| |
| |||||||
Log-Analyse und Auswertung: Problem: Zlob.DNSChanger + Win32.Agent.frWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.05.2008, 13:53
| #1 |
| |  Problem: Zlob.DNSChanger + Win32.Agent.fr Hallo Freunde, auf meinem Windows XP Pro habe ich mit Spybot zwei Warnungen bekommen, nämlich "Zlob.DNSChanger.rtk" sowie "Win32.Agent.fr". > Das Problem ist übrigens nicht, dass ich beim Surfen umgeleitet werde, aber der PC ist elendig langsam geworden. Der Taskmanager meldet allerdings keine übermässige Prozessorbelastung. Es wird allerdings beim Ausschalten der Browser Firefox oder IntExpl. (per kLICK oben rechts) immer erstmal das Taskmanagerfeld "Programm reagiert nicht... etc." angezeigt. Hier paste ich mal mein Hijack-Logfile sowie Startlog und würde mich sehr doll über weiterführende Tipps freuen. ------------- Logfile ------------------ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:57:31, on 13.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programme\Advanced Registry Doctor\RegManServ.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\UTSCSI.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Ashampoo\Ashampoo Magical UnInstall\MagicalUnInstall.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Spybot - Search & Destroy\TeaTimer.exe c:\progra~1\popfile\popfileib.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://127.0.0.1:8080/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von KielNET-DSL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [MbWzdFPAP-EXL540] I:\PdtGuide.exe O4 - HKLM\..\Run: [MagUninstall] "C:\Programme\Ashampoo\Ashampoo Magical UnInstall\MagicalUnInstall.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Run POPFile.lnk = C:\Programme\POPFile\runpopfile.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1209845677417 O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shoc...sh/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Unknown owner - G:\server\xampp\apache\bin\apache.exe (file missing) O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - G:\server\xampp\FileZillaFTP\FileZillaServer.exe (file missing) O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: mysql - Unknown owner - G:\server\xampp\mysql\bin\mysqld-nt.exe (file missing) O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - D:\Spyware Doctor\pctsAuxs.exe (file missing) O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - D:\Spyware Doctor\pctsSvc.exe (file missing) O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: USBest Service Zero (UTSCSI) - USBest - C:\WINDOWS\system32\UTSCSI.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ---------- startup log ----------------------- StartupList report, 13.05.2008, 05:16:58 StartupList version: 1.52.2 Started from : C:\Programme\HiJack\HijackThis.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programme\Advanced Registry Doctor\RegManServ.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\UTSCSI.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Ashampoo\Ashampoo Magical UnInstall\MagicalUnInstall.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Spybot - Search & Destroy\TeaTimer.exe c:\progra~1\popfile\popfileib.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HiJack\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\PROGRA~1\Mozilla Firefox\firefox.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Nikk2\Startmenü\Programme\Autostart] Run POPFile.lnk = C:\Programme\POPFile\runpopfile.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run MbWzdFPAP-EXL540 = I:\PdtGuide.exe MagUninstall = "C:\Programme\Ashampoo\Ashampoo Magical UnInstall\MagicalUnInstall.exe" avgnt = "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run SpybotSD TeaTimer = D:\Spybot - Search & Destroy\TeaTimer.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\system32\ssstars.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - (no file) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - D:\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} (no name) - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -------------------------------------------------- Enumerating Download Program Files: [WUWebControl Class] InProcServer32 = C:\WINDOWS\system32\wuweb.dll CODEBASE = http://www.update.microsoft.com/wind...?1209845677417 [F-Secure Online Scanner 3.3] InProcServer32 = C:\WINDOWS\Downloaded Program Files\fscax.dll CODEBASE = http://support.f-secure.com/ols/fscax.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx CODEBASE = http://fpdownload.adobe.com/pub/shoc...sh/swflash.cab -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: g:\e93628897a9baa657427\update||g:\e93628897a9baa6 57427||g:\d94a75ea93980e9e090f -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\system32\webcheck.dll SysTray: C:\WINDOWS\system32\stobject.dll WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll -------------------------------------------------- End of report, 5.206 bytes Report generated in 0,062 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Ich habe die thematisch ähnlichen Beiträge hier im Forum gelesen, konnte allerdings keine identischen .exe-Dateien finden. Welcher Online-Scanner wäre jetzt in diesem konkreten Fall der Passende und gibt es evtl. Probleme, wenn mehrere Scanner wie von TrendMicro/ F-Secure/ Kaspersky sich bereits in meinem PC mit ihren Download-Dateien verewigt haben? - Wie verhält es sich dabei mit der Entscheidung, einen "Kernel zu laden", wie bspw. bei TrendMicro gefragt wird? Bekomme ich dann evtl. Update-Probleme mit meiner Windows CD. - Ich hatte heute bereits versucht, den Kaspersky Online-Scan mit IntExpl. arbeiten zu lassen, jedoch verweigert mein PC einen vollständigen Download der Malware-Bibliothek... das Update konnte (bei mehrfachen Anläufen) bis max. 3% downgeloadet werden, spätestens dann immer Abbruch. Es heisst merkwürdigerweise, mir würde eine Onlineverbindung fehlen...? (21). Verstehe ich nicht, denn ich kann parallel durchaus surfen!!?? Sollte ich jetzt versuchen, eine 30-Tage Version des Kaspersky-Tools "AntiVirus 7.0" oder besser "Internet Security 7.0" downzuloaden? Herzlichen Dank für die Hijack-Analyse und einen Ratschlag, wie ich die beiden Probleme loswerde. Nik Nordland |
|
16.05.2008, 23:32
| #2 |
| | Problem: Zlob.DNSChanger + Win32.Agent.fr Hallo nochmals,
__________________bitte hat jemand den Durchblick betreffend dieses Problemes? Thanks vielmals Nordland |
|
23.05.2008, 10:41
| #3 |
| /// Malware-holic   | Problem: Zlob.DNSChanger + Win32.Agent.fr Hallo,
__________________ich bin Markus und wir werden in der nächsten Zeit Zusammenarbeiten. Bitte mache keinerlei alleingänge bei der Reinigung und warte auf meine Anweisungen! Das Auswerten der Logfiles kann immer eine Weile dauern also hab Geduld! Schritt 1: Teile mir dein genaues Problem mit. Wenn dein Antivirenprogramm Funde gemacht hat, schreibe mir was und wo gefunden wird poste eventuellforhandene logs. Schritt 2: kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen. Im Windows-Explorer: >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Schritt 3:
Dies sind dieSchritt 4: Laden und Instalieren von Hijackthis: Besuche die Seite: http://www.zdnet.de/downloads/prg/n/m/deGNNM-wc.htmlInstaller." Speichere diese Version auf Deinem PC. Liste mit 1 Einträgen • Doppelklicke auf "HJTInstall.exe" und folge den Anweisungen zum Installieren von HijackThis. Listen Ende Tu noch nichts weiter mit dem Programm wir benötigen es noch! Schritt 5: Bitte lade Deckard's System Scanner (DSS) herunter und speichere es auf dem Desktop. NB: Du musst mit Administrator-Rechten angemeldet sein.
|
|
| Themen zu Problem: Zlob.DNSChanger + Win32.Agent.fr |
| .exe-dateien, antivir, antivirus, avira, bho, browser, ctfmon.exe, f-secure, firefox, hijackthis, hkus\s-1-5-18, internet explorer, internet security, kaspersky, langsam, magix, mehrere, mozilla, mozilla firefox, object, problem, programm, registry, registry key, registry value, saver, screensaver, security, server, shockwave, software, spyware, system, taskmanager, userinit.exe, win32.agent.fr, windows, windows xp, wininit.ini, zlob.dnschanger |
Linear-Darstellung
