Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Zlob.DNS Changer

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.11.2007, 19:40   #1
muenderin
 
Zlob.DNS Changer - Standard

Zlob.DNS Changer



Hallo zusammen,

brauche eure Hilfe. Vor ein Paar Wochen haben wir festegestellt, dass es etwas mit der Verbindun bzw. Verlinkung nicht stimmt, weil man von Google statt an die gewünschte Adresse zu Erotik- oder Verkaufsseiten geleitet wurde.
Ich habe dann ein bisschen recherschiert und auch hier nachgelesen, was man unternehmen kann. Nach dem Scans mit Hijackthis, SmitFraud und Spybot war dieser DNS Changer angeblich verschwunden. Aber schon nach 2 Tagen ging es wieder los mit Google und Zlob war wieder by Spybot zu sehen. Wir löschen ihn und immunisieren, das hilft aber nicht.
Er ist ganz lästig, wenn man viel mit Google arbeitet.
Mit online check mit Kaspersky klappte es leider nicht. Er sagte, es wären Administratorreche erforderlich. Aber das ist mein privater PC?...
Könnte mir bitte jemand noch Tipp geben, wie ich ihn los werden kann?

Anbei id Logfile von Smitfraud:
SmitFraudFix v2.253

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\lycos\Lyc_SysTray.exe
C:\Programme\Steganos Safe 7\SAFE7.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\tb


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\tb\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\tb\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdjsc.exe"

kdjsc.exe detected !
use a Rootkit scanner


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 62.104.191.241

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 194.97.173.124
DNS Server Search Order: 194.97.173.125

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7A0441A6-B30C-441E-A837-DFFF850846F8}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7FF96EBE-99F4-49CD-BC9B-5C431C3C0DF6}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F02E20DC-141A-495F-911E-3ADF1765EB92}: NameServer=62.104.191.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7A0441A6-B30C-441E-A837-DFFF850846F8}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7FF96EBE-99F4-49CD-BC9B-5C431C3C0DF6}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F02E20DC-141A-495F-911E-3ADF1765EB92}: NameServer=62.104.191.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7A0441A6-B30C-441E-A837-DFFF850846F8}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E7CC895B-C735-49C4-A0A6-E4A1FF826BEC}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F02E20DC-141A-495F-911E-3ADF1765EB92}: NameServer=62.104.191.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


62.104.191.241 -ist Freenet Adresse, die verdächtigen 208.67.220.220,208.67.222.222 habe ich durch HijackThis beim nächsten Lauf rausgelöscht. Bei Smitfraud habe ich Angst alles auf ein mal zu bereinigen, da ich mich nicht auskenne und evtl. etwas wichtiges mitrunter lösche.

Danke für Hilfe im voraus.

Alt 08.12.2007, 16:19   #2
muenderin
 
Zlob.DNS Changer - Standard

Zlob.DNS Changer



Au, habe keine Antwort bekommen. Versuche mit meinem Hilferuf noch mal.
Vielleicht sieht es jemand, der sich im Thema auskennt.

Danke.
__________________


Antwort

Themen zu Zlob.DNS Changer
application, attention, cs3, dateien, detected, dsl, einstellungen, fraud, google, hijack, hijackthis, infected, internet, internet explorer, kaspersky, logfile, löschen, microsoft, programme, realtek, rootkit, server, smitfraud, software, system, system32, windows, zlob



Ähnliche Themen: Zlob.DNS Changer


  1. Rechnern mit DNS-Changer droht Netzblockade
    Nachrichten - 07.07.2012 (0)
  2. Trojaner: DNS Changer
    Log-Analyse und Auswertung - 29.02.2012 (13)
  3. Vermutlich DNS-Changer eingefangen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (14)
  4. Zlob.DNS Changer (Datenausführungsverhinderung: kdrgi.exe)
    Plagegeister aller Art und deren Bekämpfung - 07.12.2009 (1)
  5. Trojaner bzw. DNS Changer/Rootkit
    Plagegeister aller Art und deren Bekämpfung - 21.03.2009 (16)
  6. Und nochmal DNS changer ...
    Plagegeister aller Art und deren Bekämpfung - 13.02.2009 (1)
  7. DNS Changer wieder loswerden
    Log-Analyse und Auswertung - 05.02.2009 (1)
  8. Dns changer-codec?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2009 (20)
  9. Probleme mit DNS-Changer, bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (0)
  10. Log Auswertung; DNS-Changer ?
    Mülltonne - 17.12.2008 (1)
  11. Zlob.DNS-Changer läßt WinXP nur abgesichert starten
    Log-Analyse und Auswertung - 17.12.2008 (0)
  12. dns changer codec
    Plagegeister aller Art und deren Bekämpfung - 27.11.2008 (1)
  13. DNS Changer boot.com
    Plagegeister aller Art und deren Bekämpfung - 23.10.2008 (2)
  14. ip.changer
    Alles rund um Windows - 04.03.2008 (20)
  15. spybot meldet zlob.dns.changer
    Log-Analyse und Auswertung - 01.02.2008 (2)
  16. Befall durch TR/Crypt.F.Gen, TR/Dldr.Zlob.afw, TR/Zlob.ZU sowie TR/Agent
    Log-Analyse und Auswertung - 27.09.2006 (1)
  17. Trojaner TR/DLdr.ZLob.DR und TR/DLdr.ZLob.DQ und TR/ZLob.FG.2.C eingefangen. Was tun?
    Log-Analyse und Auswertung - 06.01.2006 (1)

Zum Thema Zlob.DNS Changer - Hallo zusammen, brauche eure Hilfe. Vor ein Paar Wochen haben wir festegestellt, dass es etwas mit der Verbindun bzw. Verlinkung nicht stimmt, weil man von Google statt an die gewünschte - Zlob.DNS Changer...
Archiv
Du betrachtest: Zlob.DNS Changer auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.