Trojan.DNSChanger entfernen

Was macht Trojan.Win32.DNSChanger?
Trojan.DNSChanger ist ein Trojaner, der den Internet Explorer langsamer macht und Links zu schadhaften oder Werbeseiten umleitet. Um Trojan.DNSChanger zu entfernen, folge bitte den nachstehenden Anweisungen.


Symptome von Trojan.DNSChanger

• Google suche und andere Suchergebnisse werden umgeleitet.
• Popup-Fenster tauchen auf.
• Internet Broweser-Startseite wird geändert.
• Die Host Datei %systemroot%\System32\drivers\etc\hosts wird manipuliert.
• Erweiterungen bei bekannten Dateitypen (ausblenden) lassen sich nicht mehr unter Ordneroptionen anzeigen.
• Geschützte Systemdateien (ausblenden) lassen sich nicht mehr unter Ordneroptionen anzeigen.
• Bildschirmschoner und Design werden manipuliert.

Dateien von Trojan.DNSChanger:

Code:

C:\Windows\System32\msliksurdns.dll
C:\Windows\System32\msliksurcredo.dll
C:\Windows\System32\Drivers\msliksurserv.sys

Trojan.DNSChanger im Hijackthis-Log:

Code:

 
O17 – HKLM\System\CCS\Services\Tcpip\..\{1F5A3FA3-74FB-41DD-AD5B-F8C6C8B3D0EC}: NameServer = 85.255.116.86,85.255.112.157
O4 - HKLM\..\Run: [FD9.tmp] %systemroot%\temp\FD9.tmp  
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1182AD5-1A8A-4948-B4D8-24DA82D908C3}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{74ED1C19-5AF5-43FB-ACA3-11AEE0785420}: NameServer = 85.255.113.141,85.255.112.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{F048939C-CB37-4617-A411-E59EAED43C69}: NameServer = 85.255.113.141,85.255.112.145
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.145
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.145
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.145  
O23 - Service: Windows

Registryeinträge von Trojan.DNSChanger:

Code:

 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"FD9.tmp"="%systemroot%\temp\FD9.tmp"O17
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{EBD3850B-1C02-497C-9FF0-4E0219C8E3F7}]
"NameServer"="85.255.113.141 85.255.112.1458"
"DhcpNameServer"="85.255.113.141 85.255.112.145"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{EBD3850B-1C02-497C-9FF0-4E0219C8E3F7}]
"NameServer"="85.255.116.92,85.255.112.175"
"DhcpNameServer"="85.255.116.92,85.255.112.175"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{EBD3850B-1C02-497C-9FF0-4E0219C8E3F7}]
"NameServer"="85.255.112.116;85.255.112.158"
"DhcpNameServer"="85.255.112.116;85.255.112.158"O23
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Tribute Service

Trojan.DNSChanger entfernen


Malwarebytes Anti-Malware

• Installiere Malwarebytes Anti-Malware.
• Führe eine Programmaktualisierung durch.
• Vollständigen Systemscan durchführen.

HostsXpert

• Lade die Datei HostsXpert auf den Desktop und entpacke sie.
• HostsXpert.exe doppelklicken.
• Klicke auf Restore Microsoft's Hosts File, dann OK.

GMER

• Lade die Datei GMER auf den Desktop und entpacke sie.
• Ordner GMER öffnen.
• gmer.exe doppelklicken.
• Wähle nun den Reiter Rootkit/Malware.
• Alle Haken dort setzen
• Hinweise mit Nein bzw. No beantworten.
• Den Button Scan klicken.
• Wenn der Scan abgeschlossen ist klicke auf Copy, um das Log zu kopieren.

Eigenschaften von InternetProtokoll korrigieren

• Kontrolliere unter bevorzugten DNS Server oder alternativ DNS Server ob eine unbekannte IP-Adresse (85.255.113.141) eingetragen wurde, diese dann ggf. löschen.

Weitergehende Prüfung

Das System könnte noch nicht vollständig sauber sein.

Daher unbedingt ein Thema erstellen: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?


Nicht vergessen CCleaner mit RSIT und die vorher erstellten Logfiles....