unbekannte Bedrohung am DC /W2K3

MUCH · 03.11.2010, 20:22

Liebe Forumsmitglieder,

ich habe seit gestern auf einem Kundenserver folgendes Problem:
W2K3, alle Patches & SP's, alle updates von Adobe/Java, etc - Heise check sagt alles up-to-date

Server ist der Domänencontroller...

IP manuell vergeben:
10.23.1.1/255.255.0.0
GW 10.23.254.1 (Firewall)
Als DNS habe ich bei der lokalen Netzwerkkarte am Server eingetragen:
1. DNS: 10.23.1.1
2. DNS public DNS-Server vom Internetprovider

Sobald ich IE öffne, erscheint statt der Startseite (hier Google) die Seite www.rackspot.com

Da auch die DNS-Settings für meine Client-PC's ident sind, habe ich das Problem auf allen Clients :-(

Lösung: Vertausche ich die Reihenfolge der DNS-Server (zuerst public, dann 10.23.1.1), mache dann ipconfig/flushdns öffnet der IE wieder korrekt.
Detto gilt bei den Clients

Nun ist das zwar eine erste Abhilfe, doch scheint mein System verseucht zu sein.

Google-Suche zu www.rackspot.com war leider nicht erfolgreich...

Was habe ich noch gemacht:
kompletten Virenscan mit aktueller Signatur mittels bordseitig installiertem TM WFB 6 (Firmenlösung) - NULL

Weiters den Server heute abends mittels Boot-CD gestartet (c't mit AVK) - dies mit neuester Signatur auf rootkits, trojaner & viren gecheckt - NULL

Malwarebyte Anti-Malware mit aktueller Signatur - NULL
Natürlich auch HiJackthis und Autoruns - NULL
Process exploer - NULL
Spybot S&D mit aktueller Signatur - NULL
Temporäre Verzeichnisse ausgemistet, sowie C:\windows und C:\windows\system32 auf neu hinzugekommene Dateien kontrolliert - NULL

Registry nach www.rackspot.com durchsucht - NULL

Kennt zufällig jemand dieses Phänomen?

Danke!

03.11.2010, 20:22	#1
MUCH Elite Registriert seit: 11.08.2000 Beiträge: 1.412	unbekannte Bedrohung am DC /W2K3 Liebe Forumsmitglieder, ich habe seit gestern auf einem Kundenserver folgendes Problem: W2K3, alle Patches & SP's, alle updates von Adobe/Java, etc - Heise check sagt alles up-to-date Server ist der Domänencontroller... IP manuell vergeben: 10.23.1.1/255.255.0.0 GW 10.23.254.1 (Firewall) Als DNS habe ich bei der lokalen Netzwerkkarte am Server eingetragen: 1. DNS: 10.23.1.1 2. DNS public DNS-Server vom Internetprovider Sobald ich IE öffne, erscheint statt der Startseite (hier Google) die Seite www.rackspot.com Da auch die DNS-Settings für meine Client-PC's ident sind, habe ich das Problem auf allen Clients :-( Lösung: Vertausche ich die Reihenfolge der DNS-Server (zuerst public, dann 10.23.1.1), mache dann ipconfig/flushdns öffnet der IE wieder korrekt. Detto gilt bei den Clients Nun ist das zwar eine erste Abhilfe, doch scheint mein System verseucht zu sein. Google-Suche zu www.rackspot.com war leider nicht erfolgreich... Was habe ich noch gemacht: kompletten Virenscan mit aktueller Signatur mittels bordseitig installiertem TM WFB 6 (Firmenlösung) - NULL Weiters den Server heute abends mittels Boot-CD gestartet (c't mit AVK) - dies mit neuester Signatur auf rootkits, trojaner & viren gecheckt - NULL Malwarebyte Anti-Malware mit aktueller Signatur - NULL Natürlich auch HiJackthis und Autoruns - NULL Process exploer - NULL Spybot S&D mit aktueller Signatur - NULL Temporäre Verzeichnisse ausgemistet, sowie C:\windows und C:\windows\system32 auf neu hinzugekommene Dateien kontrolliert - NULL Registry nach www.rackspot.com durchsucht - NULL Kennt zufällig jemand dieses Phänomen? Danke! ____________________________________ Liebe Grüsse Michi

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)