Hi, ich habe den Verdacht das ich mir einen DNSChanger oder ähnliches eingefangen habe und würde mir nun doch gerne bei euch Hilfe holen.
Ich habe meinen Laptop deshalb erst gestern formatiert aber das Problem besteht weiter.
Es äußert sich darin, das meine google Ergebnisse umgeleitet werden, entweder auf eine ganz andere Seite oderr nur über andere Webseiten redirected werden.
Das allerdings auch nur wenn ich mit unserem WLAN im Mannschaftsheim unserer Kaserne bin. Bin ich mit dem Handy als Modem online is alles ok.
Das Problem haben übrigens auch noch andere Nutzer des WLANs.

Ich hab jetzt nochma alles wie beshrieben ausgeführt:
Hijackthis:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:54, on 17.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\EeePC\ACPI\AsTray.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4373 bytes
         

Malewarebytes aktuell:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1859
Windows 5.1.2600 Service Pack 3

17.03.2009 22:23:55
mbam-log-2009-03-17 (22-23-55).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 68529
Laufzeit: 10 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Malewarebytes mit Befall(ca. vor 4h):

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

17.03.2009 19:09:36
mbam-log-2009-03-17 (19-09-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 63268
Laufzeit: 7 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{b10ca978-a55f-4215-a33b-abed91846687}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.29 85.255.112.170 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{b10ca978-a55f-4215-a33b-abed91846687}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.29 85.255.112.170 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Uninstall-List:

Code: Alles auswählenAufklappen

ATTFilter

Adobe Flash Player 10 Plugin
Advanced IP Scanner v1.5
Advanced LAN Scanner v1.0 BETA 1
Asus ACPI Driver
Avira AntiVir Personal - Free Antivirus
Azurewave Wireless LAN
CCleaner (remove only)
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Malwarebytes' Anti-Malware
Mozilla Firefox (3.0.7)
Realtek High Definition Audio Driver
WIDCOMM Bluetooth Software
WinRAR archiver
ZoneAlarm
         

So, jetzt hoffe ich ma das Ihr weiter wisst, da ich echt kein Plan hab warum ich den scheiß schon wieder auf dem Rechner hab.

Grruß UnD3Rd0g

Hallo ...und

GMER - Rootkit Detection

• Lade Tralala von File-Upload.net - Tralala.exe
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Tralala.exe
  
• Der Reiter Rootkit oben ist schon angewählt
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner.de hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Das war definitiv ein DNS Changer mit Umleitung in die Ukraine.
Er verbirgt sich hinter einem rootkit, das GMER nun versuchen wird zu finden.


Ich gehe mal davon aus, das euer Router / Wlan in der Kaserne nicht mir einem Passwort geschützt ist?

Malwarebytes hat nur die Parameter der Verbindung gelöscht, nicht den rootkit oder den Virus......

Hi,

Crosspost:
http://www.trojaner-board.de/71131-verdacht-wlan-betreiber-verfaelscht-google-ergebnisse-dnschanger-gefunden.html

Theoretisch müsstet Ihr alle Rechner im WLAN prüfen (auf Rootkit und folgendes)...

Zitat:

Die neueste Fassung der DNSchanger installiert einen legitimen Treiber namens "NDISProt" ( ndisprot.sys)...

chris & out

Code: Alles auswählenAufklappen

ATTFilter

Theoretisch müsstet Ihr alle Rechner im WLAN prüfen (auf Rootkit und folgendes)...
         

Nicht nur theoretisch.......

Hi, also GMER werde ich nach der Arbeit durchlaufen lassen wenn ich wieder an meinen Laptop kann. Soll ich dazu alle Laufwerke anschließen und überprüfen lassen?

Mich würd allerdings auch interessieren wie so ein Rootkit auf den PC kommt.
Verbreitet der sich über den Router oder über die Clients?
@Redwulf: Das WLAN is zwar WEP verschlüsselt, der Schlüssel is aber öffentlich damit es alle nutzen können. Ob das config- menü des Routers(Netgear, welcher genau kA) nen PW hat weiß ich net.

So, erstma vielen Dank für eure Hilfe, ihr hört heut mittag von mir. Gruß UnD3Rd0g

PS: wegen des Crosspost hab ich bereits nen Mod kontaktiert, damit der andere Thread gelöscht wird.

Hallo ich habe mir auch den Trojan DNSChanger eingefangen. Gestern war auch ein Rootkit dabei. Habe alles gelöscht aber Dns changer taucht immer wieder auf. Jetzt habe ich diese Rootkit dedection downloaded, ich füge den bericht hier ein.


GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-20 09:58:51
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Ip ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Hi,

@UnD3Rd0g:
Sicherstellen dass der Router über ein Passwort gesichert wird und die Remotekonsole "abgestellt" wird.
Sonst sorgt der inifizierte Rechner im Netz postwendend für das Routing über die Ukraine...

Zitat:

...
Tatsächlich wurden nach Berichten von Brian Krebs von der Washington Post Infektionen bisher bei Modellen von Linksys (BEFSX41) sowie Buffalo (mit der Open-Source-Firmware DD-WRT) beobachtet. Prinzipiell lässt sich die Angriffsmethode aber auf fast alle Routermodelle übertragen.
...
Auf dem PC installiert sucht der Trojaner gezielt nach einem Router und versucht, die Konfigurationsseite aufzurufen. Dabei versucht es der DNSChanger zunächst ohne Passwort und greift dann auf eine Liste mit Standardpasswörtern und häufig benutzten Passwörtern wie "123452 oder "passwort" bzw. den Standardpasswörtern der Routerhersteller (spezifisch) zurück.
...

@abendstern63
Das scheinen alles reguläre Sachen zu sein, keine Rootkits...
Bitte einen eigenen Thread einstellen...

chris&out