
adobe, adobe flash player, antivir, antivirus, asus, avira, dll, eeepc, explorer, firefox, flash player, google, hkus\s-1-5-18, internet, internet explorer, malwarebytes' anti-malware, mozilla, problem, programme, registrierungsschlüssel, rundll, senden, software, system, warum, windows, windows xp, wlan |