|
Plagegeister aller Art und deren Bekämpfung: Zlob.DNS ChangerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.11.2007, 20:40 | #1 |
| Zlob.DNS Changer Hallo zusammen, brauche eure Hilfe. Vor ein Paar Wochen haben wir festegestellt, dass es etwas mit der Verbindun bzw. Verlinkung nicht stimmt, weil man von Google statt an die gewünschte Adresse zu Erotik- oder Verkaufsseiten geleitet wurde. Ich habe dann ein bisschen recherschiert und auch hier nachgelesen, was man unternehmen kann. Nach dem Scans mit Hijackthis, SmitFraud und Spybot war dieser DNS Changer angeblich verschwunden. Aber schon nach 2 Tagen ging es wieder los mit Google und Zlob war wieder by Spybot zu sehen. Wir löschen ihn und immunisieren, das hilft aber nicht. Er ist ganz lästig, wenn man viel mit Google arbeitet. Mit online check mit Kaspersky klappte es leider nicht. Er sagte, es wären Administratorreche erforderlich. Aber das ist mein privater PC?... Könnte mir bitte jemand noch Tipp geben, wie ich ihn los werden kann? Anbei id Logfile von Smitfraud: SmitFraudFix v2.253 »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\lycos\Lyc_SysTray.exe C:\Programme\Steganos Safe 7\SAFE7.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\SLEE81.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\frnDSL\frnDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts hosts file corrupted ! 127.0.0.1 legal-at-spybot.info 127.0.0.1 www.legal-at-spybot.info »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\tb »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\tb\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\tb\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="kdjsc.exe" kdjsc.exe detected ! use a Rootkit scanner »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport DNS Server Search Order: 62.104.191.241 Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 194.97.173.124 DNS Server Search Order: 194.97.173.125 HKLM\SYSTEM\CCS\Services\Tcpip\..\{7A0441A6-B30C-441E-A837-DFFF850846F8}: DhcpNameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CCS\Services\Tcpip\..\{7FF96EBE-99F4-49CD-BC9B-5C431C3C0DF6}: NameServer=194.97.173.124 194.97.173.125 HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: DhcpNameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: NameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CCS\Services\Tcpip\..\{F02E20DC-141A-495F-911E-3ADF1765EB92}: NameServer=62.104.191.241 HKLM\SYSTEM\CS1\Services\Tcpip\..\{7A0441A6-B30C-441E-A837-DFFF850846F8}: DhcpNameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CS1\Services\Tcpip\..\{7FF96EBE-99F4-49CD-BC9B-5C431C3C0DF6}: NameServer=194.97.173.124 194.97.173.125 HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: DhcpNameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: NameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CS1\Services\Tcpip\..\{F02E20DC-141A-495F-911E-3ADF1765EB92}: NameServer=62.104.191.241 HKLM\SYSTEM\CS3\Services\Tcpip\..\{7A0441A6-B30C-441E-A837-DFFF850846F8}: DhcpNameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CS3\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: DhcpNameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CS3\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: NameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CS3\Services\Tcpip\..\{F02E20DC-141A-495F-911E-3ADF1765EB92}: NameServer=62.104.191.241 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End 62.104.191.241 -ist Freenet Adresse, die verdächtigen 208.67.220.220,208.67.222.222 habe ich durch HijackThis beim nächsten Lauf rausgelöscht. Bei Smitfraud habe ich Angst alles auf ein mal zu bereinigen, da ich mich nicht auskenne und evtl. etwas wichtiges mitrunter lösche. Danke für Hilfe im voraus. |
08.12.2007, 17:19 | #2 |
| Zlob.DNS Changer Au, habe keine Antwort bekommen. Versuche mit meinem Hilferuf noch mal.
__________________Vielleicht sieht es jemand, der sich im Thema auskennt. Danke. |
Themen zu Zlob.DNS Changer |
application, attention, cs3, dateien, detected, dsl, einstellungen, fraud, google, hijack, hijackthis, infected, internet, internet explorer, kaspersky, logfile, löschen, microsoft, programme, realtek, rootkit, server, smitfraud, software, system, system32, windows, zlob |