Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan.Downloader.Zlob.AADO DNSChanger.gen10

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 22.07.2007, 20:53   #1
pyranja
 
Trojan.Downloader.Zlob.AADO DNSChanger.gen10 - Standard

Trojan.Downloader.Zlob.AADO DNSChanger.gen10



Hey,
also ich bin echt verzweifelt.
Habe zwar schon in einem anderen Forum Hilfe erbeten, aber da grad (denke mal Uhrzeizabhängig) niemand antwortet, ich aber noch einiges für die Uni zu tun habe, trag ich mein Problem mal eben hier vor.
Ich habe gestern abend eine *.exe gestartet, weil ich der Meinung war, eine mir bekannte Anwendung verbirgt sich dahinter. Kurz darauf musste ich feststellen, dass video activex access enthalten war inklusive specials.

Habe sofort im abesicherten Modus gestartet und die jeweiligen Anwendungen (video activex...) mittels autorun entfernt. Da ich, auch wenn scheinbar alles wieder io zu sein scheint weiss, dass sich ein Trojaner nicht so einfach verjagen lässt, habe ich von der *.exe, die ich kurioser Weise im Papierkorb wiedergefunden habe, bei VirusTotal einen OnlineScan derselbigen gemacht.

Ergebnis:
BitDefender 7.2 2007.07.22 Trojan.Downloader.Zlob.AADO
F-Secure 6.70.13030.0 2007.07.22 Trojan-Downloader.Win32.Zlob.bxi
Kaspersky 4.0.2.24 2007.07.22 Trojan-Downloader.Win32.Zlob.bxi
Microsoft 1.2704 2007.07.22 TrojanDownloader:Win32/Zlob
Norman 5.80.02 2007.07.20 DNSChanger.gen10

Nod32 habe ich auch kurz installiert, hat aber nichts gefunden.

Darauf hin habe ich RootkitReveal laufen lassen.

HKLM\SECURITY\Policy\Secrets\SAC* 20.06.2007 20:56 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 20.06.2007 20:56 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{5645C8C2-E277-11CF-8FDA-00AA00A14F93}\InprocServer32\ThreadingModel 18.07.2007 13:15 5 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 14.07.2007 03:48 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 22.07.2007 14:10 4 bytes Data mismatch between Windows API and raw hive data.


Mein HiJackThis.log meint folgendes (habe die Websiten mal laut vorschrift editiert).

Logfile of HijackThis v1.99.1
Scan saved at 20:37:40, on 22.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*ttp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*ttp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*ttp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*ttp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*ttp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*ttp://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://w**ww.eset.eu/buxus/docs/programs/OnlineScanner.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://w**ww.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

Dankeschön für eure Zeit.
Grüsse

 

Themen zu Trojan.Downloader.Zlob.AADO DNSChanger.gen10
0 bytes, ad-aware, adobe, appinit_dlls, autorun, bho, bonjour, browser, defender, explorer, firefox, hijack, internet, internet explorer, internet security, mozilla, mozilla firefox, object, pdf, problem, secrets, security, senden, shockwave, software, system, trojaner, unknown file in winsock lsp, virus, windows, windows xp




Ähnliche Themen: Trojan.Downloader.Zlob.AADO DNSChanger.gen10


  1. Zlob Trojan-Downloader & Gen:Trojan.Heur.mu!@YoPlN
    Plagegeister aller Art und deren Bekämpfung - 30.08.2014 (11)
  2. Telekomschreiben: "Trojan.Zlob/DNSChanger"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2011 (12)
  3. Trojan-Downloader.Zlob.GEN
    Plagegeister aller Art und deren Bekämpfung - 03.02.2009 (0)
  4. Trojan-Downloader.Win32.Agent Variant sowie Zlob.DNSChanger files gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.09.2008 (9)
  5. trojan downloader zlob.gen und trojan fake.alert
    Plagegeister aller Art und deren Bekämpfung - 25.09.2008 (1)
  6. trojan-downloader.win32.zlob.lps
    Plagegeister aller Art und deren Bekämpfung - 10.05.2008 (1)
  7. Trojan-Downloader.Win32.Zlob.Ips !!!??
    Log-Analyse und Auswertung - 24.04.2008 (6)
  8. Brauche Hilfe! trojan-agent-winlogonhook, trojan-downloader-zlob, ...
    Plagegeister aller Art und deren Bekämpfung - 05.02.2008 (0)
  9. Trojan-Downloader.Win32.Zlob.and
    Plagegeister aller Art und deren Bekämpfung - 07.01.2008 (4)
  10. Trojan.Downloader.Zlob.cmx gefunden!!!!
    Plagegeister aller Art und deren Bekämpfung - 22.10.2007 (1)
  11. XP Codec Pack 2.0.8 mit Trojan.Downloader.Zlob.AADO
    Log-Analyse und Auswertung - 01.08.2007 (10)
  12. Antivir-Fund: das Trojanische Pferd TR/Dldr.Zlob.AADO.5
    Log-Analyse und Auswertung - 25.07.2007 (2)
  13. TR/Dldr.Zlob.AADO.5
    Plagegeister aller Art und deren Bekämpfung - 24.07.2007 (15)
  14. Trojan-downloader, Win 32.ZLob.yt
    Plagegeister aller Art und deren Bekämpfung - 16.06.2007 (1)
  15. Downloader.Agent.uj und Trojan.DNSChanger.ef
    Log-Analyse und Auswertung - 19.07.2006 (4)
  16. Trojan-Downloader.Win31.Zlob.uh
    Plagegeister aller Art und deren Bekämpfung - 08.07.2006 (5)
  17. trojan-downloader.win32.zlob.is
    Plagegeister aller Art und deren Bekämpfung - 04.04.2006 (5)

Zum Thema Trojan.Downloader.Zlob.AADO DNSChanger.gen10 - Hey, also ich bin echt verzweifelt. Habe zwar schon in einem anderen Forum Hilfe erbeten, aber da grad (denke mal Uhrzeizabhängig) niemand antwortet, ich aber noch einiges für die Uni - Trojan.Downloader.Zlob.AADO DNSChanger.gen10...
Archiv
Du betrachtest: Trojan.Downloader.Zlob.AADO DNSChanger.gen10 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.