[Trojan.DNSChanger] // Bekomme ihn nicht weg!

Ringman · 06.08.2008, 11:32

Hallo liebes Board!

Hab mir letztens im I Net was schlimmes eingefangen, wo genau keine Ahnung.
Hab schon einige Mittel ausprobiert, bin aber bis jetzt immer gescheitert!

Hier mein Ad-Aware Log:

Code:

ATTFilter

Scan Statistics
===========================
Method: Smart
	 Scan tracking cookies.............................: On 
	 Scan ADS filestreams..............................: Off 

Item Scanned: 112150
Infections Detected: 11
Infections Ignored: 0

Scan detailed statistics
===========================
Type                  Critical    Total
Process Scan....:        0        0
Registry Scan...:        0        0
Registry PE Scan:        0        0
Hosts File Scan.:        0        0
File Scan.......:        0        0
Folder Scan.....:        0        0
LSP Scan........:        0        0
ADS Scan........:        0        0
Cookie Scan.....:       10       10
File Hash Scan..:        0        0

Infections Found
===========================
Family Id: 725  Name: Tracking Cookie  Category: DataMiner  TAI:3
  Item Id: 600000144  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat doubleclick.net id /
  Item Id: 600000542  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ivwbox.de i00 /
  Item Id: 600000460  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ad.yieldmanager.com uid /
  Item Id: 600000460  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ad.yieldmanager.com vuday1 /
  Item Id: 600000460  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ad.yieldmanager.com ih /
  Item Id: 600000460  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ad.yieldmanager.com fl_inst /
  Item Id: 600000459  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat adfarm1.adition.com UserID1 /
  Item Id: 600000188  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat adverserve.net RMID /
  Item Id: 600000447  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat apmebf.com S /
  Item Id: 600000263  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat mediaplex.com svid /
Family Id: 9999  Name: MRU Object  Category: MRU Object  TAI:0
  Item Id: 1  Value: MRU Path: C:\Dokumente und Einstellungen\Besitzer\Recent  Count: 6

Items Ignored During Scan
===========================

Hier mein Malewarbytes Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1026
Windows 5.1.2600 Service Pack 3

12:25:02 06.08.2008
mbam-log-8-6-2008 (12-24-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 40151
Laufzeit: 1 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die Coockies kommen immer wieder und wenn sie mir zu viel sind lösche ich sie einfach. Wenn ich mit Malewarbytes die DNS.Changer lösche sind sie beim nächsten mal ins Internet gehen wieder da. Combofix hab ich noch nicht benutzt und dafür muss ich noch warten, nur wenn es wirklich keine andere Lösung mehr gibt greife ich zu Combofix. Hat irgendwer selbst Erfahrungen wie er seine DNS.Changer wegbekommen hat? Wäre über jeden Tipp dankbar!

Liebe Grüße Ringman

nochdigger · 06.08.2008, 16:52

Hallo

bevor du Combofix übers System jagst, versuche es bitte erst mit Blacklight.
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Scanne dein System und poste das Log, das findest du im selben Ordner wo auch Blacklight abgelegt/gespeichert wurde.

Anschließend lade dir bitte Fixwareout
Downloade Dir Fixwareout.exe.
Fixwareout.exe starten -> next -> Install -> Run fixit -> Finish (System wird neugestartet) -> C:\fixwareout\report.txt ->
hierher posten sowie ein HijackThis Logfile.

Zitat:

-- Netzwerkdienste wiederherstellen --

Solltest du Probleme mit deiner Internet Verbindung bekommen :
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

Berichte bitte ob eine Besserung eingetreten ist.

MFG

Ringman · 06.08.2008, 17:16

Hallo Nochdigger, vielen Dank das du dir mein Problem unter die Lupe nimmst!
Erstens, Blacklight hat nix gefunden, hier das Log:

Code:

ATTFilter

08/06/08 18:12:31 [Info]: BlackLight Engine 1.0.70 initialized
08/06/08 18:12:31 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/06/08 18:12:31 [Note]: 7019 4
08/06/08 18:12:31 [Note]: 7005 0
08/06/08 18:12:33 [Note]: 7006 0
08/06/08 18:12:33 [Note]: 7011 2140
08/06/08 18:12:34 [Note]: 7035 0
08/06/08 18:12:34 [Note]: 7026 0
08/06/08 18:12:34 [Note]: 7026 0
08/06/08 18:12:35 [Note]: FSRAW library version 1.7.1024
08/06/08 18:13:41 [Note]: 7007 0

Hier das Fixwareout Log:

Code:

ATTFilter

Username "Besitzer" - 06.08.2008 18:17:45 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\bin\\nTrayFw.exe"
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_07\\bin\\jusched.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\windows\\system32\\ctfmon.exe"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
"DAEMON Tools Lite"="\"C:\\Programme\\DAEMON Tools Lite\\daemon.exe\" -autorun"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Hier das HiJackLog:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:34, on 06.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1215635152593
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?e=1217375806236&h=c7fefadb908f03d32b591525c6bd2170/&filename=jinstall-6u7-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7397 bytes

Bis jetzt hab ich noch keine Änderungen festgestellt.
Liebe Grüße und Vielen Dank!

nochdigger · 06.08.2008, 17:37

Hallo

Zitat:

Bis jetzt hab ich noch keine Änderungen festgestellt.

Du hast das System neugestartet und wirst weiterhin auf andere Seiten umgeleitet?
Wenn ja, machen wir mit Combofix weiter
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG

Ringman · 06.08.2008, 18:22

Nein, ich werde auf keine Seiten umgeleitet, es passiert auch gar nichts auffälliges.
Mit Ausnahme das mein Internet ziemlich lahmt, die Coockies die es speichert bekomme ich nie zu sehen ausser in den A-Virus Logs. ;]

Combofix kann ich noch nicht starten da ich zuerst noch meine boot.ini wiederherstellen muss und das noch ein paar Tage dauern "könnte".
Gibt es noch andere Methoden ausser Combofix?

Liebe Grüße und Vielen Dank!

PS: Wie sollte ich einen Unterschied gemerkt haben?
Blacklight und Fixwareout haben ja nix gefunden und HiJack löscht ja nichts, oder irre ich mich?

nochdigger · 06.08.2008, 19:16

Hallo

Zitat:

Gibt es noch andere Methoden ausser Combofix?

(evtl. SDFix)
ich hatte Combofix nur als Kontrolle angedacht...
Bei Zeit hier
Free Virus Scan - Kaspersky Lab
und hier
BitDefender Online Scanner - Free Online Virus Scan
einen Onlinescan durchführen.

Zitat:

Blacklight und Fixwareout haben ja nix gefunden und HiJack löscht ja nichts, oder irre ich mich?

Nein du hast recht, es wurden diese Umleitungen

Zitat:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.

wohl schon von Malwarebytes gelöscht (tauchen auch im HijackThis Log nicht mehr auf).

Lass mal alle Registryleichen vom CCleaner beseitigen.

MFG

[Trojan.DNSChanger] // Bekomme ihn nicht weg!

Plagegeister aller Art und deren Bekämpfung: [Trojan.DNSChanger] // Bekomme ihn nicht weg!