![]() |
Google - Suchanfragen werden umgeleitet, manipulierte TCP/IP-Einstellungen Guten Tag! Seit drei Tagen werden die angegebenen Links von Google oftmals fehlgeleitet, der gesamte Internetzugriff war verlangsamt und fehlerträchtig. Habe gestern nach einiger Recherche einen wohl per DNS Changer manipulierten Eintrag in den TCP/IP-Einstellungen gefunden (93.188.162.242). Diesen habe ich auf "Automatisch" zurückgestellt, woraufhin auch der Internetzugriff wieder normal funktionierte. Nicht desto trotz dürfte das System noch erheblich durchseucht sein. Der Scan via AntiVir fand gestern das Trojanische Pferd Spy.30720.91 in userinit.exe. Hier nun die gewünschten Log-Files: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4986 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.10.2010 13:35:12 mbam-log-2010-10-29 (13-35-12).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 133344 Laufzeit: 5 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (4) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{298d82d0-2731-4624-9c7a-f9b27a39ec46}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ae60acf2-09a4-47ca-b22b-c3e00edb702e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ae60acf2-09a4-47ca-b22b-c3e00edb702e}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Die übrigen Logfiles im Anhang... Bekomme ich mein System wieder sauber, ohne komplett neu Aufzuspielen??? Vielen Dank! Sorry, hier noch das Logfile von HijackThis: HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 Vielen Dank!!! |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! |
Sorry, danke für den Hinweis! Hier das Log vom Vollscan: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5041 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 04.11.2010 10:50:50 mbam-log-2010-11-04 (10-50-50).txt Art des Suchlaufs: Vollständiger Suchlauf (D:\|E:\|) Durchsuchte Objekte: 180275 Laufzeit: 35 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Kann man eigentlich die DNS-Adresse regional zuordnen, über die ich umgeleitet wurde? Vielen Dank für die Mühe! |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
ComboFix liefert das folgende logfile: Combofix Logfile: Code: ComboFix 10-11-09.03 - Pilot 10.11.2010 17:01:48.1.2 - x86 Vielen Dank! |
Zitat:
|
Stimmt, hatte ich vergessen zu erwähnen. Nach dem Herunterladen bei der Vorbereitung der Wiederherstellungskonsole kam die Meldung "Boot Partition kann nicht richtig enumeriert werden." Könnte damit zusammenhängen, dass die Festplatte noch eine dienstliche Partition hat, die man beim Bootvorgang auswählen kann. Von der privaten Partition aus kann man nicht auf dienstliche Seite zugreifen. Soll ich probieren, die Wiederherstellungskonsole manuell zu installieren? |
Was bitte soll eine "dienstliche" Partition sein, was verstehst Du darunter? Ich hab so etwas nämlich noch nie gehört. Hast Du eine WinXP-CD zur Hand? Wenn ja kann man damit ganz einfach die Wiederherstellungsknsole installieren => http://support.microsoft.com/kb/307654/de |
Also, der Laptop ist von meinem Arbeitgeber, die Festplatte hat zwei Partitionen, von denen man beim Booten zunächst eine auswählen muss. Die private Seite enthält Windows XP als privat zu nutzendes Betriebssystem, die dienstlichen Seite bootet eine wohl auf Windows basierende Oberfläche, die bestimmte dienstlich relevante Funktionen enthält. Windows XP war entsprechend vorinstalliert, eine XP-CD habe ich nicht. Ist denn diese Konsole in jedem Fall notwendig? |
Das hättest Du auch mal vorher erwähnen können... Wieso gehst Du mit dem Firmen-Notebook nicht zur EDV-Abteilung? Ich glaub die sehen das nicht so gerne, wenn du daran selber rumfrickelst und denen eine Infektion verschweigst :balla: |
Erstmal vielen Dank für die Mühe! Sorry, war mir anfangs nicht klar, das die zweite Partition irgenwie von Bedeutung ist. Die EDV-Abteilung wird mal einfach die Festplatte formatieren und neu aufspielen, mir wäre aber daran gelegen, nicht wieder ganz von vorne anfangen zu müssen. Gibts denn anhand der aktuellen Logs Hinweise, ob da noch was unerwünschtes vor sich hin brühtet? Das System an sich verhält sich (soweit beurteilbar) wieder vollkommen normal... |
Was genau heißt denn das jetzt? Es ist 2x WinXP installiert? |
Ja, die andere Partition basiert wohl auch auf XP, das Betriebssystem ist aber nochmal komplett eigenständig auf dieser Partition installiert. Wenn man sich auf der privaten Seite befindet, ist der einzige offensichtliche Hinweis für die Partition der Eintrag im Arbeitsplatz: Lokaler Datenträger (c:) [Den Smiley bekomme ich hier irgendwie nicht weg...] ohne ausgewiesene Grösse, wenn man ihn anklickt, wird gleich nach einer Formatierung gefragt (der Datenträger ist verschlüsselt). Ein Zugriff auf das dortige Dateisystem von der privaten Partition aus scheint ausgeschlossen. |
Ok, dann können wir den Teil auch als rein dienstlich und das infizierte Windows als rein privaz behandeln. Hast du die Wiederherstellungskonsole schon installiert? |
Ich habe zwar versucht, das zu recherchieren, aber so richtig klar ist mir das nicht, wie ich es ohne Windows XP-CD hinbekomme... |
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board