![[HaBo]](/styles/default/logoklein.png){kind=small}
Hallo!
Ich hab mir auf meinem eee900 einen Trojaner (oder irgendwas in der Art) eingefangen.
Eigentlich sollte der Rechner seine IP und Nameserver per DHCP beziehen. Der Nameserver wird aber immer wieder auf 85.255.112.89 umgebogen.
Ich hab schon mal HijackThis laufen lassen, und die vermeindlichen Einträge gelöscht. Leider wird der Nameserver nach einem Reboot wieder auf die o.g. IP verbogen.
Hier mal das Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:46, on 23.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Asus\EeePC ACPI\AsTray.exe
C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Programme\GPSoftware\Directory Opus\dopus.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\GPSoftware\Directory Opus\dopusrt.exe
C:\Dokumente und Einstellungen\splitti\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
D:\Programme\Launchy\Launchy.exe
D:\Programme\HotSpot Manager\HotSpotMgr.exe
D:\Programme\eeectl\eeectl.exe
C:\Programme\Gemeinsame Dateien\T-Com\HotspotMgr\HotSpotFSvc.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://eeepc.asus.com/global
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\Asus\EeePC ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [LogonStudio] "d:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "d:\Programme\Stardock\WinCustomize\BootSkin\bootskin.exe" /StartupJobs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DOpus] D:\Programme\GPSoftware\Directory Opus\dopus.exe
O4 - HKCU\..\Run: [Directory Opus Desktop Dblclk] "D:\Programme\GPSoftware\Directory Opus\dopusrt.exe" /dblclk
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] D:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKCU\..\Run: [CursorXP] "d:\Programme\Stardock\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\splitti\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSpot Manager.lnk = D:\Programme\HotSpot Manager\HotSpotMgr.exe
O4 - Startup: Verknüpfung mit eeectl.lnk = D:\Programme\eeectl\eeectl.exe
O4 - Global Startup: Launchy.lnk = D:\Programme\Launchy\Launchy.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02A14A1A-9FF8-4730-87FB-DF2C1C932E2D}: NameServer = 85.255.112.89;85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DD48C16-4095-4D28-A410-F28C79F24932}: NameServer = 85.255.112.89;85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{02A14A1A-9FF8-4730-87FB-DF2C1C932E2D}: NameServer = 85.255.112.89;85.255.112.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{02A14A1A-9FF8-4730-87FB-DF2C1C932E2D}: NameServer = 85.255.112.89;85.255.112.97
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\Windows Live\Messenger\usnsvc.exe (file missing)
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe (file missing)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
--
End of file - 6182 bytes
Die Sachen unter O17 sind die bösen Buben. Aber wie gesagt, wenn ich die Einträge fixe, sind sie nach einem Reboot wieder da ;-(
Ich hoffe, ihr könnt mir helfen?!
MfG
splitti
Ich hab mir auf meinem eee900 einen Trojaner (oder irgendwas in der Art) eingefangen.
Eigentlich sollte der Rechner seine IP und Nameserver per DHCP beziehen. Der Nameserver wird aber immer wieder auf 85.255.112.89 umgebogen.
Ich hab schon mal HijackThis laufen lassen, und die vermeindlichen Einträge gelöscht. Leider wird der Nameserver nach einem Reboot wieder auf die o.g. IP verbogen.
Hier mal das Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:46, on 23.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Asus\EeePC ACPI\AsTray.exe
C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Programme\GPSoftware\Directory Opus\dopus.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\GPSoftware\Directory Opus\dopusrt.exe
C:\Dokumente und Einstellungen\splitti\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
D:\Programme\Launchy\Launchy.exe
D:\Programme\HotSpot Manager\HotSpotMgr.exe
D:\Programme\eeectl\eeectl.exe
C:\Programme\Gemeinsame Dateien\T-Com\HotspotMgr\HotSpotFSvc.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://eeepc.asus.com/global
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\Asus\EeePC ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [LogonStudio] "d:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "d:\Programme\Stardock\WinCustomize\BootSkin\bootskin.exe" /StartupJobs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DOpus] D:\Programme\GPSoftware\Directory Opus\dopus.exe
O4 - HKCU\..\Run: [Directory Opus Desktop Dblclk] "D:\Programme\GPSoftware\Directory Opus\dopusrt.exe" /dblclk
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] D:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKCU\..\Run: [CursorXP] "d:\Programme\Stardock\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\splitti\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSpot Manager.lnk = D:\Programme\HotSpot Manager\HotSpotMgr.exe
O4 - Startup: Verknüpfung mit eeectl.lnk = D:\Programme\eeectl\eeectl.exe
O4 - Global Startup: Launchy.lnk = D:\Programme\Launchy\Launchy.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02A14A1A-9FF8-4730-87FB-DF2C1C932E2D}: NameServer = 85.255.112.89;85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DD48C16-4095-4D28-A410-F28C79F24932}: NameServer = 85.255.112.89;85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{02A14A1A-9FF8-4730-87FB-DF2C1C932E2D}: NameServer = 85.255.112.89;85.255.112.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{02A14A1A-9FF8-4730-87FB-DF2C1C932E2D}: NameServer = 85.255.112.89;85.255.112.97
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\Windows Live\Messenger\usnsvc.exe (file missing)
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe (file missing)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
--
End of file - 6182 bytes
Die Sachen unter O17 sind die bösen Buben. Aber wie gesagt, wenn ich die Einträge fixe, sind sie nach einem Reboot wieder da ;-(
Ich hoffe, ihr könnt mir helfen?!
MfG
splitti
