Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   [Trojan.DNSChanger] // Bekomme ihn nicht weg! (https://www.trojaner-board.de/57379-trojan-dnschanger-bekomme-ihn-weg.html)

Ringman 06.08.2008 11:32
[Trojan.DNSChanger] // Bekomme ihn nicht weg!
 
Hallo liebes Board!

Hab mir letztens im I Net was schlimmes eingefangen, wo genau keine Ahnung.
Hab schon einige Mittel ausprobiert, bin aber bis jetzt immer gescheitert!

Hier mein Ad-Aware Log:
Code:
Scan Statistics
===========================
Method: Smart
        Scan tracking cookies.............................: On
        Scan ADS filestreams..............................: Off

Item Scanned: 112150
Infections Detected: 11
Infections Ignored: 0

Scan detailed statistics
===========================
Type                  Critical    Total
Process Scan....:        0        0
Registry Scan...:        0        0
Registry PE Scan:        0        0
Hosts File Scan.:        0        0
File Scan.......:        0        0
Folder Scan.....:        0        0
LSP Scan........:        0        0
ADS Scan........:        0        0
Cookie Scan.....:      10      10
File Hash Scan..:        0        0

Infections Found
===========================
Family Id: 725  Name: Tracking Cookie  Category: DataMiner  TAI:3
  Item Id: 600000144  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat doubleclick.net id /
  Item Id: 600000542  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ivwbox.de i00 /
  Item Id: 600000460  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ad.yieldmanager.com uid /
  Item Id: 600000460  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ad.yieldmanager.com vuday1 /
  Item Id: 600000460  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ad.yieldmanager.com ih /
  Item Id: 600000460  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ad.yieldmanager.com fl_inst /
  Item Id: 600000459  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat adfarm1.adition.com UserID1 /
  Item Id: 600000188  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat adverserve.net RMID /
  Item Id: 600000447  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat apmebf.com S /
  Item Id: 600000263  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat mediaplex.com svid /
Family Id: 9999  Name: MRU Object  Category: MRU Object  TAI:0
  Item Id: 1  Value: MRU Path: C:\Dokumente und Einstellungen\Besitzer\Recent  Count: 6

Items Ignored During Scan
===========================
Hier mein Malewarbytes Log:
Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1026
Windows 5.1.2600 Service Pack 3

12:25:02 06.08.2008
mbam-log-8-6-2008 (12-24-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 40151
Laufzeit: 1 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Die Coockies kommen immer wieder und wenn sie mir zu viel sind lösche ich sie einfach. Wenn ich mit Malewarbytes die DNS.Changer lösche sind sie beim nächsten mal ins Internet gehen wieder da. Combofix hab ich noch nicht benutzt und dafür muss ich noch warten, nur wenn es wirklich keine andere Lösung mehr gibt greife ich zu Combofix. Hat irgendwer selbst Erfahrungen wie er seine DNS.Changer wegbekommen hat? Wäre über jeden Tipp dankbar!

Liebe Grüße Ringman

nochdigger 06.08.2008 16:52
Hallo

bevor du Combofix übers System jagst, versuche es bitte erst mit Blacklight.
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Scanne dein System und poste das Log, das findest du im selben Ordner wo auch Blacklight abgelegt/gespeichert wurde.

Anschließend lade dir bitte Fixwareout
Downloade Dir Fixwareout.exe.
Fixwareout.exe starten -> next -> Install -> Run fixit -> Finish (System wird neugestartet) -> C:\fixwareout\report.txt ->
hierher posten sowie ein Hijackthis Logfile.

Zitat:
-- Netzwerkdienste wiederherstellen --

Solltest du Probleme mit deiner Internet Verbindung bekommen :
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)
Berichte bitte ob eine Besserung eingetreten ist.

MFG

Ringman 06.08.2008 17:16
Hallo Nochdigger, vielen Dank das du dir mein Problem unter die Lupe nimmst!
Erstens, Blacklight hat nix gefunden, hier das Log:

Code:
08/06/08 18:12:31 [Info]: BlackLight Engine 1.0.70 initialized
08/06/08 18:12:31 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/06/08 18:12:31 [Note]: 7019 4
08/06/08 18:12:31 [Note]: 7005 0
08/06/08 18:12:33 [Note]: 7006 0
08/06/08 18:12:33 [Note]: 7011 2140
08/06/08 18:12:34 [Note]: 7035 0
08/06/08 18:12:34 [Note]: 7026 0
08/06/08 18:12:34 [Note]: 7026 0
08/06/08 18:12:35 [Note]: FSRAW library version 1.7.1024
08/06/08 18:13:41 [Note]: 7007 0
Hier das Fixwareout Log:
Code:
Username "Besitzer" - 06.08.2008 18:17:45 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.
 
~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\bin\\nTrayFw.exe"
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_07\\bin\\jusched.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\windows\\system32\\ctfmon.exe"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
"DAEMON Tools Lite"="\"C:\\Programme\\DAEMON Tools Lite\\daemon.exe\" -autorun"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Hier das HiJackLog:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:34, on 06.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1215635152593
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?e=1217375806236&h=c7fefadb908f03d32b591525c6bd2170/&filename=jinstall-6u7-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7397 bytes
Bis jetzt hab ich noch keine Änderungen festgestellt.
Liebe Grüße und Vielen Dank!

nochdigger 06.08.2008 17:37
Hallo

Zitat:
Bis jetzt hab ich noch keine Änderungen festgestellt.
Du hast das System neugestartet und wirst weiterhin auf andere Seiten umgeleitet?
Wenn ja, machen wir mit Combofix weiter
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


MFG

Ringman 06.08.2008 18:22
Nein, ich werde auf keine Seiten umgeleitet, es passiert auch gar nichts auffälliges.
Mit Ausnahme das mein Internet ziemlich lahmt, die Coockies die es speichert bekomme ich nie zu sehen ausser in den A-Virus Logs. ;]

Combofix kann ich noch nicht starten da ich zuerst noch meine boot.ini wiederherstellen muss und das noch ein paar Tage dauern "könnte".
Gibt es noch andere Methoden ausser Combofix?

Liebe Grüße und Vielen Dank!

PS: Wie sollte ich einen Unterschied gemerkt haben?
Blacklight und Fixwareout haben ja nix gefunden und HiJack löscht ja nichts, oder irre ich mich?

nochdigger 06.08.2008 19:16
Hallo

Zitat:
Gibt es noch andere Methoden ausser Combofix?
(evtl. SDFix)
ich hatte Combofix nur als Kontrolle angedacht...
Bei Zeit hier
Free Virus Scan - Kaspersky Lab
und hier
BitDefender Online Scanner - Free Online Virus Scan
einen Onlinescan durchführen.

Zitat:
Blacklight und Fixwareout haben ja nix gefunden und HiJack löscht ja nichts, oder irre ich mich?
Nein du hast recht, es wurden diese Umleitungen
Zitat:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
wohl schon von Malwarebytes gelöscht (tauchen auch im Hijackthis Log nicht mehr auf).

Lass mal alle Registryleichen vom Ccleaner beseitigen.

MFG

Ringman 07.08.2008 08:51
Hallo Nochdigger!

Also zuerst mal das mit dem CCleaner. Ich hab alles bereinigt.
Aber bei Malewarebytes kommen immernoch diese 6 Einträge.
Ob mein I Net nu schneller geht kann ich net sagen da ich den Virus schon etwas länger habe.

Hier:
Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1026
Windows 5.1.2600 Service Pack 3

09:46:01 07.08.2008
After

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 4941
Laufzeit: 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Ich werde jetzt nochma im offline Modus mit Malewarebytes, Blacklight, Ad-Aware,
Avast und CCleaner reinigen und danach mit Kaspersky und BitDeffender online scannen.

Logs werden folgen :]
Und nochmal danke für deine Untersuchungen!

Ringman 08.08.2008 11:55
Hallo Nochdigger, hat etwas gedauert aber hatte Stress die Tage...
So, hab ein bischen zusatzaufgaben gemacht, hoffe es stört dich nicht! ;]

Alle Logs entsprechen der richtigen Reihenfolge.

Zuerst Ad-Aware, das findet immer was zu meckern, verdammte Cockies!
Was sind diese infectet MRU Objekte eigentlich?
Ad-Aware:
Code:
Scan Statistics
===========================
Method: Smart
        Scan tracking cookies.............................: On
        Scan ADS filestreams..............................: Off

Item Scanned: 111751
Infections Detected: 9
Infections Ignored: 0

Scan detailed statistics
===========================
Type                  Critical    Total
Process Scan....:        0        0
Registry Scan...:        0        0
Registry PE Scan:        0        0
Hosts File Scan.:        0        0
File Scan.......:        0        0
Folder Scan.....:        0        0
LSP Scan........:        0        0
ADS Scan........:        0        0
Cookie Scan.....:        8        8
File Hash Scan..:        0        0

Infections Found
===========================
Family Id: 725  Name: Tracking Cookie  Category: DataMiner  TAI:3
  Item Id: 600000542  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat ivwbox.de i00 /
  Item Id: 600000171  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat bs.serving-sys.com eyeblaster /
  Item Id: 600000408  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat serving-sys.com U /
  Item Id: 600000408  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat serving-sys.com A2 /
  Item Id: 600000408  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat serving-sys.com B2 /
  Item Id: 600000408  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat serving-sys.com C3 /
  Item Id: 600000408  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat serving-sys.com D3 /
  Item Id: 600000408  Value: Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat serving-sys.com E2 /
Family Id: 9999  Name: MRU Object  Category: MRU Object  TAI:0
  Item Id: 1  Value: MRU Path: C:\Dokumente und Einstellungen\Besitzer\Recent  Count: 1

Items Ignored During Scan
===========================


Listing of running processes
===========================
Hier nun Malewarebytes, was mir aufgefallen ist im Offline Modus werden immer nur 2 gefunden und online 6, ab und zu auch mal nur 4.
Woran liegt das?

Malewarbytes:
Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1026
Windows 5.1.2600 Service Pack 3

09:59:55 07.08.2008
Bam

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 40055
Laufzeit: 1 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{e0a67b6f-8499-4fe8-a448-a78a46ef3adf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Nach dem Neustart nochmal mit Ad-Aware gescannt und siehe da, das teil is wieder da >.>

Ad-Aware das 2te:
Code:
Scan Statistics
===========================
Method: Smart
        Scan tracking cookies.............................: On
        Scan ADS filestreams..............................: Off

Item Scanned: 96685
Infections Detected: 1
Infections Ignored: 0

Scan detailed statistics
===========================
Type                  Critical    Total
Process Scan....:        0        0
Registry Scan...:        0        0
Registry PE Scan:        0        0
Hosts File Scan.:        0        0
File Scan.......:        0        0
Folder Scan.....:        0        0
LSP Scan........:        0        0
ADS Scan........:        0        0
Cookie Scan.....:        0        0
File Hash Scan..:        0        0

Infections Found
===========================
Family Id: 9999  Name: MRU Object  Category: MRU Object  TAI:0
  Item Id: 1  Value: MRU Path: C:\Dokumente und Einstellungen\Besitzer\Recent  Count: 1

Items Ignored During Scan
===========================
Danach hab ich mit Avast gescannt der fand nix.

So, nu habsch auch mit dem CCleaner nochma gecleant wobei er bei registry nix mehr fand.

Kasperski und Bit Defender folgen ~~

Ringman 10.08.2008 20:03
Huhu Nochdigger! Sry, hatte wieder Stress die Tage... *schäm*

Also zuerst zu Bit Defender, der fand nix!
Und Kaspersky fand auch nix, nur paar Daten die er net scannan konnte.
Hier das Ka Log:

Code:
<html>
<head>
<title>PROTOKOLL FÜR KASPERSKY ONLINE SCANNER</title>
<meta http-equiv='Content-Type' content='text/html; charset=utf-8'>
</head>

<style>
        .pagetitle { font-size:20px; color:#FFFFFF; font-family: Arial, Geneva, sans-serif; }
        .text { font-size:11px; font-family: Arial, Geneva, sans-serif; }
        TD { font-size:11px; font-family: Arial, Geneva, sans-serif; }
</style>

<body>
        <table width='100%' height='110' border='0'>
                <tr height='30' align='center' bgcolor='#005447'>
                        <td colspan='2' height='30' class='pagetitle'>
                                <b>PROTOKOLL FÜR KASPERSKY ONLINE SCANNER</b>
                        </td>
                </tr>
                <tr height='70'>
                        <td colspan='2' height='70'>
                                Sonntag, 10. August 2008 20:55:29<br>
                                Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)<br>
                                Version von Kaspersky Online Scanner: 5.0.98.1<br>
                                Letztes Update der Antiviren-Datenbanken: 10/08/2008<br>
                                Anzahl der Einträge in den Antiviren-Datenbanken: 1079422<br>
                        </td>
                </tr>
                <tr height='10'>
                        <td colspan='2' height='10'>
                        </td>
                </tr>
        </table>
        <table width='100%' height='145' border='0'>
                <tr height='20' bgcolor='#EFEBDE'>
                        <td colspan='2' height='20'><b>Scan-Einstellungen</b></td>
                </tr>
                <tr height='15'>
                        <td height='15' width='250'>Folgende Antiviren-Datenbanken zur Untersuchung verwenden</td>
                        <td>Erweiterte</td>
                </tr>
                <tr height='15'>
                        <td height='15'>Archive untersuchen</td>
                        <td>ja</td>
                </tr>
                <tr height='15'>
                        <td height='15'>Mail-Datenbanken untersuchen</td>
                        <td>ja</td>
                </tr>
                <tr height='10'>
                        <td colspan='2' height='10'>
                        </td>
                </tr>
                <tr height='20' bgcolor='#EFEBDE'>
                        <td height='20'><b>Untersuchungsobjekt</b></td>
                        <td>Arbeitsplatz</td>
                </tr>
                <tr height='20'>
                        <td colspan='2' height='20'>
                                A:\<br>
                                C:\<br>
                                D:\<br>
                                E:\<br>
                                F:\<br>
                                G:\<br>
                                H:\<br>
                                I:\<br>
                                J:\
                        </td>
                </tr>
                <tr height='10'>
                        <td colspan='2' height='10'>
                        </td>
                </tr>
                <tr height='20' bgcolor='#EFEBDE'>
                        <td colspan='2' height='20'><b>Untersuchungsergebnisse</b></td>
                </tr>
                <tr height='15'>
                        <td height='15'>Untersuchte Objekte insgesamt</td>
                        <td>116627</td>
                </tr>
                <tr height='15'>
                        <td height='15'>Viren gefunden</td>
                        <td>0</td>
                </tr>
                <tr height='15'>
                        <td height='15'>Infizierte Objekte gefunden</td>
                        <td>0</td>
                </tr>
                <tr height='15'>
                        <td height='15'>Verdächtige Objekte gefunden</td>
                        <td>0</td>
                </tr>
                <tr height='15'>
                        <td height='15'>Untersuchungszeit</td>
                        <td>00:56:35</td>
                </tr>
        </table>
        <br>
        <table width='100%' border='0'>
                <tr height='20' bgcolor='#EFEBDE'>
                        <td height='20'><b>Name des infizierten Objekts</b></td>
                        <td width='200'><b>Virusname</b></td>
                        <td width='100'><b>Letzte Aktion</b></td>
                </tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-07102008-152306.log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{CB75A0CB-FA6B-4CB3-8D3C-63F0A00CD341}                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008081020080811\index.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\NTUSER.DAT                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\Besitzer\ntuser.dat.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Cookies\index.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\History\History.IE5\index.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\index.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\Alwil Software\Avast4\DATA\Avast4.db                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\System Volume Information\MountPointManagerRemoteDatabase                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\System Volume Information\_restore{F80D2535-C663-4B43-AEFD-5452854794A1}\RP141\change.log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\Debug\PASSWD.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\SchedLgU.Txt                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\SoftwareDistribution\ReportingEvents.log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\CatRoot2\edb.log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\CatRoot2\tmp.edb                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\Antivirus.Evt                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\AppEvent.Evt                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\default                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\default.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\Internet.evt                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\SAM                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\SAM.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\SecEvent.Evt                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\SECURITY                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\SECURITY.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\software                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\software.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\SysEvent.Evt                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\system                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\config\system.LOG                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\drivers\sptd.sys                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\h323log.txt                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\Temp\Perflib_Perfdata_5bc.dat                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\Temp\_avast4_\Webshlock.txt                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>C:\WINDOWS\WindowsUpdate.log                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td height='20'>D:\System Volume Information\MountPointManagerRemoteDatabase                        </td>
                        <td>Das Objekt ist gesperrt                        </td>
                        <td>übersprungen                        </td>
                </tr>
                <tr><td colspan='3' height='1' bgcolor='#EFEBDE'></td></tr>
                <tr height='20'>
                        <td colspan='3' height='20'><b>Die Untersuchung wurde abgeschlossen.</b></td>
                </tr>
        </table>
</body>
</html>
Was ich noch fragen wollte, was genau macht Combofix?
Ich kann es und will es auch "derzeit" nicht anwenden, aber wenn es die einzige Möglichkeit ist,
meinen Trojaner zu entfernen gib mir bescheid, damit ich weiß das ich meinen Compi neu aufsetzten kann.
Was mir sehr weh tun würde... *gg*

Liebe und Hoffnungsvolle Grüße der Ringman

nochdigger 11.08.2008 06:46
Hallo

ich hab mich wohl komplett irre machen lassen von der Meldung
Zitat:
(Trojan.DNSChanger) -> Data: 85.255.144.75 195.96.0.4 -> No action taken.
Eventuell hätte es bei mir auch ne Brille getan:balla: und ich wundere mich, dass die anderen Programme nix finden:koch:
So, ist dein Anbieter (du kommst aus Österreich?) zufällig
Zitat:
GAMSJAEGER Gamsjaeger Kabel TV & ISP Betriebs GmbH dns1.wibs.at
?
Dann währe die Meldung von Malwarebytes ein FP False Positiv.

Zitat:
Also zuerst zu Bit Defender, der fand nix!
Und Kaspersky fand auch nix, nur paar Daten die er net scannan konnte.
Wenn dann, die anderen Programme nicht wirklich etwas finden, wundert es mich auch nicht mehr....

Dein System sollte sauber sein.

MFG

Ringman 11.08.2008 12:38
Huch... Jap, bin bei Gamsjäger! :]

Dan hätt ich aber noch 3 Fragen.
1. Von wo kommen den die Infiszierten Coockies und die infiszierten MRU Objekte die laufend auf meine Platte kommen her? (die Ad-Aware findet)
2. Was haben dan die roten TrojanDNS.Changer die mir Malewarebytes anzeigt noch auf sich? Sind ja manchmal 2, 4 oder 6 Stück.
Wenn die Tot sind, bekomm ich die auch wieder weg?
3. Kommt es mir vor das mein internet noch immer ziemlich lahmt...

Hei, liebe Grüße Ringman :Boogie:

PS: Ab und zu wenn ich eine Seite aufschlage wird mir zwar keine Werbung aufgeschlagen,
aber unten im internet Explorer wird im weißen Balken wenn man eine Seite betritt ja angezeigt,
zB: Auf http:/pcgames.de wird gewartet.
Und da kommt manchmal inerhalb Bruchsekunden zB: yieldmanager unter den ich bei Google gefunden habe das es Spyware ist.

nochdigger 11.08.2008 21:12
Hallo

Zitat:
1. Von wo kommen den die Infiszierten Coockies und die infiszierten MRU Objekte die laufend auf meine Platte kommen her?
Cockies sind i.d.R. harmlos, wende doch mal ClearProg
www.clearprog.de - ClearProg & DownloadSpeed
oder den Ccleaner nach den Internetsitzungen an es sollte dann nicht mehr viel gefunden werden.

Zitat:
2. Was haben dan die roten TrojanDNS.Changer die mir Malewarebytes anzeigt noch auf sich? Sind ja manchmal 2, 4 oder 6 Stück.
Wenn die Tot sind, bekomm ich die auch wieder weg?
Wie ich geschrieben habe halte ich es für eine Falschmeldung des Programms, es ist die Adresse deines I-Netanbieters
Zitat:
% Information related to '85.255.144.0 - 85.255.159.255'

inetnum: 85.255.144.0 - 85.255.159.255
netname: GAMSJAEGER1
descr: GAMSJAEGER1
country: AT
org: ORG-GKTI1-RIPE
admin-c: MA3690-RIPE
tech-c: MA3690-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-by: WIBS-NOC
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-routes: AS8437-MNT
mnt-domains: WIBS-NOC
source: RIPE # Filtered

organisation: ORG-GKTI1-RIPE
org-name: Gamsjaeger Kabel TV & ISP Betriebs GmbH
org-type: OTHER
address: A-3370 Ybbs, Unterauerstrasse 7
e-mail: support@wibs.at
und nicht die eines Ukrainischen Anbieters.

Zitat:
3. Kommt es mir vor das mein internet noch immer ziemlich lahmt...
Hmm, Malware haben wir keine gefunden, mach doch mal hier einen Speedtest
Wie ist meine IP-Adresse?

Überprüfe dein System nach dieser Anleitung mit ewido (AVG)
AVG AntiSpyware - Ewido
speichere am Ende den Bericht und poste ihn hierher.

MFG

Ringman 13.08.2008 01:17
Huhu Nochdigger! :balla:

Vielen Dank für die Ausführliche Beantwortung meiner 3 Fragen.

Ich fang mal an:

1) Hab ne 200er Leitung, beim Speedtest kam raus:

Download-Geschwindigkeit: 2.105 kbit/s (263 kByte/s)
Upload-Geschwindigkeit: 321 kbit/s (40 kByte/s)

Das Ergebnis entspricht folgendem Anschlusstyp: DSL 3.000

2) Beim AVG Anti Rootkit Scan kam raus:

Keine infecten Funde!
Aber 8 Warnungen davon 7 mal AVG 0.8 und eines das hieß setupapi.dll unter System 32.

So, ich scann jetzt noch nach der Einleitung komplett mit AVG!

Liebe Grüße

Ringman 13.08.2008 02:27
3) CCleaner und ClearProg benutzt

4) AVG komplett Scann, keine Funde nur 8 Warnungen und das waren Coockies

5) Fertig :kloppen:


Bezüglich deiner Antwort Nummer 1 und meiner Frage.
Ich wolte nicht Wissen wie ich die Coockies wegbekomme,
sondern von wo sie herkommen.
Ist da eine Datei auf meinen PC die wir nicht finden die die runterlädt?
Wenn das der Fall wäre, kann man die Coockies net irgendwie blockieren?
Also die Coockies die ich laufend bekomme, sind ja meist die gleichen.

Liebe Grüße Ringman

nochdigger 13.08.2008 07:38
Moin

Zitat:
Ist da eine Datei auf meinen PC die wir nicht finden die die runterlädt?
Nicht ganz, lies mal hier Cockies --> HTTP-Cookie ? Wikipedia

MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:58 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131