Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Dns changer-codec?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.01.2009, 12:50   #1
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



Hallo zusammen!

Habe seit ein paar Tagen immer Probleme mit aufpoppenden Browserseiten bei meinem Firefox Browser. Habe mal den SUPER AntiSpy drüber laufen lassen und der hat just einen Trojan DNSChanger-Codec entdeckt, den er zwar vorläufig entfernt, nach Neustart aber immer noch da ist.

Wie bekomm ich den Trojaner weg?

Hier mein hijack log-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:42, on 15.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SystemTray] %windir%\system32\systray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177079185968
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E0DAA22-9DDE-4825-B42A-E309F27C735A}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E0DAA22-9DDE-4825-B42A-E309F27C735A}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 9580 bytes



Wer kann mir helfen?

Alt 17.01.2009, 13:08   #2
Mr.Vain
 
Dns changer-codec? - Standard

Dns changer-codec?



Hallo Gorilla1974 &

Der DNSChanger ist ein Trojaner-Virus der die DNS Einträge in deinem Router und/oder PC manipuliert.
Meist wird man auf Phishing Seiten umgeleitet ohne dass der Benutzer es merkt.

Dein HJT-Log scheint bis auf den harmlosen URLSearchlook sauber.

Deinstalliere a-squared Free Service.

Mach mit Avira Antivir und Malwarebytes Anti-Malware einen Systemscan.
__________________


Alt 17.01.2009, 13:34   #3
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



Hallo Mr. Vain!

Erstmal danke für die schnelle Antwort...

Also, A-squared ist jetzt deinstalliert, Malwarebytes` Anti-Malware ist installiert und scannt bereits...Ich hoffe, daß der was findet und rausschmeissen kann!

Gleich gibt`s dann mehr!
__________________

Alt 17.01.2009, 14:30   #4
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



Mein av-gurad hat bereits
"HIDDENEXT/Crypted"
gefunden. Das hab ich schon mal in die Quarantäne gepackt. Ansonsten laufen die scan noch - Malwarebytes hat auch was entdeckt, das kann ich leider noch nicht einsehen...

Alt 17.01.2009, 14:53   #5
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



Der av-scan ist fertig:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{F12C07F1-FDF7-48C7-B3CF-3D0BC4636E69}\RP681\A0129104.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Agent.OMZ.Fix.exe
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a2da17.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Alt 17.01.2009, 15:06   #6
Mr.Vain
 
Dns changer-codec? - Standard

Dns changer-codec?



Zitat:
Zitat von gorilla1974 Beitrag anzeigen
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{F12C07F1-FDF7-48C7-B3CF-3D0BC4636E69}\RP681\A0129104.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Agent.OMZ.Fix.exe
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a2da17.qua' verschoben!
1. --> Systemwiederherstellung Deaktivieren
2. --> Alle Wiederherstellungspunkte löschen!!
3. --> System neustarten


Zitat:
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Datei suchen und bei VirusTotal - Free Online Virus and Malware Scan
Hochladen

Alt 17.01.2009, 15:14   #7
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



Der scan bei Malware zeigt mir dieses:

Trojan.Agent - File - ...Anwendungsdaten\Desktopicon\eBayShortcuts.exe

Soll ich den erstmal entfernen?

Alt 17.01.2009, 15:16   #8
Mr.Vain
 
Dns changer-codec? - Standard

Dns changer-codec?



Nein dass ist nur eine Verlinkung zu Ebay.de

Alt 17.01.2009, 15:29   #9
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



Habe die Systemwiederherstellung deaktiviert, alle Punkte (bis auf den letzten) gelöscht und das System neu gestartet.
Konnte die Datei C:\WINDOWS\system32\drivers\sptd.sys leider nicht hochladen, da erscheint dann immer "0 bytes size received / Se ha recibido un archivo vacio".
Und was die ebay-Verknüpfung angeht: Ich hatte gar keine auf dem Desktop. Hab sie mal gelöscht...

Alt 17.01.2009, 15:32   #10
Mr.Vain
 
Dns changer-codec? - Standard

Dns changer-codec?



Du musst leider alle Wiederherstellungspunkte löschen.
Da hilft kein Weg dran vorbei.

Lad dir mal GMER durch und lass mal deinen PC damit checken.

Alt 17.01.2009, 15:41   #11
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



Ich habe nichts gefunden, womit man auch den letzten Punkt löschen kann - unter windows bleibt der letzte immer unangetastet...

Alt 17.01.2009, 15:51   #12
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



GMER gibt mir auf jeden fall eine yaiee.exe unter system32 an, die "hidden" sei. Das ganze ist rot geschrieben...ist das ein rootkit?

Alt 17.01.2009, 15:54   #13
Mr.Vain
 
Dns changer-codec? - Standard

Dns changer-codec?



cleanmgr.exe mal ausprobieren und bei allen Punkten einen Haken machen.
*
Malwarebytes scannen lassen?
*
Wenn GMER etwas in rot kennzeichnet ist es ein Rootkit.

Alt 17.01.2009, 15:59   #14
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



Habe den Prozeß jetzt erstmal getötet...

Alt 17.01.2009, 16:03   #15
gorilla1974
 
Dns changer-codec? - Standard

Dns changer-codec?



cleanmgr. ist durchgelaufen - jetzt scannt nochmal der Anti Malware...
Drück die Daumen!

Antwort

Themen zu Dns changer-codec?
antivir, antivirus, avira, bho, bonjour, defender, einstellungen, excel, firefox, google, gservice, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, object, rundll, senden, software, super, system, trojan, trojaner, windows, windows xp



Ähnliche Themen: Dns changer-codec?


  1. C:\Programme\Codec-V\Codec-V.dll (PUP.Codec.PR) und andere
    Log-Analyse und Auswertung - 20.07.2012 (1)
  2. Rechnern mit DNS-Changer droht Netzblockade
    Nachrichten - 07.07.2012 (0)
  3. Trojaner: DNS Changer
    Log-Analyse und Auswertung - 29.02.2012 (13)
  4. DNS Changer oder anderes Problem
    Log-Analyse und Auswertung - 26.12.2011 (11)
  5. Vermutlich DNS-Changer eingefangen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (14)
  6. DNS-Changer Odessa vollständig entfernt?
    Log-Analyse und Auswertung - 19.03.2010 (6)
  7. Zlob.DNS Changer (Datenausführungsverhinderung: kdrgi.exe)
    Plagegeister aller Art und deren Bekämpfung - 07.12.2009 (1)
  8. Trojaner bzw. DNS Changer/Rootkit
    Plagegeister aller Art und deren Bekämpfung - 21.03.2009 (16)
  9. Und nochmal DNS changer ...
    Plagegeister aller Art und deren Bekämpfung - 13.02.2009 (1)
  10. DNS Changer wieder loswerden
    Log-Analyse und Auswertung - 05.02.2009 (1)
  11. Trojaner DNS Changer Bitte um Hilfe
    Mülltonne - 14.01.2009 (0)
  12. Probleme mit DNS-Changer, bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (0)
  13. Log Auswertung; DNS-Changer ?
    Mülltonne - 17.12.2008 (1)
  14. dns changer codec
    Plagegeister aller Art und deren Bekämpfung - 28.11.2008 (1)
  15. DNS Changer boot.com
    Plagegeister aller Art und deren Bekämpfung - 23.10.2008 (2)
  16. ip.changer
    Alles rund um Windows - 04.03.2008 (20)
  17. Zlob.DNS Changer
    Plagegeister aller Art und deren Bekämpfung - 08.12.2007 (1)

Zum Thema Dns changer-codec? - Hallo zusammen! Habe seit ein paar Tagen immer Probleme mit aufpoppenden Browserseiten bei meinem Firefox Browser. Habe mal den SUPER AntiSpy drüber laufen lassen und der hat just einen Trojan - Dns changer-codec?...
Archiv
Du betrachtest: Dns changer-codec? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.