Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.DNSChangerCodec und Trojan.Dropper/Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.02.2009, 10:20   #1
Tanja210973
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Hallo!
Habe mir mal wieder was eingefangen!
Mein SUPERAntiSpyware hat folgendes festgstellt:
Trojan.DNSChanger-Codec und Trojan.Dropper/Gen
Könnt Ihr mir wieder helfen?
Vielen Dank schon mal

Hier mein HijackThis Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:22:54, on 20.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\ucgogks.exe
C:\Programme\MSI\Common\RaUI.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ucgogks] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\ucgogks.exe" ucgogks
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: MSI Wireless Utility.lnk = C:\Programme\MSI\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 6510 bytes

Alt 20.02.2009, 10:24   #2
Redwulf
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Hallo Tanja

Checke mal kurz deine DNS Einstellungen deiner TCP/IP Verbindung

Code:
ATTFilter
Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
         
Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Falls ja und diese mit 85.255 beginnen können wir von einem Trojan.DNSChanger mit Rootkit ausgehen
__________________


Geändert von Redwulf (20.02.2009 um 10:29 Uhr)

Alt 20.02.2009, 10:37   #3
Tanja210973
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Hi!
Habe ich gemacht!
Ist alles automatisch
__________________

Alt 20.02.2009, 10:42   #4
Redwulf
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Gut, dann hat wohl der SuperAnti schon einiges erledigt.

Wir sollten jedoch sicher gehen ob sich noch etwas in deinem System verbirgt.

Dazu deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine
Wiederherstellungspunkte auch gelöscht. Sollte es sich bei dem Befall um
Malware handeln sind die Sicherungspunkte sowieso unbrauchbar..

Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Dann lässt du bitte den CCleaner nach Anweisung laufen.
Downloade dann bitte Malwarebytes und mache einen Vollscan. Logfile dann hier bitte posten.

Danach suchen wir mal einen eventuellen Rootkit

Alt 20.02.2009, 11:01   #5
Redwulf
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Kleiner, aber nützlicher Hinweis noch: http://www.trojaner-board.de/54192-a...tellungen.html


Geändert von Redwulf (20.02.2009 um 11:06 Uhr)

Alt 20.02.2009, 11:27   #6
Tanja210973
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Ich lass gerade Malwarebytes laufen.
Bei Avira kann ich nicht das anhaken, was dort aufgeführt wird. Schade. Habe ich eine ältere Version, oder liegt es daran, das meins Freeware ist?

Alt 20.02.2009, 11:29   #7
Tanja210973
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Logfile Malwarebytes: Keine infizierten Objekte gefunden

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1780
Windows 5.1.2600 Service Pack 3

20.02.2009 11:37:02
mbam-log-2009-02-20 (11-37-02).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 78338
Laufzeit: 17 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 20.02.2009, 11:40   #8
Redwulf
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Zitat:
Zitat von Tanja210973 Beitrag anzeigen
Ich lass gerade Malwarebytes laufen.
Bei Avira kann ich nicht das anhaken, was dort aufgeführt wird. Schade. Habe ich eine ältere Version, oder liegt es daran, das meins Freeware ist?
Versuch doch mal mit einem update, vieleicht liegt es daran, kenne mich nicht so gut bei Avira aus.

So weit so gut, Malware hammer keine meines Erachtens mehr drin.

Bitte dl jetzt Gmer http://www.gmer.net/gmer.zipund mache einen Scan. Anschließend drückst du auf Copy und postest das file dann hier

Alt 20.02.2009, 11:47   #9
Redwulf
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



checke zusätzlich diese files

ucgogks.exe mit Pfad:

"c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\ucgogks.exe"

RaUI.exe mit Pfad

C:\Programme\MSI\Common\RaUI.exe

Bei Virustotal

Lade die files hoch und lass sie überprüfen. Auch wenns angeblich schon mal überprüft wurde, drück auf analysiere die datei
Poste das file dann hier

Geändert von Redwulf (20.02.2009 um 11:53 Uhr)

Alt 20.02.2009, 12:06   #10
Tanja210973
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



gmer

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-20 12:05:21
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F8B79194 ZwCreateThread
SSDT F8B79180 ZwOpenProcess
SSDT F8B79185 ZwOpenThread
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF648DF20]
SSDT F8B7918A ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671667 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 446715E8 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 4467162C C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671574 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446715AE C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446716A2 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1676] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[228] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Alt 21.02.2009, 12:09   #11
Redwulf
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Tanja

so weit so gut bitte lade die Datei

ShimEng.dll

mit deinem Pfad
C:\WINXP\system32\ShimEng.dll

bei Virustotal und poste das Ergebnis hier. Und zwar mir allen angezeigten Daten.

Vergiss bitte nicht die beiden Dateien die ich dir ebenfalls übermittelt hab an Virustotal zu senden und zu überprüfen

Alt 21.02.2009, 12:30   #12
john.doe
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Hallo und

1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme:
Code:
ATTFilter
SuperAntiSpyware (nicht mehr benötigt)
Alles von Google (Datenkrake)
         
2.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ucgogks] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\ucgogks.exe" ucgogks
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
         
=> Fix checked.

3.) Entfernen von Windows Bonjour (mdnsresponder.EXE) mit Bonjour Au revoir

4.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

ciao, andreas

Alt 22.02.2009, 11:23   #13
Tanja210973
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



So. Erst mal die Dateien über Virustotal. Den Punkt hatte ich doch glatt übersehen!

Datei ucgogks.dat empfangen 2009.02.22 11:14:59 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.22 -
AhnLab-V3 2009.2.21.0 2009.02.22 -
AntiVir 7.9.0.87 2009.02.21 -
Authentium 5.1.0.4 2009.02.21 -
Avast 4.8.1335.0 2009.02.22 -
AVG 8.0.0.237 2009.02.21 -
BitDefender 7.2 2009.02.22 -
CAT-QuickHeal 10.00 2009.02.22 -
ClamAV 0.94.1 2009.02.22 -
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.22 -
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6368 2009.02.20 -
F-Prot 4.4.4.56 2009.02.21 -
F-Secure 8.0.14470.0 2009.02.22 -
Fortinet 3.117.0.0 2009.02.22 -
GData 19 2009.02.22 -
Ikarus T3.1.1.45.0 2009.02.22 -
K7AntiVirus 7.10.639 2009.02.21 -
Kaspersky 7.0.0.125 2009.02.22 -
McAfee 5532 2009.02.21 -
McAfee+Artemis 5532 2009.02.21 -
Microsoft 1.4306 2009.02.22 -
NOD32 3877 2009.02.22 -
Norman 6.00.06 2009.02.20 -
nProtect 2009.1.8.0 2009.02.22 -
Panda 10.0.0.10 2009.02.21 -
PCTools 4.4.2.0 2009.02.21 -
Prevx1 V2 2009.02.22 -
Rising 21.17.62.00 2009.02.22 -
SecureWeb-Gateway 6.7.6 2009.02.22 -
Sophos 4.39.0 2009.02.22 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.22 -
TheHacker 6.3.2.4.263 2009.02.21 -
TrendMicro 8.700.0.1004 2009.02.20 -
VBA32 3.12.10.0 2009.02.22 -
ViRobot 2009.2.20.1617 2009.02.20 -
VirusBuster 4.5.11.0 2009.02.21 -
weitere Informationen
File size: 2985 bytes
MD5...: aa518eccf976ca9d55ca6d42cc3e4a8a
SHA1..: c0d554e5bbb8bf6f64705a21ad11d24bc9334e66
SHA256: cea2d870ddcb9e9298063989f1317cbd0ddfca435cd140079bfc77bcd9b29173
SHA512: d7ceef839e6e4126498a7d9202f25e601b2288f9f327941123d103487c20f47e
a6e291b1e44c8532bb126c1929719b9d4693b43b578436c7104498b5118e9a03
ssdeep: 48:PWdgZCG+VnlU8NYXAFqaIv81m8IU3Jl8TMPGys8N77BjdiSiROOcNlCn:PW2Z
z+VlUqYXAFqaIvKmtU5lugsiySiB

PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -


Datei RaUI.exe empfangen 2009.02.22 11:18:44 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/39 (2.57%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.22 -
AhnLab-V3 2009.2.21.0 2009.02.22 -
AntiVir 7.9.0.87 2009.02.21 -
Authentium 5.1.0.4 2009.02.21 -
Avast 4.8.1335.0 2009.02.22 -
AVG 8.0.0.237 2009.02.21 -
BitDefender 7.2 2009.02.22 -
CAT-QuickHeal 10.00 2009.02.22 -
ClamAV 0.94.1 2009.02.22 -
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.22 -
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6368 2009.02.20 -
F-Prot 4.4.4.56 2009.02.21 -
F-Secure 8.0.14470.0 2009.02.22 -
Fortinet 3.117.0.0 2009.02.22 -
GData 19 2009.02.22 -
Ikarus T3.1.1.45.0 2009.02.22 -
K7AntiVirus 7.10.639 2009.02.21 -
Kaspersky 7.0.0.125 2009.02.22 -
McAfee 5532 2009.02.21 -
McAfee+Artemis 5532 2009.02.21 -
Microsoft 1.4306 2009.02.22 -
NOD32 3877 2009.02.22 -
Norman 6.00.06 None.. -
nProtect 2009.1.8.0 2009.02.22 -
Panda 10.0.0.10 2009.02.21 -
PCTools 4.4.2.0 2009.02.21 -
Prevx1 V2 2009.02.22 -
Rising 21.17.62.00 2009.02.22 -
SecureWeb-Gateway 6.7.6 2009.02.22 -
Sophos 4.39.0 2009.02.22 -
Sunbelt 3.2.1855.2 2009.02.17 Trojan-Spy.Win32.Ardamax.F (vf)
Symantec 10 2009.02.22 -
TheHacker 6.3.2.4.263 2009.02.21 -
TrendMicro 8.700.0.1004 2009.02.20 -
VBA32 3.12.10.0 2009.02.22 -
ViRobot 2009.2.20.1617 2009.02.20 -
VirusBuster 4.5.11.0 2009.02.21 -
weitere Informationen
File size: 425984 bytes
MD5...: 980ac2e08797419f5d3b92cd6672761e
SHA1..: fe14724d126ca8901be9e1da06b506688de3738a
SHA256: ebd363fc2400a162a41f196552aa94ddeef1cdbe606ea421da788be6c77de2c7
SHA512: 25f4843ddadb08bbcb288fee5f2956d67b66515d08111aa77898fabce448646c
9e37cebc037373da7448e1d660cb59cebfaedc3b339338d7c91267c7d367b518
ssdeep: 6144:U2FngG/MdQOoriO22RnSat6rHtEN2Vl1srmcKQE63ksoZ4G7EvIuTvGvGvO
IEpmR:U2FTsQOgrZnSat6rH6S6Z

PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43c300
timedatestamp.....: 0x4417bc72 (Wed Mar 15 07:04:18 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3e613 0x3f000 5.86 103f5849dad0344265331ac1e3149e89
.rdata 0x40000 0x733c 0x8000 4.45 2366e0b96abac971cb2a16d3e8485992
.data 0x48000 0x9220 0x9000 5.42 ca060c513f8fbf1156c19aa75cfc8eb7
.rsrc 0x52000 0x16450 0x17000 3.40 6fd193fc878accdfb3915b4ad91be854

( 14 imports )
> CRYPT32.dll: CertFindCertificateInStore, CertOpenSystemStoreA, CertFreeCertificateContext, CertGetCertificateContextProperty, CertRDNValueToStrA, CertFindRDNAttr, CryptDecodeObject, CertCloseStore, CertEnumCertificatesInStore
> AegisE5.dll: @AcAdapterQuery@8, @AcAdapterGetStatistics@8, @AcGlobalOpenContextA@4, @AcContextRelease@4, @AcAdapterCfgSpecial@12, @AcStatusFormatA@12, @AcGetLogErrorA@20, @AcContextAttachEvent@8, @AcContextGetAttachedEvent@4, @AcAdapterSet8021xValues@20, @AcContextConfigWpa@8, @AcContextConfigResumption@8, @AcContextConfigWpaEx@24, @AcContextConfigTTLSCredentialsA@40, @AcContextConfigTLSCredentialsA@28, @AcContextConfigPeapCredentialsA@40, @AcContextConfigMd5CredentialsA@12, @AcContextConfigLeapCredentialsA@12, @AcAdapterAuthenticateStop@4, @AcContextConfigWpaPskAscii@8, @AcContextConfigWpaPskBinary@12, @AcAdapterGetMacAddress@8, @AcStatusNumber@4, @AcIterateAdaptersNext@4, @AcCredentialsNumber@4, @AcAdapterAuthenticate@8, @AcGlobalContextQuery@8, @AcAdapterGetNameA@12, @AcStatusRelatedContext@4, @AcIterateAdapters@4, @AcContextType@4, @AcContextCopyHandle@4
> SHLWAPI.dll: SHDeleteKeyA
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> SETUPAPI.dll: SetupDiClassGuidsFromNameA, SetupDiGetClassDevsA, SetupDiEnumDeviceInfo, SetupDiGetDeviceRegistryPropertyA, SetupDiOpenDevRegKey, SetupDiDestroyDeviceInfoList
> iphlpapi.dll: GetAdaptersInfo
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: __set_app_type, _controlfp, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _iob, fprintf, toupper, strtoul, _strdup, _mbsicmp, memmove, _except_handler3, _ftol, atol, strcmp, _strupr, strncmp, strrchr, calloc, _mbscmp, abs, sprintf, atoi, _mbsnbcmp, _setmbcp, _strcmpi, _itoa, _strnicmp, __CxxFrameHandler, memset, memcpy, memcmp, strlen, strcat, __p__fmode, strcpy, free, printf, malloc, scanf
> KERNEL32.dll: CloseHandle, CreateEventA, GetProcAddress, GetModuleHandleA, GetCurrentProcess, CreateFileA, GetVersionExA, DeviceIoControl, SetLastError, FileTimeToSystemTime, SetEvent, LoadLibraryA, GetSystemDefaultLangID, CreateMutexA, ReleaseMutex, FreeLibrary, ResetEvent, GetStartupInfoA, WinExec, GetDateFormatA, Sleep, GetModuleFileNameA, GlobalAlloc, GlobalLock, GlobalHandle, GlobalUnlock, GetSystemDirectoryA, WideCharToMultiByte, GlobalFree, GetLastError
> USER32.dll: UpdateWindow, LoadBitmapA, KillTimer, SetTimer, IsCharAlphaNumericA, GetParent, EnableWindow, GetCursorPos, LoadIconA, GetSubMenu, LoadMenuA, GetWindowRect, SetForegroundWindow, SendMessageA, IsWindow, MessageBeep, IsCharAlphaA, GetSystemMetrics, MessageBoxA, wsprintfA, GetFocus
> GDI32.dll: GetTextExtentPoint32A
> ADVAPI32.dll: RegCreateKeyExA, StartServiceA, ChangeServiceConfigA, CloseServiceHandle, RegSetValueExA, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, OpenServiceA, OpenSCManagerA, ControlService, FreeSid, EqualSid, GetTokenInformation, OpenProcessToken, AllocateAndInitializeSid, QueryServiceStatus, RegEnumValueA, RegEnumKeyExA
> SHELL32.dll: Shell_NotifyIconA, ShellExecuteA
> COMCTL32.dll: ImageList_ReplaceIcon, ImageList_Create

( 0 exports )



Datei shimeng.dll empfangen 2009.02.22 11:21:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.22 -
AhnLab-V3 2009.2.21.0 2009.02.22 -
AntiVir 7.9.0.87 2009.02.21 -
Authentium 5.1.0.4 2009.02.21 -
Avast 4.8.1335.0 2009.02.22 -
AVG 8.0.0.237 2009.02.21 -
BitDefender 7.2 2009.02.22 -
CAT-QuickHeal 10.00 2009.02.22 -
ClamAV 0.94.1 2009.02.22 -
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.22 -
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6368 2009.02.20 -
F-Prot 4.4.4.56 2009.02.21 -
F-Secure 8.0.14470.0 2009.02.22 -
Fortinet 3.117.0.0 2009.02.22 -
GData 19 2009.02.22 -
Ikarus T3.1.1.45.0 2009.02.22 -
K7AntiVirus 7.10.639 2009.02.21 -
Kaspersky 7.0.0.125 2009.02.22 -
McAfee 5532 2009.02.21 -
McAfee+Artemis 5532 2009.02.21 -
Microsoft 1.4306 2009.02.22 -
NOD32 3877 2009.02.22 -
Norman 6.00.06 None.. -
nProtect 2009.1.8.0 2009.02.22 -
Panda 10.0.0.10 2009.02.21 -
PCTools 4.4.2.0 2009.02.21 -
Prevx1 V2 2009.02.22 -
Rising 21.17.62.00 2009.02.22 -
SecureWeb-Gateway 6.7.6 2009.02.22 -
Sophos 4.39.0 2009.02.22 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.22 -
TheHacker 6.3.2.4.263 2009.02.21 -
TrendMicro 8.700.0.1004 2009.02.20 -
VBA32 3.12.10.0 2009.02.22 -
ViRobot 2009.2.20.1617 2009.02.20 -
VirusBuster 4.5.11.0 2009.02.21 -
weitere Informationen
File size: 65024 bytes
MD5...: b5e7026d1cb7d9bcba0083b9f69683f1
SHA1..: ce6979ee916850ffadac4379f9638e49cf2fed81
SHA256: ec3d0746ade4ca286b778d2a5cebf4882bce814f1c7399ae298fb4e1dc979416
SHA512: 1240605652481bd59e3803c3bd3d985ba897741a4a4da9ef8dfd9f78761a6b1f
5ab956d23374362b4833da58c2c203b4e722f59fb1e7815b362a9e9859e00fd3
ssdeep: 1536:XKiXmZdzFeGNAqXUoW3QSjZc7PqMW1yV0s:XKiXmZdzFrNHXrWBjMS9y2s

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5cf08e55
timedatestamp.....: 0x4802bfb2 (Mon Apr 14 02:21:38 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd9c7 0xda00 6.49 7afa9af19d7a2cf8d55e378144189440
.data 0xf000 0x13548 0x600 4.66 98126edca1f1dc57f6dd5642884fea8d
.rsrc 0x23000 0x400 0x400 3.45 643bed21e2a82a7eb39532b8f4d15160
.reloc 0x24000 0x157a 0x1600 4.52 97a220e8e18adaeb17ce9f8130a65a15

( 2 imports )
> ntdll.dll: RtlFreeHeap, RtlAllocateHeap, wcscat, _wcsnicmp, wcscmp, wcsstr, _wcslwr, wcsrchr, wcsncpy, LdrLoadDll, swprintf, RtlStringFromGUID, RtlImageDirectoryEntryToData, RtlImageNtHeader, RtlNtStatusToDosError, NtSetInformationFile, RtlDestroyHeap, LdrUnloadDll, NtFreeVirtualMemory, LdrInitShimEngineDynamic, RtlCreateHeap, RtlCompareUnicodeString, _wcsicmp, RtlSetEnvironmentVariable, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, RtlDosPathNameToNtPathName_U, NtCreateFile, RtlFreeUnicodeString, sprintf, NtWriteFile, NtClose, _strcmpi, wcslen, RtlUnicodeStringToAnsiString, _stricmp, RtlInitAnsiString, RtlAnsiStringToUnicodeString, wcschr, _alloca_probe, memmove, NtQueryValueKey, NtMapViewOfSection, NtCreateSection, NtQueryInformationFile, NtUnmapViewOfSection, NtAllocateVirtualMemory, NtQuerySystemInformation, NtQueryVirtualMemory, RtlDoesFileExists_U, RtlUnicodeStringToInteger, RtlExpandEnvironmentStrings_U, NtQueryAttributesFile, _snwprintf, NtQueryInformationProcess, RtlGetVersion, strpbrk, strspn, RtlGUIDFromString, NtOpenKey, strncpy, strchr, atol, isdigit, RtlUnwind, RtlInitString, LdrGetProcedureAddress, NtProtectVirtualMemory, NtFlushInstructionCache, wcscpy, LdrGetDllHandle, RtlInitUnicodeString, RtlQueryEnvironmentVariable_U, _vsnprintf, DbgPrint
> KERNEL32.dll: GetUserDefaultUILanguage, GetCurrentProcess, TerminateProcess, GetExitCodeProcess, WaitForSingleObject, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, CreateProcessW, IsWow64Process

( 8 exports )
SE_DllLoaded, SE_DllUnloaded, SE_DynamicShim, SE_GetProcAddress, SE_InstallAfterInit, SE_InstallBeforeInit, SE_IsShimDll, SE_ProcessDying

Alt 22.02.2009, 11:42   #14
Tanja210973
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



Hier mein Navilog1 Bericht

Search Navipromo version 3.7.4 began on 22.02.2009 at 11:42:12,62

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 16.02.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 2300+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrator ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:38 Go (Free:33 Go)
D:\ (Local Disk) - NTFS - Total:38 Go (Free:37 Go)
E:\ (CD or DVD)
F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)


Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINXP" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINXP\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINXP\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" ***


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINXP\system32" *

* Scan in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINXP\system32" :


* In "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" :

ucgogks.dat found !
ucgogks_nav.dat found !
ucgogks_navps.dat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 22.02.2009 at 11:42:42,65 ***

Alt 22.02.2009, 11:49   #15
john.doe
 
Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Standard

Trojan.DNSChangerCodec und Trojan.Dropper/Gen



1.) Rufe das Programm bitte erneut auf und wähle die Option 2
  • Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
  • Sollte der Rechner nicht neustarten, tue dies bitte manuell.
  • Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
  • Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
  • Das Scanergebnis bitte hier posten.
Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.

2.) Ein neues HJT-Log posten.

ciao, andreas

Antwort

Themen zu Trojan.DNSChangerCodec und Trojan.Dropper/Gen
0 bytes, administrator, adobe, antivir, antivirus, avira, bho, bonjour, dateien, einstellungen, excel, explorer, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, microsoft, object, outlook express, programme, software, superantispyware, system, windows, windows xp




Ähnliche Themen: Trojan.DNSChangerCodec und Trojan.Dropper/Gen


  1. Win7 Trojan.Agent/Gen-XDown & Trojan.Unclassified/Dropper
    Log-Analyse und Auswertung - 15.11.2015 (9)
  2. [Win XP] botnet: ntp-muliplier; desinfect: Trojan.Script.Iframer, Trojan.Heur.TP, Win.Trojan.Iniduoh, Win.Trojan.Ramnit
    Log-Analyse und Auswertung - 08.02.2014 (16)
  3. TR/ATRAPS.Gen und TR/Kazy durch Antivir gemeldet; ferner Trojan.Agent.MRGGen, Trojan.0Access, Trojan.Dropper.BCMiner
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (10)
  4. Trojan.Dropper & Trojan.FakeAlert & Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 14.10.2012 (17)
  5. 2x Rootkit0.Access, Trojan.Zaccess und zweimal Trojan.Dropper.PE4 in C:\Windows\Installer\
    Log-Analyse und Auswertung - 14.07.2012 (3)
  6. Spam mails vom computer? Trojan.sirefef, Trojan.dropper, trojan.small, etc.etc.
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (13)
  7. TR.Dropper.gen in C:\Users\Christina\AppData\Local\Temp, Trojan/Zaccess, Trojan.Agent, ...
    Log-Analyse und Auswertung - 19.06.2012 (29)
  8. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  9. TR/Dropper.Gen von Avira AntiVir und Trojan.Agent.CK sowie Trojan.Orsam von Malwarebytes erkannt
    Plagegeister aller Art und deren Bekämpfung - 03.12.2010 (1)
  10. Stark trojanerverseuchtes System! (Trojan Buzuss, Backdoor Trojan, Trojan Dropper,..)
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (3)
  11. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  12. unerwünschte pop ups -> (Adware Tracking Cookie,trojan agent,trojan dropper)
    Log-Analyse und Auswertung - 02.06.2010 (20)
  13. trojaner nicht löschbar (AVG u. Malwarebytes) (Trojan.Dropper / Trojan.SpamBot)
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (7)
  14. Trojan.Unclassified & Trojan.Dropper
    Log-Analyse und Auswertung - 28.03.2009 (13)
  15. Mehrere Trojaner Meldungen 'TR/Dldr.Agent.yla' [trojan] 'TR/Dropper.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.03.2009 (19)
  16. Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec
    Plagegeister aller Art und deren Bekämpfung - 28.10.2008 (23)
  17. Trojan.Banker.VB.0D9D0998 und Trojan-Dropper.Win32.Agent.wd
    Log-Analyse und Auswertung - 04.10.2005 (2)

Zum Thema Trojan.DNSChangerCodec und Trojan.Dropper/Gen - Hallo! Habe mir mal wieder was eingefangen! Mein SUPERAntiSpyware hat folgendes festgstellt: Trojan.DNSChanger-Codec und Trojan.Dropper/Gen Könnt Ihr mir wieder helfen? Vielen Dank schon mal Hier mein HijackThis Logfile Logfile of - Trojan.DNSChangerCodec und Trojan.Dropper/Gen...
Archiv
Du betrachtest: Trojan.DNSChangerCodec und Trojan.Dropper/Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.