| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.DNSChanger befallWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.03.2009, 19:38
| #1 |
 |  Trojan.DNSChanger befall HAllo, ich habe das selbe problem wie "Icon21 Virus-->Firefox fehlerhaft" sobald ich eine seite öffnen will kommt ZB emule ,... irgendwas die richtung da aber immer ein neuer lösungsweg gefragt ist möchte ich euch bitten mir bei der lösung zu helfen. Ich habe also: hijack log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:17:27, on 31.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{403228A1-7D5A-4DE2-AFF1-8AE6B23F633A}: NameServer = 85.255.114.108,85.255.112.143 O17 - HKLM\System\CCS\Services\Tcpip\..\{6503BCB9-5CC1-4291-9AA3-79CC94C0035E}: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS1\Services\Tcpip\..\{403228A1-7D5A-4DE2-AFF1-8AE6B23F633A}: NameServer = 85.255.114.108,85.255.112.143 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS2\Services\Tcpip\..\{403228A1-7D5A-4DE2-AFF1-8AE6B23F633A}: NameServer = 85.255.114.108,85.255.112.143 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe -- End of file - 5157 bytes CCleaner laufen lassen und zwar sehr oft! Konnte dabei die volgende fehlermeldung nicht reparieren lassen. Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} danach habe ich Avenger laufen lassen ohne ergebnis. Malewarebytes hat dann dieses ergebniss gebracht: Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 2
31.03.2009 20:33:06
mbam-log-2009-03-31 (20-33-01).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 91562
Laufzeit: 18 minute(s), 42 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{403228a1-7d5a-4de2-aff1-8ae6b23f633a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.108,85.255.112.143 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6503bcb9-5cc1-4291-9aa3-79cc94c0035e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{403228a1-7d5a-4de2-aff1-8ae6b23f633a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.108,85.255.112.143 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6503bcb9-5cc1-4291-9aa3-79cc94c0035e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{403228a1-7d5a-4de2-aff1-8ae6b23f633a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.108,85.255.112.143 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{6503bcb9-5cc1-4291-9aa3-79cc94c0035e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.
Infizierte Dateien:
C:\System Volume Information\_restore{B6EC4F66-25C4-4BDB-B1E6-14F4E2B41983}\RP94\A0013395.exe (Adware.Cinmus) -> No action taken.
C:\autorun.inf (Trojan.DNSChanger) -> No action taken.
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.
war und ich aber nichts weiter machen konnte. Irgendwie muß ich diesen recycled/boot entfernen. Bitte gebt mir hilfestellung. Arbeite mit Win XP pro SP 2 |
| Themen zu Trojan.DNSChanger befall |
| .com, ad-aware, ad-watch, adobe, antivir, antivir guard, avira, bho, controlset002, desktop, excel, explorer, fehlermeldung, firefox, gservice, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, logfile, malwarebytes' anti-malware, microsoft, mozilla, problem, programme, registrierungsschlüssel, software, system, windows, windows xp |
Baum-Darstellung