| |
| |||||||
Log-Analyse und Auswertung: DNS Umleitung was ist hier los?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.02.2009, 17:42
| #1 |
| |  DNS Umleitung was ist hier los? Seit einigger Zeit habe ich vermehr Probleme mit meinem PC.. Zuerst habe ich bemerkt das mein Reconnectprogramm für meine fritzbox nicht mehr funktioniert hat. Als ich nach der Ursache gesucht habe fand ich heraus, daß damit das Programm funktiononiert die fritz box im browser mittels http://fritz.box aufgerufen werden können muss.. dieses geht neuerdings nicht mehr, wenn ich hingegen http://192.168.178.1 eingebe gibt es keine probleme. daraufhin musste ich feststellen das sich weder Adaware noch Antivir mehr automatisch updaten lassen. Das nächstes Problem das sich auftat war das einigemale keine Internverbindung von meinem Pc mehr möglich war und auch kein PC im Netzwerk sich pingen ließ nach einem Neustart war das Problem immer verschwunden. ich habe Antivir und Adaware manuell geupdatet, aber auch deren Scans lieferten zwar einige Treffer, die auch behoben werden konnten, aber an meinen Problemen hat sich nachwievor nichts geändert. Neuerdings bekomme ich bei googelsuchen bei aufrufen von Links alle paar klicks irgendwelche Werbeseiten statt der über Googel gesuchten Pages. Ein Freund von mir hat vermutet das es sich um eine DNS Umleitung handeln könnte, wie kann ich das herausfinden und was dagegen tun? Ich hänge einmal logfiles von HJT und combiofix an.. HJT: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:16:18, on 28.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\PROGRA~1\Aston\aston.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe c:\programme\avira\antivir personaledition classic\avcenter.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe F:\FREEDO~1\fdm.exe C:\WINDOWS\system32\ctfmon.exe f:\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Free Download Manager\iefdm2.dll O4 - HKLM\..\Run: [GEST] = O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://F:\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://F:\Free Download Manager\dlfvideo.htm O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.38,85.255.112.7 O17 - HKLM\System\CS2\Services\Tcpip\..\{1165C6A1-C661-41DF-B5C0-D24F8321B72D}: NameServer = 85.255.114.38,85.255.112.7 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4994 bytes Code:
ATTFilter ComboFix 09-02-27.02 - Meltapo 2009-02-28 17:03:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.3326.2891 [GMT 1:00]
ausgeführt von:: c:\downloads\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated(behoben :) ))
FW: ZoneAlarm Firewall *enabled*
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\inst.exe
c:\windows\system32\drivers\msqpdxhsdlmsck.sys
c:\windows\system32\drivers\msqpdxmkkrnjyo.sys
c:\windows\system32\drivers\msqpdxotkaagrm.sys
c:\windows\system32\drivers\msqpdxqdlwiclm.sys
c:\windows\system32\drivers\msqpdxwbwuxxti.sys
c:\windows\system32\msqpdxmirhwjrq.dll
E:\resycled
e:\resycled\boot.com
F:\resycled
f:\resycled\boot.com
G:\resycled
g:\resycled\boot.com
H:\resycled
h:\resycled\boot.com
.
((((((((((((((((((((((( Dateien erstellt von 2009-01-28 bis 2009-02-28 ))))))))))))))))))))))))))))))
.
2009-02-25 02:27 . 2009-02-25 02:27 35 --a------ c:\windows\WorldBuilder.INI
2009-02-22 02:19 . 2009-01-16 22:45 73,728 --a------ c:\windows\system32\RtNicProp32.dll
2009-02-22 02:03 . 2009-01-18 22:35 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-02-22 01:54 . 2009-01-18 22:30 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-02-22 01:53 . 2009-02-22 01:53 <DIR> d-------- c:\programme\Lavasoft
2009-02-22 01:53 . 2009-02-22 01:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-22 01:53 . 2009-02-22 02:01 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-17 15:22 . 2009-02-17 15:26 55 --a------ c:\windows\ScreenHunter.INI
2009-02-17 15:21 . 2009-02-17 17:38 <DIR> d-------- c:\programme\Wisdom-soft ScreenHunter 5 Pro
2009-02-17 13:13 . 2009-02-28 16:55 <DIR> d-------- c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Free Download Manager
2009-02-17 13:13 . 2009-02-17 13:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2009-02-15 13:32 . 2009-02-15 13:32 <DIR> d-------- c:\dokumente und einstellungen\Meltapo\WINDOWS
2009-02-13 14:38 . 2009-02-13 14:48 69,632 --a------ c:\windows\ScUnin.exe
2009-02-13 14:38 . 2009-02-13 14:48 26,366 --a------ c:\windows\scunin.dat
2009-02-13 14:38 . 2009-02-13 14:48 967 --a------ c:\windows\ScUnin.pif
2009-02-11 18:09 . 2009-02-11 18:09 <DIR> d-------- c:\programme\RealVNC
2009-02-07 19:01 . 2009-02-09 04:51 <DIR> d-------- c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\.purple
2009-02-07 18:57 . 2009-02-07 19:01 <DIR> d-------- c:\programme\Aspell
2009-02-07 18:56 . 2009-02-07 19:01 <DIR> d-------- c:\programme\Pidgin
2009-02-07 18:55 . 2009-02-07 18:55 <DIR> d-------- c:\programme\Gemeinsame Dateien\GTK
2009-02-04 03:06 . 2009-02-04 03:06 <DIR> d-------- c:\windows\system32\config\systemprofile\Anwendungsdaten\ATI
2009-02-04 03:06 . 2009-02-04 03:06 4,096 --a------ c:\windows\system32\crash
2009-02-03 22:34 . 2004-07-09 04:26 52,096 --a------ c:\windows\system32\drivers\msdv.sys
2009-02-03 22:34 . 2004-07-09 04:26 52,096 --a--c--- c:\windows\system32\dllcache\msdv.sys
2009-02-03 22:34 . 2002-12-12 00:14 46,592 --a------ c:\windows\system32\dxdllreg.exe
2009-02-03 22:34 . 2002-08-29 03:41 31,744 --a--c--- c:\windows\system32\dllcache\pid.dll
2009-02-03 22:34 . 2002-12-12 00:14 12,288 --a------ c:\windows\system32\ksolay.ax
2009-02-03 22:21 . 2009-02-03 22:23 43,520 --a------ c:\windows\system32\CmdLineExt03.dll
2009-01-29 03:27 . 2009-01-29 03:27 <DIR> d-------- c:\programme\XviD
2009-01-29 03:22 . 2009-01-29 03:22 <DIR> d-------- c:\programme\Common Files
2009-01-28 17:25 . 2009-01-28 17:25 <DIR> d-------- c:\programme\Ventrilo
2009-01-28 17:25 . 2009-01-28 17:25 258 --a------ c:\windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-28 16:06 35,719,200 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-02-28 15:55 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Skype
2009-02-28 15:02 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\skypePM
2009-02-27 01:33 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Hamachi
2009-02-26 17:04 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Red Alert 3
2009-02-25 12:57 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-23 08:43 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\dvdcss
2009-02-22 01:02 --------- d-----w c:\programme\Autorun Eater
2009-02-21 23:17 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Aston
2009-02-17 16:25 47,360 ----a-w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\pcouffin.sys
2009-02-17 16:25 --------- d-----w c:\programme\Azureus
2009-02-17 16:25 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Vso
2009-01-28 16:25 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-28 16:25 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Ventrilo
2009-01-26 23:34 2,854,912 ----a-w c:\windows\Internet Logs\xDB7.tmp
2009-01-26 23:34 1,803,776 ----a-w c:\windows\Internet Logs\xDB8.tmp
2009-01-26 15:41 --------- d-----w c:\programme\Stardock
2009-01-26 15:41 --------- d-----w c:\programme\Gemeinsame Dateien\Stardock
2009-01-22 15:25 120,064 ----a-w c:\windows\system32\drivers\Rtenicxp.sys
2009-01-22 03:33 --------- d-----w c:\programme\Hamachi
2009-01-13 19:21 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Notepad++
2009-01-13 16:23 --------- d-----w c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\gtk-2.0
2009-01-08 19:31 425,576 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-01-07 17:28 --------- d--h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{0E8E33D8-193A-414A-A909-0F101A142D26}
2008-12-30 09:58 --------- d-----w c:\programme\Universal Math Solver
2008-12-30 09:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\1Click DVD Copy Pro
2008-12-30 09:56 47,360 ----a-w c:\windows\system32\drivers\pcouffin.sys
2008-12-17 16:15 21,840 ----atw c:\windows\system32\SIntfNT.dll
2008-12-17 16:15 17,212 ----atw c:\windows\system32\SIntf32.dll
2008-12-17 16:15 12,067 ----atw c:\windows\system32\SIntf16.dll
2008-12-16 15:48 1,700,864 ----a-w c:\windows\Internet Logs\xDB6.tmp
2008-12-15 10:50 2,012,734 ----a-w c:\windows\Internet Logs\tvDebug.zip
2008-12-04 19:32 1,686,016 ----a-w c:\windows\Internet Logs\xDB5.tmp
2008-12-03 19:15 2,030,080 ----a-w c:\windows\system32\python30.dll
2007-05-21 13:19 3,661,824 ----a-w c:\dokumente und einstellungen\Meltapo\vjslib.dll
2007-05-21 13:19 176,640 ----a-w c:\dokumente und einstellungen\Meltapo\vjsnativ.dll
2007-05-21 13:18 413,696 ----a-w c:\dokumente und einstellungen\Meltapo\gpgcore.dll
2007-05-21 13:18 352,256 ----a-w c:\dokumente und einstellungen\Meltapo\LuaPlus_1081.dll
2007-05-21 13:18 13,312 ----a-w c:\dokumente und einstellungen\Meltapo\Lua.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="=" [X]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-18 506712]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"shell"="c:\progra~1\Aston\aston.exe ,svchost.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-22 64160]
R2 EPGService;EPGService;c:\progra~1\WinTV\EPG Services\System\EPGService.exe [2008-10-06 437248]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 921936]
S3 gAGP440p;gAGP440p;\??\c:\dokume~1\Meltapo\LOKALE~1\Temp\gAGP440p.sys --> c:\dokume~1\Meltapo\LOKALE~1\Temp\gAGP440p.sys [?]
S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [2008-10-06 823296]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [2008-10-06 560640]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [2008-10-06 15616]
S3 MRVW225;A/WLAN-1 Wireless LAN Dirver for Windows XP;c:\windows\system32\drivers\MRVW225.sys [2008-12-02 299904]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;c:\windows\system32\drivers\PRISMUSB.sys [2003-10-02 666624]
.
Inhalt des "geplante Tasks" Ordners
2009-02-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 22:34]
2009-02-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-RunOnce-<NO NAME> - (no file)
.
------- Zusätzlicher Suchlauf -------
.
IE: Alles mit FDM herunterladen - file://f:\free download manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://f:\free download manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://f:\free download manager\dllink.htm
IE: Videos mit FDM herunterladen - file://f:\free download manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Mozilla\Firefox\Profiles\clcksiv0.default\
FF - prefs.js: browser.startup.homepage - hxxp://news.google.de/
FF - prefs.js: network.proxy.type - 2
FF - component: f:\free download manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-28 17:05:53
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\windows\system32\wbem\Performance\WmiApRpl_new.h 357 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1644491937-682003330-1801674531-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f0,bf,d9,11,6b,9a,70,27,97,1a,2f,ea,25,ed,ed,aa,df,1d,94,c8,3e,a1,eb,
c2,d6,1d,9a,73,d0,7a,de,f9,67,78,67,5c,ed,aa,a4,7b,73,ba,1d,6c,31,23,f0,e5,\
"??"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
[HKEY_USERS\S-1-5-21-1644491937-682003330-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:f2,7f,ac,8e,6b,dd,0e,c2,61,9d,d0,5b,6c,99,4e,d2,4b,fb,28,1e,39,
f4,40,d0,a7,db,f1,75,44,b4,bd,52,db,6e,34,f3,dd,8e,7e,48,c6,7b,9a,ac,e1,a6,\
"rkeysecu"=hex:57,94,b2,4d,4c,cd,fe,bf,32,a3,20,a6,ce,19,23,b7
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-28 17:07:03
ComboFix-quarantined-files.txt 2009-02-28 16:07:01
Vor Suchlauf: 15 Verzeichnis(se), 16,532,869,120 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 17,495,449,600 Bytes frei
189
Geändert von Meltapo (28.02.2009 um 18:01 Uhr) |
|
28.02.2009, 20:15
| #2 |
 |  DNS Umleitung was ist hier los? Hallo Meltapo,
__________________der Freund hat recht. Es handelt(e) sich um einen DNS Changer, welcher alle (DNS-)Internetverbindungen über einen Server in der Ukraine laufen lässt. Combofix scheint ihn aber erwischt zu haben, wie es für mich scheint. Schau in Deinen Internetverbindungen nach, ob dort immer noch unter dem DNS-Eintrag ein Wert mit 85.255.*.* steht. Wenn ja, dann lösche diesen und starte den Computer neu. Wenn danach der Eintrag dort wieder sein sollte, ist der Virus noch aktiv. Wenn nicht, scheint dieser zumindest entfernt zu sein. Alle Passwörter, welche Du verwendet hast, solltest Du dringend ändern!!! Melde Dich, und teile mit, wie es um Deinen Computer steht. Grüße a5cl3p1o5
__________________ |
|
28.02.2009, 21:40
| #3 |
| | DNS Umleitung was ist hier los? Hehe vielen dank für die Info, das es meinem PC wieder gut geht
__________________ Wusste garnicht das Combofix das kann.. bin davon ausgegangen das es nur dafür da ist logdatein zum problemfinden bereitzustellen.. Super geht alles wieder, die Passwörter habe ich geändert, aber vor ein paar tagen habe ich Homebanking benutz .. aber nichts wo ich einen Tan benutzt hätte. Hoffe da passiert nu nichts mehr.. nochmal danke für die info  auch wenns schon behoben war ohne das ich es bemerkt habe |
|
| Themen zu DNS Umleitung was ist hier los? |
| 0 bytes, ad-aware, ad-watch, antivir, antivirus, aufrufe, autorun, avira, bho, browser, components, computer, einstellungen, firefox, free download, handel, hijack, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, laufende prozesse, malware, mozilla, netzwerk, programm, security, skype.exe, software, suchlauf, system, usb, windows, windows xp, wireless lan |
Linear-Darstellung
