Trojan.DNSChanger - Ist das System noch zu retten?

Azcona · 27.01.2009, 17:19

Hallo Liebe Commuity,

ich wende mich mit folgendem Problem an euch:
Anfangs konnte ich antivir nicht mehr automatisch updaten, kurz darauf ist auch der windows defender ausgefallen. Als ich diesen manuell updaten wollte, konnte die seite von Microsoft nicht aufgerufen werden. Daraufhin habe ich mich entschlossen spybot zu installieren, aber der lies sich mit dem V0erweis "servername oder serveradresse wurde nicht gefunden" nicht installieren. Ad-aware konnte ich zwar installieren, aber nicht updaten. Kaspersky konnte nicht aufgerufen werden, BitDefender konnte zwar runtergeladen, aber nicht geupdatet werden...Malwarebytes zwar runterladen aber nicht updaten.
Mit letzterem wurde - Trojan.DNSChanger - gefunden. Den habe ich auch direkt löschen lassen. Seitdem geht Antivir wieder, sämtliche updates sind auch wieder möglich. Nun würde ich gerne wissen, ob ich mein system noch retten kann, oder schon irreparable schäden eingetreten sind.
Könnt ihr mir bitte weiterhelfen?
Konkret, wie kann ich herausfinden, ob das system noch zu retten ist, wenn ja - wie. Und falls es zum unvermeidlichen Plattmachen kommen muss - wie würdet ihr da am besten vorgehen und final, wie kann ich mich zukünftig besser davor schützen.(Habe noch eine externe Platte, die müsste ich genauso überprüfen).

Zu guter Letzt bitet mir Windows nun zahlreiche Updates an, die nun wieder möglich sind, kann ich diese "bedenkenlos" (sofernman sowas überhaupt kann) installieren, oder laufe ich gefahr, dass diese irgendwie verseucht sind?

Vielen dank für eure Hilfe.

Grüße

Hier der HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:00, on 27.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
C:\Program Files\lg_swupdate\GiljabiStart.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Google Calendar Sync.lnk = C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
O4 - Global Startup: VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/de-de/wlscctrl2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://w*w.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Unknown owner - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: Evil Driver Daemon (NishService) - Unknown owner - C:\Program Files\LG Software\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro\o2flash.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 8111 bytes

und hier noch der LOG von Malwarebytes nach dem Update und dem erneuten Scan:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1698
Windows 6.0.6001 Service Pack 1

27.01.2009 17:00:18
mbam-log-2009-01-27 (17-00-18).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 161501
Laufzeit: 3 hour(s), 30 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

zu guter letzt noch der Log, als der Trojaner.DNSChanger gefunden wurde.
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 6.0.6001 Service Pack 1

27.01.2009 13:21:28
mbam-log-2009-01-27 (13-21-28).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58788
Laufzeit: 10 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Windows\System32\msqpdxvmuqpirh.dll (Trojan.TDSS) -> Delete on reboot.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Russenaisko · 01.02.2009, 20:53

Was ich nicht verstehe ist dein Pc jetzt soweit in Ordnung oder nicht? Gehen alle anwendungen wieder? Warum willst du den Plattmachen?
MfG Russenaisko

Azcona · 01.02.2009, 22:32

Zitat:

Russenaisko
AW: Trojan.DNSChanger - Ist das System noch zu retten?
Was ich nicht verstehe ist dein Pc jetzt soweit in Ordnung oder nicht? Gehen alle anwendungen wieder? Warum willst du den Plattmachen?
MfG Russenaisko

Hallo Russenaisko,
danke für deine Nachfrage. Ich habe lediglich bisher das Problem dahingehend beseitigt, dass der Rechner sich wieder selbstständig updaten kann und ich wieder vollen Zugriff auf sämtliche Webseite habe. Aber ob in der Zeit, in der ich das nicht konnte, der Trojaner irgendwelche andere schädliche Software nachgezogen hat, das kann ich nicht beurteilen. Gefunden habe ich nichts, aber grundsätzlich traue ich einem (ehemals) kontaminierten System wenig.
Viell. hatte jm anderes denselben Trojaner und weiß wo eventuell besonders hingeschaut werden müsste.
Ansonsten habe ich mit dem Rechner keine Probleme, er ist zu Beginn deutlich langsamer, aber das kann auch an den Virenprogrammen/Firewall liegen.

Grüße
Azcona

john.doe · 01.02.2009, 22:52

Hallo und

Zitat:

Aber ob in der Zeit, in der ich das nicht konnte, der Trojaner irgendwelche andere schädliche Software nachgezogen hat, das kann ich nicht beurteilen.

Er hat.

Zitat:

Gefunden habe ich nichts, aber grundsätzlich traue ich einem (ehemals) kontaminierten System wenig.

Gute Einstellung.

Zitat:

Viell. hatte jm anderes denselben Trojaner und weiß wo eventuell besonders hingeschaut werden müsste.

Der verbreitet sich über externe Datenträger. Die Fälle, die ich betreut habe, endeten alle mit einer Neuinstallation. Allerdings wurde vorher immer bereinigt, damit nach einer Neuinstallation nicht sofortiger Wiederbefall eintrat, wie z.B. bei ihm hier: http://www.trojaner-board.de/68318-r...ht=disinfector

Wenn du sicher sein möchtest, dann schliesse alle externen Datenträger an, lasse ComboFix laufen und anschliessend Neuinstallation. Deaktiviere die Autoplayfunktion von Windows, um weiteren Befall zu vermeiden. Desinfiziere externe Datenträger mit Flash Disinfector (Link im obigen Link).

Falls du lieber reinigen möchtest, dann starte damit:
GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Doppelklick auf gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Azcona · 01.02.2009, 23:58

Hallo John.Doe,

habe mich vorerst für die 2. Variante entschieden. Hier der Log:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-01 23:56:42
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.14 ----

SSDT 9B82666C ZwCreateThread
SSDT \??\C:\Program Files\BitDefender\BitDefender 2009\bdselfpr.sys ZwOpenProcess [0x9CB32BCE]
SSDT \??\C:\Program Files\BitDefender\BitDefender 2009\bdselfpr.sys ZwOpenThread [0x9CB32CBC]
SSDT \??\C:\Program Files\BitDefender\BitDefender 2009\bdselfpr.sys ZwTerminateProcess [0x9CB32B32]
SSDT 9B826662 ZwWriteVirtualMemory

INT 0x51 ? 861EFF00
INT 0x51 ? 861EFF00
INT 0x52 ? 861EFF00
INT 0x62 ? 861EFF00
INT 0x72 ? 861EFF00
INT 0x82 ? 8488EBF8
INT 0x92 ? 8488EBF8
INT 0xB2 ? 861EFF00

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!KeSetTimerEx + 454 820CCA18 4 Bytes [ 6C, 66, 82, 9B ]
.text ntkrnlpa.exe!KeSetTimerEx + 624 820CCBE8 4 Bytes [ CE, 2B, B3, 9C ]
.text ntkrnlpa.exe!KeSetTimerEx + 640 820CCC04 4 Bytes [ BC, 2C, B3, 9C ]
.text ntkrnlpa.exe!KeSetTimerEx + 854 820CCE18 4 Bytes [ 32, 2B, B3, 9C ]
.text ntkrnlpa.exe!KeSetTimerEx + 8B4 820CCE78 4 Bytes [ 62, 66, 82, 9B ]
? System32\Drivers\spob.sys Das System kann die angegebene Datei nicht finden. !
PAGE ataport.SYS!DllUnload 826D8B2E 5 Bytes JMP 8488E1D8
.text USBPORT.SYS!DllUnload 82F4846F 5 Bytes JMP 861EF4E0
.text a9nndqwe.SYS 8CADF000 22 Bytes [ 26, 42, 3D, 82, 10, 41, 3D, ... ]
.text a9nndqwe.SYS 8CADF017 83 Bytes [ 00, 32, C7, 79, 80, 3D, C5, ... ]
.text a9nndqwe.SYS 8CADF06B 97 Bytes [ 82, CB, E2, 25, 82, E0, 67, ... ]
.text a9nndqwe.SYS 8CADF0CE 73 Bytes [ 00, 00, 00, 00, 01, C2, 03, ... ]
.text a9nndqwe.SYS 8CADF118 185 Bytes [ 3F, 48, 3E, 8A, 3C, CC, 3D, ... ]
.text ...
? System32\Drivers\1725d078.sys Das System kann die angegebene Datei nicht finden. !
? System32\Drivers\dac44383.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[5276] kernel32.dll!SetUnhandledExceptionFilter 77426E2D 5 Bytes JMP 66B45629 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [806966D2] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80696040] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [806967FC] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [806960BE] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8069613C] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [806A5D92] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortNotification] 000000DC
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortWritePortUchar] 000000A2
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortWritePortUlong] 00000333
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 000003D8
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 0000024D
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetScatterGatherList] 00000201
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReadPortUchar] 000001EF
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortStallExecution] 0000031F
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetParentBusType] 000000A1
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortRequestCallback] 0000025C
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 000003BE
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetUnCachedExtension] 00000215
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortCompleteRequest] 000000DD
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortMoveMemory] 00000190
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 00000182
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 00000363
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 00000258
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReadPortUshort] 0000030E
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 0000017E
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortInitialize] 00000254
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetDeviceBase] 0000019E
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortDeviceStateChange] 000000AB

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 852241F8

AttachedDevice \FileSystem\Ntfs \Ntfs trufos.sys

Device \FileSystem\fastfat \FatCdrom 84C721F8

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 848901F8
Device \Driver\usbuhci \Device\USBPDO-0 862731F8
Device \Driver\usbuhci \Device\USBPDO-1 862731F8
Device \Driver\usbehci \Device\USBPDO-2 862A21F8
Device \Driver\usbuhci \Device\USBPDO-3 862731F8
Device \Driver\usbuhci \Device\USBPDO-4 862731F8

AttachedDevice \Driver\tdx \Device\Tcp bdftdif.sys

Device \Driver\usbuhci \Device\USBPDO-5 862731F8
Device \Driver\usbehci \Device\USBPDO-6 862A21F8
Device \Driver\volmgr \Device\HarddiskVolume1 848901F8
Device \Driver\sptd \Device\1573798644 spob.sys
Device \Driver\volmgr \Device\HarddiskVolume2 848901F8
Device \Driver\cdrom \Device\CdRom0 862A31F8
Device \Driver\volmgr \Device\HarddiskVolume3 848901F8
Device \Driver\cdrom \Device\CdRom1 862A31F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 852231F8
Device \Driver\atapi \Device\Ide\IdePort0 852231F8
Device \Driver\atapi \Device\Ide\IdePort1 852231F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-3 852231F8
Device \Driver\cdrom \Device\CdRom2 862A31F8
Device \Driver\netbt \Device\NetBt_Wins_Export 87EA31F8
Device \Driver\USBSTOR \Device\00000092 85479500
Device \Driver\Smb \Device\NetbiosSmb 87EDD500
Device \Driver\USBSTOR \Device\00000093 85479500
Device \Driver\iScsiPrt \Device\RaidPort0 8638C1F8

AttachedDevice \Driver\tdx \Device\Udp bdftdif.sys

Device \Driver\netbt \Device\NetBT_Tcpip_{F7B9DCDD-8F96-4EE2-AD0C-D522B7C41908} 87EA31F8
Device \Driver\usbuhci \Device\USBFDO-0 862731F8
Device \Driver\PCI_PNP4630 \Device\0000006d spob.sys
Device \Driver\usbuhci \Device\USBFDO-1 862731F8
Device \Driver\usbehci \Device\USBFDO-2 862A21F8
Device \Driver\usbuhci \Device\USBFDO-3 862731F8
Device \Driver\usbuhci \Device\USBFDO-4 862731F8
Device \Driver\netbt \Device\NetBT_Tcpip_{7994387F-E97A-478B-B6FF-465B512B2FE6} 87EA31F8
Device \Driver\usbuhci \Device\USBFDO-5 862731F8
Device \Driver\usbehci \Device\USBFDO-6 862A21F8
Device \Driver\a9nndqwe \Device\Scsi\a9nndqwe1Port5Path0Target0Lun0 8637A1F8
Device \Driver\a9nndqwe \Device\Scsi\a9nndqwe1Port5Path0Target1Lun0 8637A1F8
Device \Driver\a9nndqwe \Device\Scsi\a9nndqwe1 8637A1F8
Device \FileSystem\fastfat \Fat 84C721F8

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat trufos.sys

Device \FileSystem\cdfs \Cdfs 9E8081F8

---- Services - GMER 1.0.14 ----

Service system32\drivers\msqpdxxxieobcp.sys (*** hidden *** ) [SYSTEM] msqpdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df03620bf
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@imagepath \systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxserv \\?\globalroot\systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxl \\?\globalroot\systemroot\system32\msqpdxvmuqpirh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x27 0xE7 0x6A 0x60 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x17 0xAF 0x8D 0x92 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xB8 0xDE 0x9B 0xF0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF2 0xA4 0x29 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC3 0x3C 0xD3 0x27 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6F 0x5D 0x64 0xD1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x6F 0x5D 0x64 0xD1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000df03620bf
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@imagepath \systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules@msqpdxserv \\?\globalroot\systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules@msqpdxl \\?\globalroot\systemroot\system32\msqpdxvmuqpirh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x27 0xE7 0x6A 0x60 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x17 0xAF 0x8D 0x92 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xB8 0xDE 0x9B 0xF0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF2 0xA4 0x29 0x6D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC3 0x3C 0xD3 0x27 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6F 0x5D 0x64 0xD1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x6F 0x5D 0x64 0xD1 ...

---- EOF - GMER 1.0.14 ----

Vielen Dank für weitere Instruktionen.
Grüße

ps. auf jeden fallhat er zwei mal mir ne warnung separat angezeigt, dass was verändert wurde.

john.doe · 02.02.2009, 00:12

Anleitung Avenger (by swandog46)

Lade dir das Tool yxcv.com (ist Avenger drin) und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
msqpdxserv.sys

Files to delete:
C:\Windows\System32\drivers\msqpdxxxieobcp.sys
C:\Windows\system32\msqpdxvmuqpirh.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

01.02.2009, 20:53	#2
Russenaisko Gesperrt	Trojan.DNSChanger - Ist das System noch zu retten? Was ich nicht verstehe ist dein Pc jetzt soweit in Ordnung oder nicht? Gehen alle anwendungen wieder? Warum willst du den Plattmachen? MfG Russenaisko __________________

Trojan.DNSChanger - Ist das System noch zu retten?

Plagegeister aller Art und deren Bekämpfung: Trojan.DNSChanger - Ist das System noch zu retten?