|
Plagegeister aller Art und deren Bekämpfung: Zlob.DNSchanger erfolgreich entfernt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.10.2008, 15:50 | #1 |
| Zlob.DNSchanger erfolgreich entfernt? Guten Tag! Ich hab mir vorgestern auf blödeste Art und weise einen Trojaner eingefangen. Ich bin selber Schuld, ich muss es zugeben. Ich hab das gemerkt, als mein Spybot resident angeschlagen hat. Der Trojaner wollte einige Win-reg Einträge ändern. Hab ich nicht zugelassen (laut spybot). Daraufhin hab ich probiert ihn mit Spybot zu entfernen, was nicht geklappt hat. Danach hab ich mich erstmal schlau gemacht und viel zu dem Trojaner gelesen, was nicht gerade ermutigend war. Anschließend hab ich die Datei gelöscht, an der es lag. Und Superantispyware + Hijakthis runtergeladen. Die logdatei hat einen Prozeß gefunden, der als schädlich eingestuft wurde. Den hab ich gelöscht. Danach mit Superspyware nochmal gesucht und den Trojaner in Quarantäne geschickt. Danach noch mal 2 scans jeweils mit superspyware und spybot haben nichts mehr ergeben. Um es kurz zu machen: Bin ich den Trojaner ganz sicher los und nochmal mit einem blauen Auge davongekommen? Oder soll ich noch mal mit einem anderen Programm scannen um sicherzugehen? Danke für die Antworten! |
15.10.2008, 16:08 | #2 |
| Zlob.DNSchanger erfolgreich entfernt? Hi,
__________________bitte komplette Meldung, ein aktuelles HJ-Log (siehe Signatur) und einen MAM-Fullscan mit Beseitigung; Malwarebytes Antimalware. Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls ZLOB schaust Du auch hier: http://www.trojaner-board.de/30411-a...-von-zlob.html chris
__________________ |
15.10.2008, 16:11 | #3 |
| Zlob.DNSchanger erfolgreich entfernt? Hijakthis log. OMG ich hab noch nicht service pack 3... Das andere folgt gleich!
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:12:11, on 15.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Razer\Krait\razerhid.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Logitech\QuickCam\Quickcam.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Razer\Krait\razerofa.exe C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe C:\Programme\Opera\Opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobatreader\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Krait] C:\Programme\Razer\Krait\razerhid.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: WUSB54GCSVC - GEMTEKS - C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe -- End of file - 7233 bytes |
15.10.2008, 17:01 | #4 |
| Zlob.DNSchanger erfolgreich entfernt? Malware hat doch noch was gefunden... Oh mann... Irgendwelche Meinungen? Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1272 Windows 5.1.2600 Service Pack 2 15.10.2008 17:56:34 mbam-log-2008-10-15 (17-56-34).txt Scan-Methode: Vollständiger Scan (C:\|G:\|H:\|I:\|) Durchsuchte Objekte: 174303 Laufzeit: 39 minute(s), 59 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Denton (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Dateien: C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully. |
15.10.2008, 18:18 | #5 |
| Zlob.DNSchanger erfolgreich entfernt? Noch wer da? :-) Service pack 3 ist jetzt drauf. Ich geh erstmal an die frische luft... Bis später! Hab jetzt auch noch smitfraud benutzt im abgesicherten modus und der hat auch noch was weggeschossen... SmitFraudFix v2.361 Scan done at 18:17:23,33, 15.10.2008 Run from C:\Dokumente und Einstellungen\Jens\Desktop\Downloads\System\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is FAT32 Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{4B96DA27-E871-4A26-8CB2-176AB18ABE79}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{DA84FBAC-0DDC-4ABF-B367-D26BAB9E4BAB}: DhcpNameServer=195.50.140.114 195.50.140.252 HKLM\SYSTEM\CS1\Services\Tcpip\..\{4B96DA27-E871-4A26-8CB2-176AB18ABE79}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{DA84FBAC-0DDC-4ABF-B367-D26BAB9E4BAB}: DhcpNameServer=195.50.140.114 195.50.140.252 HKLM\SYSTEM\CS2\Services\Tcpip\..\{4B96DA27-E871-4A26-8CB2-176AB18ABE79}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{DA84FBAC-0DDC-4ABF-B367-D26BAB9E4BAB}: DhcpNameServer=195.50.140.114 195.50.140.252 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.114 195.50.140.252 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.114 195.50.140.252 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.114 195.50.140.252 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
15.10.2008, 21:27 | #6 |
/// AVZ-Toolkit Guru | Zlob.DNSchanger erfolgreich entfernt? Hallöle DNS-Einträge entfernen: Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) -Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop. -installiere das Tool und achte darauf das "Run fixit" aktiviert ist. -klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!) -achte nun auf die Hinweise die gegeben werden {mfg an [Gc]Sunny} Fixe nun mit HijackThis folgende Einträge: Lade dir HostsXpert herunter. Entpacke und starte das Prog mit einem Doppelklick auf die HostXpert.exe. - Klicke auf den Button "Make Writable". - Klicke auf den Button "Restore MS HostFile". - Versiegel die Host Datei wieder mit einem Klick auf "Make ReadOnly". Systemanalyse
__________________ --> Zlob.DNSchanger erfolgreich entfernt? |
Themen zu Zlob.DNSchanger erfolgreich entfernt? |
andere, anderen, antworten, datei, datei gelöscht, einträge, entfernen, entfernt, entfernt?, erfolgreich, gelöscht, gesucht, guten, logdatei, nichts, programm, quarantäne, resident, scanne, scannen, schließe, schuld, spybot, superantispyware, trojaner, worte, zlob.dnschanger |