Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Und nochmal DNS changer ...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.02.2009, 13:45   #1
may24
 
Und nochmal DNS changer ... - Standard

Und nochmal DNS changer ...



Hallo zusammen.

Z.Z. Scheinen ja DNS Changer groß in Mode zu sein. Ich habe allein in diesem Forum schon an die 20 Threads gelesen ...

Habe hier ein Problem mit meinem Laptop. Wenn ich mich in unser LAN (ohne Internet Zugang) hänge kann ich diverse HTTP-Server nicht mehr erreichen.
Ein kleiner Trace mit Wireshark zeigte mir auch gleich das die DNS Anfragen nicht zum Hauseigenen DNS Server gelenkt werden sonder zu den allseits bekannten 85.255.xxx.xxx Ukrainischen Servern.

Hier im LAN werden fixed IP's verwendent. Auch für DNS. Upnp gibt's meilenweit nicht.

Nachdem ich doch einige Beiträge gelesen, einige Tools wie Smithfraudfix, Exterminate-it, MAB & spynomore ausprobiert und einiges entfernt habe, existiert das Problem leider immer noch.

Sobald ich eine DNS Auflösung mache werde ich an besagte Server umgeleitet - sehr schön in Wireshark zu sehen.

Ebenfalls sehr merkwürdig ist das ich den Internetexplorer nicht mehr öffnen kann. Es gibt keine Fehlermeldung oder ähnliches. Es geht einfach nur nicht ...
Firefox scheint kein Problem zu haben.

Hier die "mandatory" Logfiles. Ich hoffe es fällt euch noch was ein. Ich bin mit meinem Latein am ende ...
Neuinstallieren iss leider nicht ...

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:51, on 12.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DellTPad\Apoint.exe
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\DellTPad\Apntex.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe
C:\WINDOWS\system32\StacSV.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\OfficeScan NT\CNTAoSMgr.exe
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMP\QAA146.EXE
C:\Programme\NetSetMan\NetSetMan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: NameServer = 10.102.83.18,10.102.83.19
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SafeGuard Easy Control (SgeCtl) - Utimaco Safeware AG - C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\StacSV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programme\OfficeScan NT\TmProxy.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3949 bytes
         
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

12.02.2009 11:42:10
mbam-log-2009-02-12 (11-42-10).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 77010
Laufzeit: 9 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Code:
ATTFilter
SmitFraudFix v2.395

Scan done at 13:22:02,39, 12.02.2009
Run from D:\Download\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is 
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DellTPad\Apoint.exe
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\DellTPad\Apntex.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe
C:\WINDOWS\system32\StacSV.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\OfficeScan NT\CNTAoSMgr.exe
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMP\QAA146.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\gm093850


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\gm093850\LOKALE~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\gm093850\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\gm093850\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme 57xx Gigabit Controller #2
DNS Server Search Order: 10.150.128.10
DNS Server Search Order: 10.149.0.4

Description: Broadcom NetXtreme 57xx Gigabit Controller #2
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3A36DDF2-B48C-4BEF-97E9-89442E4F4759}: DhcpNameServer=10.150.128.10 10.149.0.4
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EBE448A9-5800-4035-A090-07DA8263B32C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Alt 13.02.2009, 11:11   #2
may24
 
Und nochmal DNS changer ... - Standard

Und nochmal DNS changer ...



OK, der ComboFix hat ihm den gar aus gemach
__________________


Antwort

Themen zu Und nochmal DNS changer ...
analysis, attention, cs3, dll, einstellungen, explorer, fehlermeldung, frage, ftp, hijack, hijackthis, internet, internet explorer, keine fehlermeldung, lan, malwarebytes' anti-malware, monitor, nicht mehr öffnen, nvidia, officescan, problem, programme, proxy, registrierungsschlüssel, rundll, software, suche, system, temp, userinit.exe, windows, windows xp, wireshark



Ähnliche Themen: Und nochmal DNS changer ...


  1. Rechnern mit DNS-Changer droht Netzblockade
    Nachrichten - 07.07.2012 (0)
  2. RIPE: DNS-Changer-Gegenmaßnahme als Sündenfall
    Nachrichten - 20.04.2012 (0)
  3. Trojaner: DNS Changer
    Log-Analyse und Auswertung - 29.02.2012 (13)
  4. DNS Changer oder anderes Problem
    Log-Analyse und Auswertung - 26.12.2011 (11)
  5. Vermutlich DNS-Changer eingefangen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (14)
  6. DNS-Changer Odessa vollständig entfernt?
    Log-Analyse und Auswertung - 19.03.2010 (6)
  7. Zlob.DNS Changer (Datenausführungsverhinderung: kdrgi.exe)
    Plagegeister aller Art und deren Bekämpfung - 07.12.2009 (1)
  8. Trojaner bzw. DNS Changer/Rootkit
    Plagegeister aller Art und deren Bekämpfung - 21.03.2009 (16)
  9. DNS Changer wieder loswerden
    Log-Analyse und Auswertung - 05.02.2009 (1)
  10. Dns changer-codec?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2009 (20)
  11. Trojaner DNS Changer Bitte um Hilfe
    Mülltonne - 14.01.2009 (0)
  12. Log Auswertung; DNS-Changer ?
    Mülltonne - 17.12.2008 (1)
  13. dns changer codec
    Plagegeister aller Art und deren Bekämpfung - 28.11.2008 (1)
  14. DNS Changer boot.com
    Plagegeister aller Art und deren Bekämpfung - 23.10.2008 (2)
  15. ip.changer
    Alles rund um Windows - 04.03.2008 (20)
  16. spybot meldet zlob.dns.changer
    Log-Analyse und Auswertung - 01.02.2008 (2)
  17. Zlob.DNS Changer
    Plagegeister aller Art und deren Bekämpfung - 08.12.2007 (1)

Zum Thema Und nochmal DNS changer ... - Hallo zusammen. Z.Z. Scheinen ja DNS Changer groß in Mode zu sein. Ich habe allein in diesem Forum schon an die 20 Threads gelesen ... Habe hier ein Problem mit - Und nochmal DNS changer ......
Archiv
Du betrachtest: Und nochmal DNS changer ... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.