| |
| |||||||
Log-Analyse und Auswertung: tmp2.tmp/Zlob.DNSChanger machen mich wahnsinnig...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.11.2008, 14:41
| #1 | |
| |  tmp2.tmp/Zlob.DNSChanger machen mich wahnsinnig... Hallo, habe entdeckt, dass mein Rechner wohl infiziert ist In mein temp-Ordner schrieb sich immer wieder eine Datei temp+fortlaufende Nummer.tmp, die ich nicht löschen kann. Spybot entdeckte nach jedem Neustart Zlob.DNSChanger.Rtk und Win32.Agent.sd, obwohl ich es in der vorherigen Sitzung mit Spybot behoben habe. Desweiteren schleicht sich ein Ordner fsaua.tmp immer wieder ein. Fatal dabei ist auch, dass ich mein Antivir nicht mehr updaten kann und auch online-Scanner nicht laufen... Ich hoffe, ihr könnt mir helfen und bedanke mich schon mal im voraus. Hier die hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:23:51, on 26.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe C:\Programme\MarkAny\ContentSafer\MAAgent.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\TEXTPA~1\TextPad.exe C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe O4 - HKLM\..\Run: [MAAgent] C:\Programme\MarkAny\ContentSafer\MAAgent.exe O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdnfu.exe] C:\WINDOWS\system32\kdnfu.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - h**p://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - h**p://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{08A57338-89DE-4BE5-9C03-C21E099DB207}: NameServer = 85.255.112.10;85.255.112.103 O17 - HKLM\System\CCS\Services\Tcpip\..\{7B70E432-F2BA-4486-94D5-5A7865C0CF0A}: NameServer = 85.255.112.121;85.255.112.76 O17 - HKLM\System\CS1\Services\Tcpip\..\{08A57338-89DE-4BE5-9C03-C21E099DB207}: NameServer = 85.255.112.10;85.255.112.103 O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe und schließlich noch die filelist: ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC2E-0AFB Verzeichnis von C:\ 26.11.2008 13:44 1.073.270.784 hiberfil.sys 26.11.2008 13:44 1.610.612.736 pagefile.sys 26.11.2008 13:25 103 autorun.inf 20.09.2008 15:13 251.712 ntldr 17.09.2008 08:22 4 WINDOWSRegDefrag.dat 14 Datei(en) 2.684.917.666 Bytes 0 Verzeichnis(se), 11.064.029.184 Bytes frei ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC2E-0AFB Verzeichnis von C:\WINDOWS\system32 26.11.2008 09:23 2.278 wpa.dbl 21.11.2008 18:00 5.356 UnEPGService.LOG 21.11.2008 18:00 30 UNWISE.INI 21.11.2008 17:59 50.638 HCW_ChanDB.LOG 02.11.2008 20:52 482 TG_PVTR.LOG 29.10.2008 11:16 148.888 javaws.exe 29.10.2008 11:16 144.792 javaw.exe 29.10.2008 11:16 73.728 javacpl.cpl 29.10.2008 11:16 144.792 java.exe 29.10.2008 11:16 410.976 deploytk.dll 26.10.2008 10:16 380.350 perfh009.dat 2156 Datei(en) 433.223.122 Bytes 0 Verzeichnis(se), 11.063.902.208 Bytes frei ----- no Prefetch dir ------------------ ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC2E-0AFB Verzeichnis von C:\WINDOWS 26.11.2008 13:44 0 0.log 26.11.2008 13:44 1.663.980 WindowsUpdate.log 26.11.2008 13:44 2.048 bootstat.dat 26.11.2008 13:08 366 wininit.ini 26.11.2008 09:56 378.602 setupapi.log 25.11.2008 19:09 216 wiadebug.log 25.11.2008 18:53 50 wiaservc.log 22.11.2008 19:02 0 MEMORY.DMP 21.11.2008 18:21 6.550 HCWPNP.INI 21.11.2008 18:17 1.777 vtplus32.ini 21.11.2008 18:00 660 KB896626.log 21.11.2008 18:00 32.135 Irremote.ini 21.11.2008 17:59 135 ODBC.INI 21.11.2008 17:59 4.161 ODBCINST.INI 15.11.2008 19:09 16.752 MedCtrOC.log 15.11.2008 19:09 47.324 ntdtcsetup.log 15.11.2008 19:09 1.393 imsins.log 15.11.2008 19:09 102.404 tsoc.log 15.11.2008 19:09 11.604 ocmsn.log 15.11.2008 19:09 12.011 tabletoc.log 15.11.2008 19:09 261.479 iis6.log 15.11.2008 19:09 81.268 comsetup.log 15.11.2008 19:09 7.125 KB957097.log 15.11.2008 19:09 37.890 netfxocm.log 15.11.2008 19:09 111.973 ocgen.log 15.11.2008 19:09 10.803 msgsocm.log 15.11.2008 19:09 218.848 FaxSetup.log 15.11.2008 19:09 72.904 msmqinst.log 15.11.2008 19:09 1.393 imsins.BAK 15.11.2008 19:09 10.919 KB954459.log 15.11.2008 19:09 7.468 KB955069.log 15.11.2008 19:09 88.209 updspapi.log 15.11.2008 19:09 319.044 msxml4-KB954430-deu.LOG 06.11.2008 20:00 1.700 wmsetup10.log 06.11.2008 20:00 5.987 wmsetup.log 02.11.2008 20:52 65.024 IFinst26.exe ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC2E-0AFB Verzeichnis von C:\WINDOWS\tasks 11.11.2004 13:00 65 desktop.ini 1 Datei(en) 65 Bytes 0 Verzeichnis(se), 11.063.918.592 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC2E-0AFB Verzeichnis von C:\WINDOWS\temp 26.11.2008 13:44 16.384 Perflib_Perfdata_f0.dat 26.11.2008 09:27 75.776 tempo-76D.tmp 26.11.2008 09:27 24.512 tmp8.tmp 26.11.2008 09:27 678.400 tmp9.tmp 26.11.2008 09:24 16.384 Perflib_Perfdata_120.dat 5 Datei(en) 811.456 Bytes 0 Verzeichnis(se), 11.063.918.592 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC2E-0AFB Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 26.11.2008 13:57 114.051 filelist.txt 26.11.2008 13:50 582 jusched.log 26.11.2008 13:49 0 etilqs_2c84LtP7SUA1kcyGdMOr 26.11.2008 13:40 634 filelist.zip 26.11.2008 13:01 0 cf~41.tmp 5 Datei(en) 115.267 Bytes 0 Verzeichnis(se), 11.063.918.592 Bytes frei Ach so: Ich hatte gelesen, dass man vor dem entfernen von Spyware etc. die temporären Dateien löschen sollte. Hab ich gemacht mit Cleanup und kann seitdem meine Festplatten nicht mehr wie gewohnt öffnen - Fehlermeldung: Zitat:
Grüße aus Berlin Tommy |
| Themen zu tmp2.tmp/Zlob.DNSChanger machen mich wahnsinnig... |
| adobe, antivir, antivirus, avira, bho, bonjour, computer, desktop, einstellungen, entfernen, explorer, f-secure, fehlermeldung, festplatte, firefox, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, konvertieren, laufwerk c, mozilla, nicht gefunden, object, pdf-datei, plug-in, prefetch, software, spyware, studio, system, temp-ordner, windows, windows xp, windows xp sp3, xp sp3 |
Baum-Darstellung