Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Problem: Zlob.DNSChanger + Win32.Agent.fr

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.05.2008, 13:53   #1
Nordland
 
Problem: Zlob.DNSChanger + Win32.Agent.fr - Standard

Problem: Zlob.DNSChanger + Win32.Agent.fr



Hallo Freunde,

auf meinem Windows XP Pro habe ich mit Spybot zwei Warnungen bekommen, nämlich "Zlob.DNSChanger.rtk" sowie "Win32.Agent.fr".

> Das Problem ist übrigens nicht, dass ich beim Surfen umgeleitet werde, aber der PC ist elendig langsam geworden. Der Taskmanager meldet allerdings keine übermässige Prozessorbelastung. Es wird allerdings beim Ausschalten der Browser Firefox oder IntExpl. (per kLICK oben rechts) immer erstmal das Taskmanagerfeld "Programm reagiert nicht... etc." angezeigt.

Hier paste ich mal mein Hijack-Logfile sowie Startlog und würde mich sehr doll über weiterführende Tipps freuen.

------------- Logfile ------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:57:31, on 13.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\UTSCSI.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Ashampoo\Ashampoo Magical UnInstall\MagicalUnInstall.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\popfile\popfileib.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://127.0.0.1:8080/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von KielNET-DSL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [MbWzdFPAP-EXL540] I:\PdtGuide.exe
O4 - HKLM\..\Run: [MagUninstall] "C:\Programme\Ashampoo\Ashampoo Magical UnInstall\MagicalUnInstall.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Run POPFile.lnk = C:\Programme\POPFile\runpopfile.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1209845677417
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shoc...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - G:\server\xampp\apache\bin\apache.exe (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - G:\server\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mysql - Unknown owner - G:\server\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - D:\Spyware Doctor\pctsAuxs.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - D:\Spyware Doctor\pctsSvc.exe (file missing)
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: USBest Service Zero (UTSCSI) - USBest - C:\WINDOWS\system32\UTSCSI.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe







---------- startup log -----------------------

StartupList report, 13.05.2008, 05:16:58
StartupList version: 1.52.2
Started from : C:\Programme\HiJack\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\UTSCSI.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Ashampoo\Ashampoo Magical UnInstall\MagicalUnInstall.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\popfile\popfileib.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HiJack\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\Mozilla Firefox\firefox.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Nikk2\Startmenü\Programme\Autostart]
Run POPFile.lnk = C:\Programme\POPFile\runpopfile.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

MbWzdFPAP-EXL540 = I:\PdtGuide.exe
MagUninstall = "C:\Programme\Ashampoo\Ashampoo Magical UnInstall\MagicalUnInstall.exe"
avgnt = "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

SpybotSD TeaTimer = D:\Spybot - Search & Destroy\TeaTimer.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\ssstars.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - (no file) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - D:\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

--------------------------------------------------

Enumerating Download Program Files:

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://www.update.microsoft.com/wind...?1209845677417

[F-Secure Online Scanner 3.3]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\fscax.dll
CODEBASE = http://support.f-secure.com/ols/fscax.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx
CODEBASE = http://fpdownload.adobe.com/pub/shoc...sh/swflash.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: g:\e93628897a9baa657427\update||g:\e93628897a9baa6 57427||g:\d94a75ea93980e9e090f


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 5.206 bytes
Report generated in 0,062 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only



Ich habe die thematisch ähnlichen Beiträge hier im Forum gelesen, konnte allerdings keine identischen .exe-Dateien finden. Welcher Online-Scanner wäre jetzt in diesem konkreten Fall der Passende und gibt es evtl. Probleme, wenn mehrere Scanner wie von TrendMicro/ F-Secure/ Kaspersky sich bereits in meinem PC mit ihren Download-Dateien verewigt haben?

- Wie verhält es sich dabei mit der Entscheidung, einen "Kernel zu laden", wie bspw. bei TrendMicro gefragt wird? Bekomme ich dann evtl. Update-Probleme mit meiner Windows CD.

- Ich hatte heute bereits versucht, den Kaspersky Online-Scan mit IntExpl. arbeiten zu lassen, jedoch verweigert mein PC einen vollständigen Download der Malware-Bibliothek... das Update konnte (bei mehrfachen Anläufen) bis max. 3% downgeloadet werden, spätestens dann immer Abbruch. Es heisst merkwürdigerweise, mir würde eine Onlineverbindung fehlen...? (21). Verstehe ich nicht, denn ich kann parallel durchaus surfen!!?? Sollte ich jetzt versuchen, eine 30-Tage Version des Kaspersky-Tools "AntiVirus 7.0" oder besser "Internet Security 7.0" downzuloaden?

Herzlichen Dank für die Hijack-Analyse und einen Ratschlag, wie ich die beiden Probleme loswerde.

Nik Nordland

Alt 16.05.2008, 23:32   #2
Nordland
 
Problem: Zlob.DNSChanger + Win32.Agent.fr - Standard

Problem: Zlob.DNSChanger + Win32.Agent.fr



Hallo nochmals,

bitte hat jemand den Durchblick betreffend dieses Problemes?

Thanks vielmals
Nordland
__________________


Alt 23.05.2008, 10:41   #3
markusg
/// Malware-holic
 
Problem: Zlob.DNSChanger + Win32.Agent.fr - Standard

Problem: Zlob.DNSChanger + Win32.Agent.fr



Hallo,
ich bin Markus und wir werden in der nächsten Zeit Zusammenarbeiten.
Bitte mache keinerlei alleingänge bei der Reinigung und warte auf meine Anweisungen!
Das Auswerten der Logfiles kann immer eine Weile dauern also hab Geduld!

Schritt 1:
Teile mir dein genaues Problem mit. Wenn dein Antivirenprogramm Funde gemacht hat, schreibe mir was und wo gefunden wird poste eventuellforhandene logs.

Schritt 2:

kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen
>den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Schritt 3:
  1. Lade das filelist.zip auf deinen Desktop herunter.
  2. entpacke
    die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
  3. starte deinen Rechner neu auf
  4. öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
  5. dein Editor
    (Textverarbeitungsprogramm) wird sich öffnen
  6. markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese
    Dateien deinem nächsten Beitrag an
  • Ein dickes Dankeschön an den moderatorModerator Karl vom hjt-forum.für die filelist.bat
    (Anleitung)
Dies sind die
Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen
:
Verzeichnis von C:\
Verzeichnis von C:\%WinDir%\%System%
Verzeichnis von C:\%WinDir%
Verzeichnis von C:\%WinDir%\Prefetch (Windows XP)
Verzeichnis von C:\%WinDir%\tasks
Verzeichnis von C:\%WinDir%\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hinweis:
%WinDir%, %System% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32
(Windows XP).
Schritt 4:
Laden und Instalieren von Hijackthis:
Besuche die Seite:
http://www.zdnet.de/downloads/prg/n/m/deGNNM-wc.htmlInstaller." Speichere diese Version auf Deinem PC.
Liste mit 1 Einträgen
• Doppelklicke auf "HJTInstall.exe" und folge den Anweisungen zum Installieren von HijackThis.
Listen Ende
Tu noch nichts weiter mit dem Programm wir benötigen es noch!

Schritt 5:

Bitte lade Deckard's System Scanner (DSS) herunter und speichere es auf
dem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein.
  1. Schließe ALLE Anwendungen und Fenster.
  2. Doppel-klicke
    auf dss.exe um es auszuführen und folge den Prompts.
  3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

    main.txt <- dieses wird maximiert dargestellt und
    extra.txt <- dieses wird als minmierte Datei dargestellt
  4. Kopiere (STRG+A und STRG+C) und füge STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort ein.
[/QUOTE]
__________________

Antwort

Themen zu Problem: Zlob.DNSChanger + Win32.Agent.fr
.exe-dateien, antivir, antivirus, avira, bho, browser, ctfmon.exe, f-secure, firefox, hijackthis, hkus\s-1-5-18, internet explorer, internet security, kaspersky, langsam, magix, mehrere, mozilla, mozilla firefox, object, problem, programm, registry, registry key, registry value, saver, screensaver, security, server, shockwave, software, spyware, system, taskmanager, userinit.exe, win32.agent.fr, windows, windows xp, wininit.ini, zlob.dnschanger



Ähnliche Themen: Problem: Zlob.DNSChanger + Win32.Agent.fr


  1. Telekomschreiben: "Trojan.Zlob/DNSChanger"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2011 (12)
  2. Trojaner win32.agent.sd/Zlob.qe (ipvdx.exe)
    Log-Analyse und Auswertung - 06.03.2009 (2)
  3. tmp2.tmp/Zlob.DNSChanger machen mich wahnsinnig...
    Log-Analyse und Auswertung - 27.11.2008 (5)
  4. Zlob.DNSChanger
    Mülltonne - 11.11.2008 (0)
  5. Zlob.DNSChanger.rtk
    Mülltonne - 24.10.2008 (0)
  6. Zlob.DNSChanger Problem (Spybot-Search & Destroy) nach Windows Neuinstallation!?
    Plagegeister aller Art und deren Bekämpfung - 22.10.2008 (3)
  7. Zlob.DNSchanger erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 15.10.2008 (5)
  8. Trojan-Downloader.Win32.Agent Variant sowie Zlob.DNSChanger files gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.09.2008 (9)
  9. Zlob.DNSChanger - Bitte Logfile prüfen
    Log-Analyse und Auswertung - 13.05.2008 (4)
  10. Problem mit Trojan-Downloader.Win32.Zlob.fqg
    Plagegeister aller Art und deren Bekämpfung - 29.01.2008 (21)
  11. Trojaner-Verdacht: Win32:Agent-PBF + Win32:Zlob-AJG
    Log-Analyse und Auswertung - 05.01.2008 (1)
  12. Trojan.Downloader.Zlob.AADO DNSChanger.gen10
    Log-Analyse und Auswertung - 23.07.2007 (18)
  13. Trojan.Win32.DNSChanger.ik (Virus)
    Plagegeister aller Art und deren Bekämpfung - 16.04.2007 (3)
  14. Befall durch TR/Crypt.F.Gen, TR/Dldr.Zlob.afw, TR/Zlob.ZU sowie TR/Agent
    Log-Analyse und Auswertung - 27.09.2006 (1)
  15. Downloader.Agent.uj und Trojan.DNSChanger.ef
    Log-Analyse und Auswertung - 19.07.2006 (4)
  16. Kleines Problem mit Win32:Zlob-AB
    Plagegeister aller Art und deren Bekämpfung - 01.02.2006 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema Problem: Zlob.DNSChanger + Win32.Agent.fr - Hallo Freunde, auf meinem Windows XP Pro habe ich mit Spybot zwei Warnungen bekommen, nämlich "Zlob.DNSChanger.rtk" sowie "Win32.Agent.fr". > Das Problem ist übrigens nicht, dass ich beim Surfen umgeleitet werde, - Problem: Zlob.DNSChanger + Win32.Agent.fr...
Archiv
Du betrachtest: Problem: Zlob.DNSChanger + Win32.Agent.fr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.