Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner/ Maleware/ falscher DNS Server Eintrag

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.12.2009, 08:48   #16
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Gut.. ich hatte jetzt vorher schon GMER endlich gedownloadet bekommen und einen scan gemacht.

zudem habe ich mir mein Netzwerk genauer unter die Lupe genommen und die Firewall hatte 2 komische Programme freigegeben. Diese habe ich jetzt raus genommen. Sind auch immer noch weg

Gmer Log1 (Ich arbeite dann jetzt erstmal deine Schritte wieder ab)

Alt 03.12.2009, 09:18   #17
Chris4You
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Hi,

dem GMER-Log ist zu entnehmen, dass ein u. a. Rootkit drauf ist...
Und zwar wurde die svchost.exe und einige andere Systemdateien geändert!

Weitere Vorgehen:
Combofix auf sauberem Rechner runterladen (u. umbenennen), auf CD brennen.

Infizierten Rechner von XP-CD aus starten (dazu im BIOS die Bootreihenfolge umstellen). In die Rettungskonsole gehen und die die folgenden Dateien aus dem I386-Verzeichnis von der Festplatte in das system32-Verzeichnis kopieren (Alternativ von einem sauberen Rechner besorgen):
Backup der verseuchten svchost.exe:

Kopiere die Datei svchost.exe nach svchost.exe.vir
Code:
ATTFilter
expand c:\WINDOWS\ServicePackFiles\i386\svchost.exe c:\windows\system32\svchost.exe

oder

expand X:\i386\svchost.exe c:\windows\system32\svchost.exe
         
(Wobei X Dein CD-Lfw. ist)

Der eigentliche Rootkittreiber dürfte diese Datei hier sein:
C:\WINDOWS\system32\uwmmqn.dll

Die bitte auch auf C:\WINDOWS\system32\uwmmqn.dll.vir umbenennen.

Zur Sicherheit auch folgende Dateien wie oben beschrieben ersetzten (da passt auch was nicht, lt. GMER):
C:\WINDOWS\system32\drivers\ndis.sys
C:\WINDOWS\system32\drivers\atapi.sys

Danach CD raus, Rechner normal booten, CD mit Combofix rein, Combofix auf Fesplatte kopieren (Desktop) und starten, weiterhin keine Netzwerkanbindung!

Er sollte mindestens folgenden Treiber killen:
HKLM\SYSTEM\CurrentControlSet\Services\gyimwtpi
sowie
HKLM\SYSTEM\CurrentControlSet\Services\tewbijrc

sonst machen wir das nachher per Hand und Regedit...

Noch ein Bitte. Versuche aus Deinem Sohn rauszukitzeln, wo er was versucht hat runterzuladen, das bitte dann als PrivateMail an mich...

chris
Ps.:
Zu combofix:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.

Am Besten vor dem Brennen auf CD auf z.B. Mopps.exe umbenennen...
__________________

__________________

Alt 03.12.2009, 11:00   #18
Chris4You
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Hi,

noch was (Du siehst, Du beschäftigst mich etwas...na gut, eher die Frage ob das hier jetzt TDSS V4 ist (oder nicht)):

Anscheinend wird DNS manipuliert und es wird auf "entfernte" Ressourcen zugegriffen (bist Du Dir sicher das sonst nichts verseucht ist?):
H?lt Verkn?pfungen f?r NTFS-Dateien auf einem Computer oder zwischen Computern in einer Netzwerkdom?ne aufrecht.
und
Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
Bei den beiden "seltsamen" Diensten "gyimwtpi" und "tewbijrc"

chris
Ps. Wenn wir gerade dabei sind, lade Dir gleich noch von einem sauberen Rechner aus das SP3 runter...
http://www.netzwelt.de/download/6407...ce-pack-3.html
Auf CD brennen,....
Entweder wir bekommen den Rechner sauber, falls nicht, setzten wir nochmal mit SP3 neu auf.
Auf jeden Fall will ich vorher die geretteten verseuchten Dateien noch analysieren... daher die ganze Orgie...
-Danke-
__________________
__________________

Geändert von Chris4You (03.12.2009 um 11:58 Uhr)

Antwort

Themen zu Trojaner/ Maleware/ falscher DNS Server Eintrag
abgesicherten modus, adobe, c:\windows\temp, combofix, content.ie5, einstellungen, explorer, hijack, hijackthis, hängen, iexplore.exe, internet explorer, log, logon.exe, malware, mbr rootkit, microsoft, net.exe, neu, neu aufgesetzt, nt.exe, ping.exe, problem, programme, rootkit, server, starten, stick, svchost.exe, system, system neu, temp, trojan.generic., usb, virus, warum, windows\temp, winlogon.exe




Ähnliche Themen: Trojaner/ Maleware/ falscher DNS Server Eintrag


  1. Anhang von falscher Zalando-Email geöffnet, Virus oder Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 18.11.2014 (11)
  2. Datei in falscher Telekom-Rechnung geöffnet - Avir findet Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.06.2014 (9)
  3. GVU Trojaner und der Eintrag AutoRun im Command Processor
    Log-Analyse und Auswertung - 12.07.2013 (11)
  4. Spyhunter 4, Maleware oder Maleware Security Suite?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2013 (5)
  5. Trojaner Fund oder nur falscher Alarm ?
    Log-Analyse und Auswertung - 13.04.2013 (2)
  6. Trojaner Maleware
    Plagegeister aller Art und deren Bekämpfung - 03.12.2012 (3)
  7. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  8. Trojaner: RUNDLL32 -Eintrag nicht gefunden - FQ10
    Plagegeister aller Art und deren Bekämpfung - 31.08.2012 (14)
  9. Trojaner nach falscher Deutsche-Post e-mail.
    Log-Analyse und Auswertung - 13.06.2012 (1)
  10. Falscher Bundespolizei-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (23)
  11. Wo in der Registry Trojaner-Eintrag löschen?
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (7)
  12. Trojaner + Zeitlospacker + Maleware
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (11)
  13. Ftp server (Filezilla / Quick n´easy FTP server lite)
    Alles rund um Windows - 10.01.2009 (7)
  14. Trojaner der Run Registry Eintrag immer wieder neu erstellt?
    Log-Analyse und Auswertung - 30.10.2008 (1)
  15. Trojaner,Maleware usw.
    Plagegeister aller Art und deren Bekämpfung - 05.06.2008 (5)
  16. Trojaner mit falscher Wurm Warnung
    Plagegeister aller Art und deren Bekämpfung - 09.09.2005 (1)
  17. Virus? Trojaner? Oder falscher Alarm?
    Plagegeister aller Art und deren Bekämpfung - 14.04.2004 (14)

Zum Thema Trojaner/ Maleware/ falscher DNS Server Eintrag - Gut.. ich hatte jetzt vorher schon GMER endlich gedownloadet bekommen und einen scan gemacht. zudem habe ich mir mein Netzwerk genauer unter die Lupe genommen und die Firewall hatte 2 - Trojaner/ Maleware/ falscher DNS Server Eintrag...
Archiv
Du betrachtest: Trojaner/ Maleware/ falscher DNS Server Eintrag auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.