| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.DNSChanger befallWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
31.03.2009, 19:38
| #1 |
 |  Trojan.DNSChanger befall HAllo, ich habe das selbe problem wie "Icon21 Virus-->Firefox fehlerhaft" sobald ich eine seite öffnen will kommt ZB emule ,... irgendwas die richtung da aber immer ein neuer lösungsweg gefragt ist möchte ich euch bitten mir bei der lösung zu helfen. Ich habe also: hijack log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:17:27, on 31.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{403228A1-7D5A-4DE2-AFF1-8AE6B23F633A}: NameServer = 85.255.114.108,85.255.112.143 O17 - HKLM\System\CCS\Services\Tcpip\..\{6503BCB9-5CC1-4291-9AA3-79CC94C0035E}: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS1\Services\Tcpip\..\{403228A1-7D5A-4DE2-AFF1-8AE6B23F633A}: NameServer = 85.255.114.108,85.255.112.143 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS2\Services\Tcpip\..\{403228A1-7D5A-4DE2-AFF1-8AE6B23F633A}: NameServer = 85.255.114.108,85.255.112.143 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe -- End of file - 5157 bytes CCleaner laufen lassen und zwar sehr oft! Konnte dabei die volgende fehlermeldung nicht reparieren lassen. Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} danach habe ich Avenger laufen lassen ohne ergebnis. Malewarebytes hat dann dieses ergebniss gebracht: Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 2
31.03.2009 20:33:06
mbam-log-2009-03-31 (20-33-01).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 91562
Laufzeit: 18 minute(s), 42 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{403228a1-7d5a-4de2-aff1-8ae6b23f633a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.108,85.255.112.143 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6503bcb9-5cc1-4291-9aa3-79cc94c0035e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{403228a1-7d5a-4de2-aff1-8ae6b23f633a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.108,85.255.112.143 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6503bcb9-5cc1-4291-9aa3-79cc94c0035e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{403228a1-7d5a-4de2-aff1-8ae6b23f633a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.108,85.255.112.143 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{6503bcb9-5cc1-4291-9aa3-79cc94c0035e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.
Infizierte Dateien:
C:\System Volume Information\_restore{B6EC4F66-25C4-4BDB-B1E6-14F4E2B41983}\RP94\A0013395.exe (Adware.Cinmus) -> No action taken.
C:\autorun.inf (Trojan.DNSChanger) -> No action taken.
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.
war und ich aber nichts weiter machen konnte. Irgendwie muß ich diesen recycled/boot entfernen. Bitte gebt mir hilfestellung. Arbeite mit Win XP pro SP 2 |
|
31.03.2009, 21:11
| #3 |
| | Trojan.DNSChanger befall Du willst bestimmt einen komplett scan?
__________________Ansonsten gibts nur das hier: Code:
ATTFilter GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-03-31 22:09:51
Windows 5.1.2600 Service Pack 2
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
---- Services - GMER 1.0.15 ----
Service system32\drivers\gaopdxulkltkos.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
|
|
31.03.2009, 21:29
| #4 |
| | Trojan.DNSChanger befall Sooo, der komplette scan : Code:
ATTFilter GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-03-31 22:25:45
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT F7F2CCD6 ZwCreateKey
SSDT F7F2CCCC ZwCreateThread
SSDT F7F2CCDB ZwDeleteKey
SSDT F7F2CCE5 ZwDeleteValueKey
SSDT F7F2CCEA ZwLoadKey
SSDT F7F2CCB8 ZwOpenProcess
SSDT F7F2CCBD ZwOpenThread
SSDT F7F2CCF4 ZwReplaceKey
SSDT F7F2CCEF ZwRestoreKey
SSDT F7F2CCE0 ZwSetValueKey
SSDT F7F2CCC7 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? qdmnn.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
---- Services - GMER 1.0.15 ----
Service system32\drivers\gaopdxulkltkos.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxulkltkos.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxulkltkos.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxvkswqhbr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxulkltkos.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxulkltkos.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxvkswqhbr.dll
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- EOF - GMER 1.0.15 ----
|
|
01.04.2009, 21:08
| #5 |
  | Trojan.DNSChanger befall Gut so, wie ich sehe bist du grad online. Ich bastle mal eben ein Script, bitte rufe schon mal den Avenger auf, näheres kommt gleich....
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
|
01.04.2009, 21:17
| #6 |
| | Trojan.DNSChanger befall Na bitte, da haben wir ja was wir brauchen. Offensichtlich hast du schon länger Ärger mit diesem Teil Öffne jetzt das Programm Avenger. Du siehst jetzt ein weißen Scriptfeld.  Kopiere jetzt den Inhalt der Codebox mit Strg +C Code:
ATTFilter Drivers to delete:
gaopdxserv.sys
Files to delete:
C:\WINDOWS\system32\drivers\gaopdxulkltkos.sys
C:\WINDOWS\system32\gaopdxvkswqhbr.dll
C:\WINDOWS\system32\gaopdxcounter
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst. Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken..es sieht wirkllich wild aus. Lass dem Avenger Zeit zu arbeiten, auch wenn du meinst er hätte sich aufgehängt. Unternehme keinen Neustartversuch aus eigenem Antrieb. Nach Abschluß dieser Sache bekommst du, nachdem Windows wieder gebootet hat, ein Logfile angezeigt. Poste es bitte hier. Zu diesem Zeitpunkt ist auch möglich, dass sich Avira mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne. Anschließend sorge dafür das Avira geupdated wird. Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier. Weiter geht es dann wieder mit MalwareBytes. ( UPDATE nicht vergessen ) Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier. Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log. Dann gehts ans Aufräumen....insbesondere dem installieren des SP 3. Bis später 
__________________ --> Trojan.DNSChanger befall |
|
01.04.2009, 21:18
| #7 |
| | Trojan.DNSChanger befall guten abend, vielen dank ich verlasse mich da auf dich!! |
|
01.04.2009, 21:29
| #8 |
| | Trojan.DNSChanger befall Hier das Logfile: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "gaopdxserv.sys" deleted successfully.
Error: file "C:\WINDOWS\system32\drivers\gaopdxulkltkos.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\gaopdxulkltkos.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\gaopdxvkswqhbr.dll" not found!
Deletion of file "C:\WINDOWS\system32\gaopdxvkswqhbr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\gaopdxcounter" not found!
Deletion of file "C:\WINDOWS\system32\gaopdxcounter" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Registry key "HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
|
|
01.04.2009, 22:04
| #9 |
| | Trojan.DNSChanger befall mit dem anderen bekomme ich : Null Null Summary 00 was nun? |
|
01.04.2009, 22:06
| #10 |
| | Trojan.DNSChanger befall Gibts doch nicht... Mach bitte nochmal den GMER Scan. hast du zwischen dem Scan gestern und dem heutigen Post irgendwas gemacht?
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
|
01.04.2009, 22:39
| #11 |
| | Trojan.DNSChanger befall logfile von : Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1930
Windows 5.1.2600 Service Pack 2
01.04.2009 23:36:43
mbam-log-2009-04-01 (23-36-43).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 92823
Laufzeit: 23 minute(s), 27 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\System Volume Information\_restore{B6EC4F66-25C4-4BDB-B1E6-14F4E2B41983}\RP95\A0013459.exe (Adware.Cinmus) -> Quarantined and deleted successfully.
|
|
01.04.2009, 22:42
| #12 |
| | Trojan.DNSChanger befall Entschuldige bitte. NEin ich habe nichts gemacht. HAbe antivir laufen lassen sonst nur aus und heute wieder eingeschalten. |
|
01.04.2009, 22:56
| #13 |
| | Trojan.DNSChanger befall hier der GMER log: Code:
ATTFilter GMER 1.0.15.14966 - hxxp://www.gmer.net
Rootkit scan 2009-04-01 23:55:34
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT F7F07FC6 ZwCreateKey
SSDT F7F07FBC ZwCreateThread
SSDT F7F07FCB ZwDeleteKey
SSDT F7F07FD5 ZwDeleteValueKey
SSDT F7F07FDA ZwLoadKey
SSDT F7F07FA8 ZwOpenProcess
SSDT F7F07FAD ZwOpenThread
SSDT F7F07FE4 ZwReplaceKey
SSDT F7F07FDF ZwRestoreKey
SSDT F7F07FD0 ZwSetValueKey
SSDT F7F07FB7 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? vcmvxl.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- EOF - GMER 1.0.15 ----
|
|
01.04.2009, 22:59
| #14 |
| | Trojan.DNSChanger befall OK!! Wir haben den rootkit erwischt.... der ist definitiv wech... Deinem PC müsste es jetzt besser gehen. Versuche jetzt nochmal einen Scan mit Blacklight....sicher ist sicher... Versuche die Updates von Malwarebytes und lass es komplett durchlaufen. Poste das Ergebnis bitte hier. Sieht aus als ob wir Nachtschicht machen 
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
|
01.04.2009, 23:23
| #15 |
| | Trojan.DNSChanger befall vielen dank das mache ich noch. Kannst du mir auch helfen wenn es um den fehler C:\recycled/boot.com ist keine zulässige Win32-Anwendung das bekomme ich seit neuestem beim öffnen von meinen anderen festplatten. über explorer funktioniert es. Habe gelesen es reicht wenn ich unter reg edit die hotkeay mit resycle.... lösche |
|
| Themen zu Trojan.DNSChanger befall |
| .com, ad-aware, ad-watch, adobe, antivir, antivir guard, avira, bho, controlset002, desktop, excel, explorer, fehlermeldung, firefox, gservice, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, logfile, malwarebytes' anti-malware, microsoft, mozilla, problem, programme, registrierungsschlüssel, software, system, windows, windows xp |
Linear-Darstellung
