|
Plagegeister aller Art und deren Bekämpfung: Trojaner/ Maleware/ falscher DNS Server EintragWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.12.2009, 08:48 | #16 |
| Trojaner/ Maleware/ falscher DNS Server Eintrag Gut.. ich hatte jetzt vorher schon GMER endlich gedownloadet bekommen und einen scan gemacht. zudem habe ich mir mein Netzwerk genauer unter die Lupe genommen und die Firewall hatte 2 komische Programme freigegeben. Diese habe ich jetzt raus genommen. Sind auch immer noch weg Gmer Log1 (Ich arbeite dann jetzt erstmal deine Schritte wieder ab) |
03.12.2009, 09:18 | #17 |
| Trojaner/ Maleware/ falscher DNS Server Eintrag Hi,
__________________dem GMER-Log ist zu entnehmen, dass ein u. a. Rootkit drauf ist... Und zwar wurde die svchost.exe und einige andere Systemdateien geändert! Weitere Vorgehen: Combofix auf sauberem Rechner runterladen (u. umbenennen), auf CD brennen. Infizierten Rechner von XP-CD aus starten (dazu im BIOS die Bootreihenfolge umstellen). In die Rettungskonsole gehen und die die folgenden Dateien aus dem I386-Verzeichnis von der Festplatte in das system32-Verzeichnis kopieren (Alternativ von einem sauberen Rechner besorgen): Backup der verseuchten svchost.exe: Kopiere die Datei svchost.exe nach svchost.exe.vir Code:
ATTFilter expand c:\WINDOWS\ServicePackFiles\i386\svchost.exe c:\windows\system32\svchost.exe oder expand X:\i386\svchost.exe c:\windows\system32\svchost.exe Der eigentliche Rootkittreiber dürfte diese Datei hier sein: C:\WINDOWS\system32\uwmmqn.dll Die bitte auch auf C:\WINDOWS\system32\uwmmqn.dll.vir umbenennen. Zur Sicherheit auch folgende Dateien wie oben beschrieben ersetzten (da passt auch was nicht, lt. GMER): C:\WINDOWS\system32\drivers\ndis.sys C:\WINDOWS\system32\drivers\atapi.sys Danach CD raus, Rechner normal booten, CD mit Combofix rein, Combofix auf Fesplatte kopieren (Desktop) und starten, weiterhin keine Netzwerkanbindung! Er sollte mindestens folgenden Treiber killen: HKLM\SYSTEM\CurrentControlSet\Services\gyimwtpi sowie HKLM\SYSTEM\CurrentControlSet\Services\tewbijrc sonst machen wir das nachher per Hand und Regedit... Noch ein Bitte. Versuche aus Deinem Sohn rauszukitzeln, wo er was versucht hat runterzuladen, das bitte dann als PrivateMail an mich... chris Ps.: Zu combofix: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Am Besten vor dem Brennen auf CD auf z.B. Mopps.exe umbenennen...
__________________ |
03.12.2009, 11:00 | #18 |
| Trojaner/ Maleware/ falscher DNS Server Eintrag Hi,
__________________noch was (Du siehst, Du beschäftigst mich etwas...na gut, eher die Frage ob das hier jetzt TDSS V4 ist (oder nicht)): Anscheinend wird DNS manipuliert und es wird auf "entfernte" Ressourcen zugegriffen (bist Du Dir sicher das sonst nichts verseucht ist?): H?lt Verkn?pfungen f?r NTFS-Dateien auf einem Computer oder zwischen Computern in einer Netzwerkdom?ne aufrecht. und Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden. Bei den beiden "seltsamen" Diensten "gyimwtpi" und "tewbijrc" chris Ps. Wenn wir gerade dabei sind, lade Dir gleich noch von einem sauberen Rechner aus das SP3 runter... http://www.netzwelt.de/download/6407...ce-pack-3.html Auf CD brennen,.... Entweder wir bekommen den Rechner sauber, falls nicht, setzten wir nochmal mit SP3 neu auf. Auf jeden Fall will ich vorher die geretteten verseuchten Dateien noch analysieren... daher die ganze Orgie... -Danke-
__________________ Geändert von Chris4You (03.12.2009 um 11:58 Uhr) |
Themen zu Trojaner/ Maleware/ falscher DNS Server Eintrag |
abgesicherten modus, adobe, c:\windows\temp, combofix, content.ie5, einstellungen, explorer, hijack, hijackthis, hängen, iexplore.exe, internet explorer, log, logon.exe, malware, mbr rootkit, microsoft, net.exe, neu, neu aufgesetzt, nt.exe, ping.exe, problem, programme, rootkit, server, starten, stick, svchost.exe, system, system neu, temp, trojan.generic., usb, virus, warum, windows\temp, winlogon.exe |