DNS verbogen (85.255.112.87)

[harry68]

Hallo, auf meinem Macbook habe ich mir wohl einen Trojaner/Spyware eingefangen. Sobald ich das Netzwerk aktiviere werden nach wenigen Sekunden zwei DNS-Server eingetragen (85.255.112.87 und 85.255.116.133).

Ein Scan mit MacScan fand eine Spywaredatei, welche auch entfernt wurde. Aber das Problem besteht weiterhin. Hat einer ne Idee wo ich suchen könnte?

Gruß Harry

/edit Ach ja, es ist OSX 10.5.5 installiert

 

[connect]

naja, wenn du Deine Netzwerkkonfiguration via DHCP empfängst und der dir diese beiden Nameserver einträgt, dann solltest Du lieber auf deinem DHCP-Server nachschauen.

 

[harry68]

Guter Einwand, allerdings hängt mein MacMini am gleichen Router und der fängt sich nichts ein.

 

[pepi]

Ist auf beiden Rechnern 10.5.5 installiert?

Die beiden IPs liegen bei UkrTele in der Ukraine.

Die IP 85.255.112.87 hat kurzzeitig auf 85.255.112.87-xbox.dedi.inhoster.com. gezeigt. DNS Server laufen dort momentan keine, das kann aber immer wieder mal so sein. Könnte ein Teil eines FastFlux Netzwerkes sein, muß aber nicht.

Ist der betroffene Mac vielleicht im WLAN eines Nachbarn eingebucht?
Gruß Pepi

 

[harry68]

Auf dem Mini läuft noch Tiger. Es ist definitiv mein Netzwerk, sonst könnte ich auch nicht auf meinen Mini zugreifen. Wer die IP in Google eingibt, wird auch zig Seiten landen, welche sich um Trojaner kümmern. Leider steht dort immer nur, wie man den Trojaner von Windows entfernt - zu OSX kommt nichts (zumindest habe ich nichts brauchbares gefunden).

 

[ahenrich]

The Trojan also downloads a copy of Trojan.Flush.J, which changes the users DNS settings to the following attacker settings:
85.255.116.133
85.255.112.87


Dazu gibt es ein Removal-Tool

http://www.macupdate.com/info.php/id/26652/dnschanger-removal-tool

Gruß
Andreas