Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner: DNS Changer

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.02.2012, 18:49   #1
Andy1992
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



Hallo liebes Trojaner-Board-Forum

nach sehr vielen Stunden mit diversen Anti-Viren-Programmen bin ich nun soweit, dass ich dringend professionelle Hilfe brauche. Mein PC hat sich nach meiner Einschätzung einen DNS-Changer-Trojaner eingefangen, d. h. das ich vor allem nach Google-Suchanfragen auf andere Seiten umgeleitet werde (z. B. zu "alfaboard...-irgendwas", dabei springt sofort mein Antiviren-Programm an und warnt). Avira, Avast und die Testversion von Kaspersky haben sich dann daran versucht, den Trojaner zu finden und sind alle gescheitert. Außerdem habe ich verschiedene DE-Cleaner angewandt, die jedoch auch nichts gefunden haben. In meinem Router/Modem sind die DNS-Einstellungen immer noch auf "dynamisch", also wurde der Router nicht mit einem Proxy-Server gefüttert. Genauso verhält es sich im Netzwerk- und Freigabecenter von Windows 7.

Den defogger habe ich bereits angewandt.
Im Anhang befindet sich die die gezippte Datei Attach.

Unten folgt der Inhalt der Datei DDS.

Ich bedanke mich im Voraus schonmal für die tatkräftige Hilfe

Gruß,

Andy





.
DDS (Ver_2011-08-26.01) - NTFSAMD64
Internet Explorer: 8.0.7601.17514 BrowserJavaVersion: 1.6.0_22
Run by NAME at 18:19:36 on 2012-02-29
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.4091.2808 [GMT 1:00]
.
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: ZoneAlarm Free Firewall *Enabled* {E6380B7E-D4B2-19F1-083E-56486607704B}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\taskhost.exe
C:\Program Files (x86)\GIGABYTE\Smart6\Timelock\TimeMgmtDaemon.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Program Files (x86)\GIGABYTE\Smart6\Timelock\AlarmClock.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: Winload Toolbar: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files (x86)\Winload\tbWinl.dll
uURLSearchHooks: ZoneAlarm-Sicherheit Toolbar: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files (x86)\ZoneAlarm-Sicherheit\tbZone.dll
uURLSearchHooks: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
mURLSearchHooks: Winload Toolbar: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files (x86)\Winload\tbWinl.dll
mURLSearchHooks: ZoneAlarm-Sicherheit Toolbar: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files (x86)\ZoneAlarm-Sicherheit\tbZone.dll
mURLSearchHooks: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
mWinlogon: Userinit=userinit.exe
BHO: SparweltGutscheinAlarm.Sparwelt_Gutschein_Tool: {10945114-b19f-4614-8450-b25e444a1020} - mscoree.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
BHO: Winload Toolbar: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files (x86)\Winload\tbWinl.dll
BHO: DivX HiQ: {593ddec6-7468-4cdd-90e1-42dadaa222e9} - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
BHO: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
BHO: ZoneAlarm Security Engine Registrar: {8a4a36c2-0535-4d2c-bd3d-496cb7eed6e3} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
BHO: WEB.DE Toolbar BHO: {bf42d4a8-016e-4fcd-b1eb-837659fd77c6} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
TB: Winload Toolbar: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files (x86)\Winload\tbWinl.dll
TB: ZoneAlarm-Sicherheit Toolbar: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files (x86)\ZoneAlarm-Sicherheit\tbZone.dll
TB: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
TB: ZoneAlarm Security Engine: {ee2ac4e5-b0b0-4ec6-88a9-bca1a32ab107} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll
TB: WEB.DE Toolbar: {c424171e-592a-415a-9eb1-dfd6d95d3530} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
uRun: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
mRun: [ZoneAlarm] "C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe"
mRun: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: PromptOnSecureDesktop = 0 (0x0)
IE: Free YouTube Download - C:\Users\Hanstein\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - C:\Users\Hanstein\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 217.0.43.177 217.0.43.161
TCP: Interfaces\{7ECE908B-B240-434A-B29E-D5EB742EE5C3} : DhcpNameServer = 217.0.43.177 217.0.43.161
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
Handler: webde - {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
mASetup: {35DFFE62-9F48-4236-9249-9EAB5C7123C9} - "C:\Program Files (x86)\Hummingbird\Connectivity\11.00\Accessories\HumSettings.exe" INSTALL=ALL
{10945114-b19f-4614-8450-b25e444a1020}
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}
BHO-X64: {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
{326E768D-4182-46FD-9C16-1449A49795F4}
{40c3cc16-7269-4b32-9531-17f2950fb06f}
{593DDEC6-7468-4cdd-90E1-42DADAA222E9}
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}
{872b5b88-9db5-4310-bdd0-ac189557e5f5}
{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}
{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
{9030D464-4C02-4ABF-8ECC-5164760863C6}
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
{BF42D4A8-016E-4fcd-B1EB-837659FD77C6}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
{40c3cc16-7269-4b32-9531-17f2950fb06f}
{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}
{872b5b88-9db5-4310-bdd0-ac189557e5f5}
{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}
{C424171E-592A-415a-9EB1-DFD6D95D3530}
{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
mRun-x64: [ZoneAlarm] "C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe"
mRun-x64: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
SEH-X64: {B5A7F190-DDA6-4420-B3BA-52453494E6CD}: Groove GFS Stub Execution Hook
Hosts: 127.0.0.1 www.spywareinfo.com
Hosts: 87.229.126.88 www.google.com
Hosts: 87.229.126.89 www.bing.com
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Hanstein\AppData\Roaming\Mozilla\Firefox\Profiles\3kj8sf9u.default\
FF - plugin: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll
FF - plugin: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll
FF - plugin: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: C:\Program Files (x86)\Logitech\Harmony Remote Driver\NprtHarmonyPlugin.dll
FF - plugin: c:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: C:\Program Files (x86)\Veetle\Player\npvlc.dll
FF - plugin: C:\Program Files (x86)\Veetle\plugins\npVeetle.dll
FF - plugin: C:\Program Files (x86)\Veetle\VLCBroadcast\npvbp.dll
FF - plugin: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
.
============= SERVICES / DRIVERS ===============
.
R1 aswSnx;aswSnx;C:\Windows\system32\drivers\aswSnx.sys --> C:\Windows\system32\drivers\aswSnx.sys [?]
R1 aswSP;aswSP;C:\Windows\system32\drivers\aswSP.sys --> C:\Windows\system32\drivers\aswSP.sys [?]
R1 LUMDriver;LUMDriver;\??\C:\Windows\system32\drivers\LUMDriver.sys --> C:\Windows\system32\drivers\LUMDriver.sys [?]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\drivers\aswFsBlk.sys --> C:\Windows\system32\drivers\aswFsBlk.sys [?]
R2 aswMonFlt;aswMonFlt;\??\C:\Windows\system32\drivers\aswMonFlt.sys --> C:\Windows\system32\drivers\aswMonFlt.sys [?]
R2 avast! Antivirus;avast! Antivirus;C:\Program Files\AVAST Software\Avast\AvastSvc.exe [2012-2-26 44768]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [2011-11-3 33672]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;C:\Program Files\CheckPoint\ZAForceField\ISWSVC.exe [2011-11-3 827520]
R2 Sentinel64;Sentinel64;C:\Windows\system32\Drivers\Sentinel64.sys --> C:\Windows\system32\Drivers\Sentinel64.sys [?]
R2 Smart TimeLock;Smart TimeLock Service;C:\Program Files (x86)\gigabyte\smart6\timelock\TimeMgmtDaemon.exe [2010-1-4 114688]
R3 RecFltr;Reclusa Keyboard;C:\Windows\system32\drivers\RecFltr.sys --> C:\Windows\system32\drivers\RecFltr.sys [?]
R3 RTL8167;Realtek 8167 NT-Treiber;C:\Windows\system32\DRIVERS\Rt64win7.sys --> C:\Windows\system32\DRIVERS\Rt64win7.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S3 dgderdrv;dgderdrv;C:\Windows\system32\drivers\dgderdrv.sys --> C:\Windows\system32\drivers\dgderdrv.sys [?]
S3 ENTECH64;ENTECH64;\??\C:\Windows\system32\DRIVERS\ENTECH64.sys --> C:\Windows\system32\DRIVERS\ENTECH64.sys [?]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\Windows\system32\DRIVERS\ss_bbus.sys --> C:\Windows\system32\DRIVERS\ss_bbus.sys [?]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\Windows\system32\DRIVERS\ss_bmdfl.sys --> C:\Windows\system32\DRIVERS\ss_bmdfl.sys [?]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\Windows\system32\DRIVERS\ss_bmdm.sys --> C:\Windows\system32\DRIVERS\ss_bmdm.sys [?]
S3 ss_bserd;SAMSUNG USB Mobile Logging Driver;C:\Windows\system32\DRIVERS\ss_bserd.sys --> C:\Windows\system32\DRIVERS\ss_bserd.sys [?]
S3 StorSvc;Speicherdienst;C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TFsExDisk;TFsExDisk;C:\Windows\System32\drivers\TFsExDisk.Sys [2010-10-15 16392]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?]
S3 WatAdminSvc;Windows-Aktivierungstechnologieservice;C:\Windows\system32\Wat\WatAdminSvc.exe --> C:\Windows\system32\Wat\WatAdminSvc.exe [?]
S4 CDMA Device Service;CDMA Device Service;C:\Program Files (x86)\Samsung\USB Drivers\26_VIA_driver2\amd64\VIAService.exe [2011-9-11 159232]
S4 SentinelKeysServer;Sentinel Keys Server;C:\Program Files (x86)\Common Files\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [2008-7-11 328992]
S4 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-11-20 240232]
.
=============== Created Last 30 ================
.
2012-02-29 10:13:52 16200 ----a-w- C:\Windows\stinger.sys
2012-02-28 18:39:44 8643640 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{A7E5CA81-B799-4E16-BC56-17643CB4CF51}\mpengine.dll
2012-02-26 14:02:12 53080 ----a-w- C:\Windows\System32\drivers\aswRdr2.sys
2012-02-26 14:02:11 817496 ----a-w- C:\Windows\System32\drivers\aswSnx.sys
2012-02-26 14:02:05 69976 ----a-w- C:\Windows\System32\drivers\aswMonFlt.sys
2012-02-26 14:01:44 41184 ----a-w- C:\Windows\avastSS.scr
2012-02-26 14:01:36 -------- d-----w- C:\ProgramData\AVAST Software
2012-02-26 14:01:36 -------- d-----w- C:\Program Files\AVAST Software
2012-02-26 13:02:16 -------- d-----w- C:\ProgramData\Spybot - Search & Destroy
2012-02-26 13:02:16 -------- d-----w- C:\Program Files (x86)\Spybot - Search & Destroy
2012-02-26 12:24:19 -------- d-----w- C:\ProgramData\Kaspersky Lab
2012-02-25 21:08:00 77312 ----a-w- C:\Windows\SysWow64\ztvunace26.dll
2012-02-25 21:08:00 75264 ----a-w- C:\Windows\SysWow64\unacev2.dll
2012-02-25 21:08:00 69632 ----a-w- C:\Windows\SysWow64\ztvcabinet.dll
2012-02-25 21:08:00 162304 ----a-w- C:\Windows\SysWow64\ztvunrar36.dll
2012-02-25 21:08:00 153088 ----a-w- C:\Windows\SysWow64\UNRAR3.dll
2012-02-22 20:48:59 -------- d-----w- C:\Users\Hanstein\AppData\Roaming\linktree
2012-02-15 20:20:44 515584 ----a-w- C:\Windows\System32\timedate.cpl
2012-02-15 20:20:43 478720 ----a-w- C:\Windows\SysWow64\timedate.cpl
2012-02-15 20:20:41 3145728 ----a-w- C:\Windows\System32\win32k.sys
2012-02-15 20:20:39 498688 ----a-w- C:\Windows\System32\drivers\afd.sys
.
==================== Find3M ====================
.
2012-01-29 04:10:42 279656 ------w- C:\Windows\System32\MpSigStub.exe
2012-01-04 10:44:20 509952 ----a-w- C:\Windows\System32\ntshrui.dll
2012-01-04 08:58:41 442880 ----a-w- C:\Windows\SysWow64\ntshrui.dll
2011-12-16 08:47:38 1188864 ----a-w- C:\Windows\System32\wininet.dll
2011-12-16 08:46:06 634880 ----a-w- C:\Windows\System32\msvcrt.dll
2011-12-16 07:54:22 981504 ----a-w- C:\Windows\SysWow64\wininet.dll
2011-12-16 07:52:58 690688 ----a-w- C:\Windows\SysWow64\msvcrt.dll
2011-12-16 06:44:38 1638912 ----a-w- C:\Windows\System32\mshtml.tlb
2011-12-16 06:09:17 1638912 ----a-w- C:\Windows\SysWow64\mshtml.tlb
.
============= FINISH: 18:21:32,58 ===============
Angehängte Dateien
Dateityp: zip Attach.zip (2,3 KB, 55x aufgerufen)

Alt 29.02.2012, 18:53   #2
markusg
/// Malware-holic
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



hi,
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________

Alt 29.02.2012, 19:19   #3
Andy1992
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



Das ging ja schnell! Gesagt - Getan.

Leider zu viele Zeichen, daher sind OTL und Extras als Anhang beigefügt.
__________________
Angehängte Dateien
Dateityp: zip OTL.zip (20,8 KB, 57x aufgerufen)
Dateityp: zip Extras.zip (7,5 KB, 56x aufgerufen)

Alt 29.02.2012, 19:27   #4
markusg
/// Malware-holic
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.02.2012, 19:48   #5
Andy1992
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



Hier ist die Combofix.txt

Angehängte Dateien
Dateityp: txt ComboFix.txt (17,1 KB, 186x aufgerufen)

Alt 29.02.2012, 19:51   #6
markusg
/// Malware-holic
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
__________________
--> Trojaner: DNS Changer

Alt 29.02.2012, 19:56   #7
Andy1992
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



Bitte sehr
Angehängte Dateien
Dateityp: txt Kaspersky_AntiRootkit_Log.txt (40,2 KB, 150x aufgerufen)

Alt 29.02.2012, 20:04   #8
markusg
/// Malware-holic
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



kannst du mal testen ob noch umgeleitet wird?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.02.2012, 20:06   #9
Andy1992
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



Nein, leitet nicht mehr um!

Alt 29.02.2012, 20:24   #10
markusg
/// Malware-holic
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



ok, dann war es wohl was in den temp dateien, die combofix automatisch löscht.
kann dir leider aber nicht sagen was genau.
machst du denn banking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges mit dem gerät?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.02.2012, 20:25   #11
Andy1992
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



Ja, darin besteht wohl auch das Problem. Nach einem Neustart kommt immer wieder das Problem zurück -.-

Ja, Onlinebanking & Einkäufe tätige ich mit dem PC. Muss das System neu aufgesetzt werden?

Alt 29.02.2012, 20:27   #12
markusg
/// Malware-holic
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



hi,
1. teste mal ob das problem noch auftaucht.
also nach neustart.
2. das problem ist, auch wenn es jetzt nicht auftaucht, kann es jede art von malware gewesen sein, was harmloses oder nen passwort stealer, desween würde ich dann auf jeden fall zum formatieren und pc absichern raten, wobei ich dich gern unterstütze.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.02.2012, 20:33   #13
Andy1992
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



Hmm also auch nach mehrmaligem Neustart trifft das Problem nicht mehr auf.
An dieser Stelle vielen Dank dafür, Markus

Heißt das, dass der PC immer noch von dieser Maleware infiziert ist?

Mich graust es schon davor, aber ich muss dann wohl oder übel die Recovery-DVD wieder auskramen...

Alt 29.02.2012, 20:35   #14
markusg
/// Malware-holic
 
Trojaner: DNS Changer - Standard

Trojaner: DNS Changer



naja, wir wissen eben nicht was für malware es war. deswegen lieber auf nummer sicher gehen.
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Trojaner: DNS Changer
.com, adobe, antiviren-programm, antivirus, avast, avira, converter, defender, dringend, explorer, firefox, frage, helper, kaspersky, mozilla, mp3, proxy-server, realtek, security, software, svchost.exe, system, trojaner, updates, usb, windows, winload toolbar



Ähnliche Themen: Trojaner: DNS Changer


  1. Rechnern mit DNS-Changer droht Netzblockade
    Nachrichten - 07.07.2012 (0)
  2. RIPE: DNS-Changer-Gegenmaßnahme als Sündenfall
    Nachrichten - 20.04.2012 (0)
  3. DNS Changer oder anderes Problem
    Log-Analyse und Auswertung - 26.12.2011 (11)
  4. Vermutlich DNS-Changer eingefangen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (14)
  5. DNS-Changer Odessa vollständig entfernt?
    Log-Analyse und Auswertung - 19.03.2010 (6)
  6. Trojaner bzw. DNS Changer/Rootkit
    Plagegeister aller Art und deren Bekämpfung - 21.03.2009 (16)
  7. Und nochmal DNS changer ...
    Plagegeister aller Art und deren Bekämpfung - 13.02.2009 (1)
  8. Trojaner DNS Changer kann auf kein Laufwerk zugreifen!!
    Log-Analyse und Auswertung - 06.02.2009 (3)
  9. DNS Changer wieder loswerden
    Log-Analyse und Auswertung - 05.02.2009 (1)
  10. Dns changer-codec?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2009 (20)
  11. Trojaner DNS Changer Bitte um Hilfe
    Mülltonne - 14.01.2009 (0)
  12. Probleme mit DNS-Changer, bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (0)
  13. Log Auswertung; DNS-Changer ?
    Mülltonne - 17.12.2008 (1)
  14. dns changer codec
    Plagegeister aller Art und deren Bekämpfung - 28.11.2008 (1)
  15. DNS Changer boot.com
    Plagegeister aller Art und deren Bekämpfung - 23.10.2008 (2)
  16. ip.changer
    Alles rund um Windows - 04.03.2008 (20)
  17. Zlob.DNS Changer
    Plagegeister aller Art und deren Bekämpfung - 08.12.2007 (1)

Zum Thema Trojaner: DNS Changer - Hallo liebes Trojaner-Board-Forum nach sehr vielen Stunden mit diversen Anti-Viren-Programmen bin ich nun soweit, dass ich dringend professionelle Hilfe brauche. Mein PC hat sich nach meiner Einschätzung einen DNS-Changer-Trojaner eingefangen, - Trojaner: DNS Changer...
Archiv
Du betrachtest: Trojaner: DNS Changer auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.