Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: dns einstellungen durch trojaner verstellt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.12.2008, 21:18   #1
blubberblase
 
dns einstellungen durch trojaner verstellt? - Icon21

dns einstellungen durch trojaner verstellt?



moin,

ich hab mir wohl irgendwie einen trojaner oder ähnliches eingefangen.


Hier mein hijack this log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:45:57, on 13.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wscntfy.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Acer\ePM\EPM-DM.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\WINXP\system32\taskswitch.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Mobile Partner\Mobile Partner.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:80
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [CoolSwitch] C:\WINXP\system32\taskswitch.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winxp\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219485036239
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6B712FB-D4AB-4B02-B61A-57E78F8A8639}: NameServer = 193.189.244.205 193.189.244.197
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe

--
End of file - 5424 bytes
         
das hier ist es glaube ich:

Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6B712FB-D4AB-4B02-B61A-57E78F8A8639}: NameServer = 193.189.244.205 193.189.244.197
         
auf jeden fall ist meiner vermutung nach der gefälschte dns nicht erreichbar darum kann ich nicht mehr surfen.

Kann mir jemand sagen wie ich den wieder wegbekomme?

BluB

Alt 13.12.2008, 21:33   #2
blubberblase
 
dns einstellungen durch trojaner verstellt? - Standard

dns einstellungen durch trojaner verstellt?



Mir ist gerade aufgefallen, dass ich etwas wenig Informationen geliefert habe.

Also das Problem zeigt sich dadurch, dass ich nach ein paar minuten online Probleme mit dem dns habe. Ich habe zwar eine funktionierende Internetverbindung aber kann keine Hostnamen auflösen.

Ich benutzte teilweise auch einen O2 Surf Stick. Evtl sind die DNS einstellungen auch von diesem. Aber dann weiss ich leider nicht warum ich dieses Problem habe.

Blub
__________________


Alt 13.12.2008, 21:42   #3
Franz1968
/// Helfer-Team
 
dns einstellungen durch trojaner verstellt? - Standard

dns einstellungen durch trojaner verstellt?



Hallo,
Zitat:
Zitat von blubberblase Beitrag anzeigen
ich hab mir wohl irgendwie einen trojaner oder ähnliches eingefangen.
das hier ist es glaube ich:

Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6B712FB-D4AB-4B02-B61A-57E78F8A8639}: NameServer = 193.189.244.205 193.189.244.197
         
auf jeden fall ist meiner vermutung nach der gefälschte dns nicht erreichbar
wieso Trojaner? Und wieso sollte der Eintrag gefälscht sein?
Versuch mal das: Öffne den Internet Explorer, navigiere zu Extras -> Internetoptionen -> Verbindungen, wähle nacheinander "DFÜ-und VPN-Einstellungen" und "LAN-Einstellungen". Was ist dort unter Proxyserver eingetragen?
__________________
__________________

Alt 13.12.2008, 22:44   #4
blubberblase
 
dns einstellungen durch trojaner verstellt? - Standard

dns einstellungen durch trojaner verstellt?



proxyserver sind da keine eingetragen.

ich hab nur letzte woche etwas über einen trojaner gelesen, der einen dhcp dienst startet und falsche dns einstellungen verteilt. Und ich dachte das passt irgendwie, da ich ja eine internetverbindung habe. Per ip komme ich auch überall hin. nur hostnamen können nicht aufgelöst werden. Trotz alternativer fest eingetragener dns server.

blub

Alt 15.12.2008, 07:57   #5
blubberblase
 
dns einstellungen durch trojaner verstellt? - Standard

dns einstellungen durch trojaner verstellt?



also. da das das jetzt nicht war kann mir jemand vlt sagen wonach ich suchen kann.

problem ist:

Wenn ich mich mit dem internet verbinde. im lan oder o2 surf stick. kann ich nach dem booten etwa 10-15 minuten normal surfen danach werden keine hostnamen mehr aufgelöst.

Ich habe schon verschiedene dns eingestellt und trotzdem hat es nicht funktioniert.

Avira hat aber auch keinen virus gefunden.

jemand ne ahnung woran das liegen könnte?

Blub


Antwort

Themen zu dns einstellungen durch trojaner verstellt?
antivir, antivirus, avira, bho, einstellungen, explorer, firefox, hijack, hijack this, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, launch, log, logfile, microsoft, mozilla, notebook, programme, rundll, software, system, trojaner, windows, windows xp



Ähnliche Themen: dns einstellungen durch trojaner verstellt?


  1. Eigenartige Proxy einstellungen durch Tune Up Utilities...?
    Plagegeister aller Art und deren Bekämpfung - 07.07.2015 (5)
  2. Windows 7: Kein Internetzugang durch Proxy-Einstellungen
    Plagegeister aller Art und deren Bekämpfung - 05.03.2015 (13)
  3. TR/Injector.gi in C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\qxtndqxofj.pre
    Log-Analyse und Auswertung - 01.06.2013 (3)
  4. TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exe
    Log-Analyse und Auswertung - 21.12.2012 (27)
  5. Trojan.LameShield durch Securtiy Shield in C:\Dokumente und Einstellungen\xy\...iqjeig.exe
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (5)
  6. Trojan horse Dropper.Generic5.TDZ in C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Te
    Plagegeister aller Art und deren Bekämpfung - 28.02.2012 (31)
  7. Uhrzeit verstellt sich immer, TrojanCheck spielt verrückt, habe ich einen Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 26.09.2011 (4)
  8. C:\Dokumente und Einstellungen\mein name\Lokale Einstellungen\Temp csrss.exe Win32.FakeAlert.tt
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (8)
  9. HTML/Malicious.PDF.Gen in C:\Dokumente und Einstellungen\admin\Lokale Einstellungen gefunden.
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (1)
  10. TR/Crypt.ZPACK.Gen in C:/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (3)
  11. TR/PSW.Kates.CA.7 - C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Temp\...
    Log-Analyse und Auswertung - 16.04.2010 (18)
  12. TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\
    Plagegeister aller Art und deren Bekämpfung - 10.04.2010 (17)
  13. Trojaner in C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Igl.exe
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (3)
  14. Exploit.JS.Pdfka.bvg in C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\
    Plagegeister aller Art und deren Bekämpfung - 19.03.2010 (8)
  15. Trojaner aus Versehen mit Windows gelöscht. Schriftarten verstellt.
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (5)
  16. Patched.DY.1 in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmpF.
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (5)
  17. display einstellungen durch admin deaktiviert
    Mülltonne - 19.08.2008 (0)

Zum Thema dns einstellungen durch trojaner verstellt? - moin, ich hab mir wohl irgendwie einen trojaner oder ähnliches eingefangen. Hier mein hijack this log: Code: Alles auswählen Aufklappen ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at - dns einstellungen durch trojaner verstellt?...
Archiv
Du betrachtest: dns einstellungen durch trojaner verstellt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.