DNS-Entführung

Hallo liebe Leute,

beim HjJack-Log ist mir bei den 017-Einträgen eine DNS-Entführung mit IP-Adressen in der Ukraine aufgefallen. Nach dem Fixen der Einträge kam ich nicht mehr ins Web (Seite wurde nicht gefunden), also mußte ich das Fixen wieder rückgängig machen. Die Meinungen im Web gehen sehr auseinander, von "harmlos" bis zu "sofort vom Netz nehmen und System neu aufsetzen". Es wäre sehr nett, wenn Ihr mal einen Blick auf den beigefügten Hijack-Log werfen könntet. Habe auch das Ergebnis von Activescan angefügt. Ist da nu noch was zu retten??? Vielen Dank im voraus.

 

Deaktiviere sämliche Run-Schlüsselaufrufe über msconfig; deaktiviere alle Nicht-MS-Dienste über msconfig.Anschließend fixt du die falschen DNS-Einträge und setzt in der Netzwerkverwaltung die richtigen.

Dann neu booten und schauen, ob die Hijack-DNS-Einträge wieder auftauchen.Danach kannst du die in den ersten beiden Schritten deaktivierten Starts im einzelnen wieder aktivieren, sofern dir völlig klar ist, was sie jeweils bewirken (also zuerst die AV-Prozesse).Die Einträge, mit denen du nichts anfangen kannst, deaktiviert lassen.Wenn irgendetwas nicht korrekt funktioniert, wird sich das betreffende Programm schon melden und du kannst dann überprüfen, ob es wieder beim Systemstart mitstarten soll.

 

http://www.cidres-security.de/hjt_tutorial.html#o17

 

Hallo buddy2002 und deoroller,
vielen Dank für die schnellen Antworten.
@deoroller: Mir ist schon klar, dass ich die Einträge fixen sollte, leider klappt es aber nicht, weil ich anschließend nicht mehr in Netz komme.

@buddy2002: ich habe Bedenken, dass ich mit meinen Halbwissen ziemlichen Schaden anrichten könnte, daher frage ich lieber nochmal:
Wenn ich mit Config unter Systemstart alle exe.-Dateien deaktiviert habe (und alle nicht MS-Dienste), wie kann der Compu dann booten?

Und zu guter letzt: Der DNS-Server müßte die gleiche sein wie der Standardgateway. Wo kann ich das eintragen? Unter "Netzwerkverbindungen" finde ich nix.

Danke nochmal!!!

 

Die von mir genannten Einträge lassen sich ohne weiteres deaktivieren.Das berührt nicht die Funktionsfähigkeit des Systems.Bei den Diensten muss man wie gesagt darauf achten, dass man nur die Nicht-MS-Dienste deaktiviert :

Start -> ausführen -> msconfig -> Dienste -> Alle Microsoft-Dienste ausblenden : Jetzt werden dir nur noch die Dienste angezeigt, die von Nicht-MS-Quellen ins System gekommen sind und die man gefahrlos deaktivieren kann.

Dasselbe gilt für alle Run-Einträge; auch diese können vollständig deaktiviert werden, ohne dass die Funktionsfähigkeit beeinträchtigt wird.

Start -> ausführen -> msconfig -> Systemstart

Wenn eine solche Überprüfung durchführt, sollte man allerdings nicht vergessen, die Dienste und Systemstartprogramme wieder zu aktivieren, die sich auf einen Antivirenscanner beziehen, weil sonst dieser Schutz wegfiele.

 

Hallo buddy2002,

hat bestens funktioniert, die umgelenkte DNS-Adresse ist geändert, alles läuft problemlos (Run-Einträge, bzw. Nicht-MS-Dienste werde ich bei Bedarf aktivieren). Ich bedanke mich nochmals für die kompetente Hilfe. Tolles Forum.
Nur noch ´ne allgemeine Frage: Auf der Suche nach einer Lösung meines DNS-Problems habe ich in diversen Foren HJ-Protokolle gesehen, die wegen ganz anderer Probleme gepostet worden sind. Einige hatten vergleichbare Umleitungen in den 017ern-Einträgen (teilweise die gleichen wie bei meinem Compi), ohne dass jemand darauf eingegangen wäre. Sind diese Umleitungen nun wirklich gefährlich oder sind sie (zumindest bei Verwendung von Firewall und AV-Programmen) eigentlich harmlos?

 

Diese Umleitungen sind potentiell gefährlich und geschehen in böser Absicht.