Vermutlich DNS-Changer eingefangen

AVornberger · 06.07.2010, 19:04

Hallo
Ich habe mir vermutlich einen DNS-Changer eingefangen. Insbesondere wenn ich auf Google etwas suche, und dann die Treffer anklicke, werde ich auf irgendwelche unsinnigen Seiten weitergeleitet. Oftmals funktioniert danach kein Browser mehr, und der Rechner friert ein. Dann helfe ich mir immer mit dem letzten Widerherstellungspunkt im abgesicherten Modus, um wieder weiterarbeiten zu können. Das geht dann so lange gut, bis ich wieder eine Weiterleitung auf irgendeine unsinnige Seite erhalte. Windows Update funktioniert auch nicht mehr. Beim versuch dies handisch zu machen kommt der Fehlercode: 0x80072eff. Ich habe windows xp Sp3 und gehe mit einem N24-Surfstick ins Internet. Ab und zu fängt der Rechner auch an größere Datenmengen downzuloaden, ich weis nur nicht woher die Daten kommen, wohin die Daten gehen, und was das für Daten sind. Vor ein paar Tagen habe ich mit Antivir auch einige Trojaner gefunden und in Quarantaine gestellt. Laut Antivir ist mein Rechner jetzt sauber, das Problem besteht aber weiterhin. Jetzt habe ich die Anleitung hier aus dem Forum beachtet und nacheinander die Programme: Malwarebytes, Hostsxpert und dann GMER laufen lassen. Im Anschluss kopiere ich die Protokolle von Malwarebytes und GMER ein. Obwohl Malwarebytes noch einige Probleme identifiziert hat, bleibt das Problem immer noch bestehen. Lässt sich das Problem noch irgendwie lösen, oder komme ich um ein Formatieren der Platte und kompletter Neuinstallation des Rechners nicht mehr herum?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4281

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.07.2010 11:13:02
mbam-log-2010-07-06 (11-13-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 304717
Laufzeit: 1 Stunde(n), 59 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\0.0192410834171044.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\0.5189600220392508.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\0.9692624314266088.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4ED0C12F-B6FE-49D3-8052-8990A33F4D0F}\RP273\A0180033.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4ED0C12F-B6FE-49D3-8052-8990A33F4D0F}\RP274\A0184408.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4ED0C12F-B6FE-49D3-8052-8990A33F4D0F}\RP278\A0188983.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\0.7844040189974532.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-07-06 16:34:28
Windows 5.1.2600 Service Pack 3
Running: ytbxdk04.exe; Driver: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\kwriqpoc.sys


---- System - GMER 1.0.15 ----

SSDT            F7A762CE                                                                                         ZwCreateKey
SSDT            F7A762C4                                                                                         ZwCreateThread
SSDT            F7A762D3                                                                                         ZwDeleteKey
SSDT            F7A762DD                                                                                         ZwDeleteValueKey
SSDT            F7A762E2                                                                                         ZwLoadKey
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                ZwMapViewOfSection [0xF77888D0]
SSDT            F7A762B0                                                                                         ZwOpenProcess
SSDT            F7A762B5                                                                                         ZwOpenThread
SSDT            F7A762EC                                                                                         ZwReplaceKey
SSDT            F7A762E7                                                                                         ZwRestoreKey
SSDT            F7A762D8                                                                                         ZwSetValueKey
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                ZwShutdownSystem [0xF7788E70]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                ZwTerminateProcess [0xF7788E00]

---- Kernel code sections - GMER 1.0.15 ----

.rsrc           C:\WINDOWS\system32\drivers\isapnp.sys                                                           entry point in ".rsrc" section [0xF75FF014]
.text           tcpip.sys!IPTransmit + 10FC                                                                      AFA10D3A 6 Bytes  CALL F7883200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           tcpip.sys!IPTransmit + 2A52                                                                      AFA12690 6 Bytes  CALL F7883200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           tcpip.sys!IPRegisterProtocol + 930                                                               AFA28454 6 Bytes  CALL F7883200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           wanarp.sys                                                                                       F767C3FD 7 Bytes  CALL F7883350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\Explorer.EXE[168] ntdll.dll!NtProtectVirtualMemory                                    7C91D6EE 5 Bytes  JMP 00B7000A 
.text           C:\WINDOWS\Explorer.EXE[168] ntdll.dll!NtWriteVirtualMemory                                      7C91DFAE 5 Bytes  JMP 00C1000A 
.text           C:\WINDOWS\Explorer.EXE[168] ntdll.dll!KiUserExceptionDispatcher                                 7C91E47C 5 Bytes  JMP 00B6000C 
.text           C:\WINDOWS\System32\svchost.exe[1592] ntdll.dll!NtProtectVirtualMemory                           7C91D6EE 5 Bytes  JMP 009A000A 
.text           C:\WINDOWS\System32\svchost.exe[1592] ntdll.dll!NtWriteVirtualMemory                             7C91DFAE 5 Bytes  JMP 009B000A 
.text           C:\WINDOWS\System32\svchost.exe[1592] ntdll.dll!KiUserExceptionDispatcher                        7C91E47C 5 Bytes  JMP 0099000C 
.text           C:\WINDOWS\System32\svchost.exe[1592] ole32.dll!CoCreateInstance                                 774D057E 5 Bytes  JMP 00B3000A 
.text           C:\WINDOWS\system32\wuauclt.exe[3196] ntdll.dll!NtProtectVirtualMemory                           7C91D6EE 5 Bytes  JMP 009A000A 
.text           C:\WINDOWS\system32\wuauclt.exe[3196] ntdll.dll!NtWriteVirtualMemory                             7C91DFAE 5 Bytes  JMP 009B000A 
.text           C:\WINDOWS\system32\wuauclt.exe[3196] ntdll.dll!KiUserExceptionDispatcher                        7C91E47C 5 Bytes  JMP 0099000C 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                              [F7883DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                               [F7883D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                        [F7883CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                          [F7883B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                         [F7883B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                              [F7883D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                             [F7883DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                       [F7883CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                         [F7883CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                           [F7883B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                [F7883D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                               [F7883DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                          [F7883B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                        [F7883CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                              [F7883DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                               [F7883D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                [F7883DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                 [F7883D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                            [F7883B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                         [F7883CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                           [F7883B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                [F7883D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                               [F7883DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                          [F7883B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                        [F7883CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                              [F7883DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                               [F7883D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                         wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\Tcpip \Device\Tcp                                                                        wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\Udp                                                                        wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\RawIp                                                                      wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device           -> \Driver\atapi \Device\Harddisk0\DR0                                                          8A589EC5

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272c93aff                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272c93aff@0014a75a3618         0x48 0xC9 0xA6 0x84 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272c93aff@00164e775f3c         0xF3 0xF0 0xBB 0x43 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000272c93aff (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000272c93aff@0014a75a3618             0x48 0xC9 0xA6 0x84 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000272c93aff@00164e775f3c             0xF3 0xF0 0xBB 0x43 ...

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\drivers\isapnp.sys                                                           suspicious modification
File            C:\WINDOWS\system32\drivers\atapi.sys                                                            suspicious modification

---- EOF - GMER 1.0.15 ----

--- --- ---

Vermutlich DNS-Changer eingefangen

Plagegeister aller Art und deren Bekämpfung: Vermutlich DNS-Changer eingefangen

Vermutlich DNS-Changer eingefangen

Ähnliche Themen: Vermutlich DNS-Changer eingefangen