Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.DNSChager die Zweite, Hilfe dringend

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2009, 12:04   #1
Redwulf
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Ich habe den vorangegangenen Beitrag gelesen, leider hilft er mit nur bedingt weiter. Aber alles nach der Reihe. Ich bin einigermaßen vertraut mit dem Board hier, ich habe schon sehr wertvolle Sicherheitstips bekommen.

Mein System: Windows XP professional SP3 mit Bitdefender Antivirus
WLAN Router: Arcor easybox A 600. ISP Arcor
angeschlossen als LAN der verseute Computer
als WLAN ein Laptop

Es begann damit, dass ich versucht habe manuell ein Update des Bitdefenders zu fahren. Ich bekam zu meiner Überraschung eine Fehlermeldung "invalid Server", woraufhin ich den Support angerufen habe. Die schickten mir zunächst eine batch Datei die ich öffnen sollte. Auch dies gelang nicht, angeblich fehlten mir die Rechte im System, obwohl ich als Admin angemeldet war. Eine zweite Datei wurde mir geschickt, nachdem man festgestellt hatte, das die DNS Eintrage meiner TCP/IP verbindung eben auf diesen bereits bekannten ukrainischen Server umgeleitet wurden. IP war 85.255.XXX.XXX. es lagen zwei Eintrage an, einmal primär und sekundär. Das Umstellen auf automatisch beziehen brachte nichts, die Einträge wurden immer wieder gesetzt. Die zweite Datei ließ sich über Umwege auf meinen USB Stick entpacken und auf den Desktop des verseuchten Rechners bringen. Es handelt sich hierei wohl um ein Anti DNS Changer tool von Bitdefender, welches jedoch mein System als CLEAN bezeichnete. Ein drittes Tool von Bitdefender bestehend aus GMER und Avis ließ sich ebenfalls nicht öffnen.
Ich versuchte daraufhin Updates von Windows und Malwarebyte zu fahren, was jedoch nicht gelang.
Es blieb mir nichts übrig und ließ Bitdefender und Malwarebyte suchen. Bitdefender brachte dann 2 rootkits zu Tage, die ich leider nicht mehr nennen kann, da Bitdefender offensichtlich abgebrochen hat. Im Log war nichts zu finden. Gesehen habe ich die Funde jedoch. Sie waren als TMP Dateien in meinem Ordner C:\Dokumente und Einstellungen\Mein Name\Locale Einstellungen \ Temp abgelegt. Diese beiden Dateien wurde von Bitdefender gelöscht.....sagt er. Als Malwarebyte fertig war, hat er 3 Einträge des Trojan.DNSChangers gefunden und zwar in HKey_Local_Maschine. Diese wurden ebenfalls gelöscht. Ab hier verschwanden auch die umgebogenen DNS Einträge in meiner LAN Verbindung des verseuten Rechners. Die TCI/IP Verbindung des Laptops ist ok, ich habe keine Probleme mit dem Browser. Mit HijackThis finde ich selbst keine verdächtigen Einträge und genau ab hier suche ich eure Hilfe. Ich schreibe im Moment mit meinem Laptop, von hier habe ich bereits unseren WLAN Router untersucht, der übrigens mit Passwort gesichert ist. Die DNS Einträge hier sind vollkommen ok und fangen mit 192.XXX an. Ich habe trotzdem obwohl offensichtlich die wirklich schädlichen Dinge beseitigt SCHEINEN, keine Möglichkeit ein Update bei Microsoft oder bei Bitdefender zu fahren, Malwarebyte lässt sich ebenfalls nicht updaten.
Ich dachte bereits an CCCleaner und ComboFix, getraue mich jedoch nicht das ohne fachkundige Anleitung zu tun. Logfiles habe ich erst mal nicht gepostet, ich hoffe ich finde jemanden, der mir kompetent zur Seite steht und diese Dinger von meinem Rechner verbandt. Und falls Fragen aufkommen---ich habe wirklich keine Ahnung woher und warum. Dies ist ein 4 Zugangs Rechner ( 2 Kids und 1 Frau ) aber offensichtlich ist etwas während meiner online Zeit passiert. Die schädlichen Dinge befanden sich in meinen Accounts.
Bis auf email checken und surfen auf Otto Versand war an diesem Tage nichts.
Surfen mit dem verseuten Rechner ist kaum möglich, auch jetzt noch, entweder sehr langsam oder umgeleitet auf zunächst andere Seiten bevor er die originale Aufmacht. U.A erscheint in der Browerzeile auch mal ganz kurz TEST, eine weisse Seite erscheint mit rechts außen geschrieben TESTING..was immer das bedeuten mag. Ich brauche eure Hilfe gaaaaanz dringend. Danke im voraus....

Alt 14.02.2009, 13:29   #2
Redwulf
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Noch ein Zusatz

ich war jetzt nochmals am verseuchten Rechner und habe als Startseite Google festgelegt. Wann immer ich versuche einen Link zu öffnen passiert immer das gleiche. In der Überschrift der Registerkarte erscheint zunächst redirect, dann test mit der Schrift Testing am äußerst rechen Fenster. Weiter gehts mit der Suchseite von Lycos oder anderem, aber nicht der seite die ich eigendlich aufrufe. Irgendwas ist noch krum, obwohl die DNS auf Automatisch steht. lasse gerade nochmal Malwarebyte darüber laufen. Brauch dringend Unterstützung
__________________


Alt 14.02.2009, 14:47   #3
Redwulf
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Malwarebyte findet nichts
__________________

Alt 14.02.2009, 15:08   #4
45cl3p1u5
Gast
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Hallo Redwulf,

bitte trotzdem mal die HijackThis-Logfile posten und lade Dir GMER direkt von http://www.gmer.net/gmer.zip runter. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei File-Upload.net uploaden und Link posten.

Grüße
45cl3p1u5

Geändert von 45cl3p1u5 (14.02.2009 um 15:26 Uhr)

Alt 14.02.2009, 16:36   #5
Redwulf
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Wird erledigt, file ist bereits runtergeladen. Ich hab im Augenblick wieder den Bitdefender laufen, zur Zeit hat er bereits 2 files gefunden die verseucht sind. Ich habe die Systemwiederherstellung zuvor abgeschaltet. Werde GMER dann morgen posten.Lasse jetzt den Bitdefender arbeiten und spätestens morgen berichten. Eines noch, der Bitdefender hat sein letztes Update am 13.07.2009 ohne Probleme gemacht,. Nachdem ich mails gecheckt und gesurvt habe, fings dann an. Die DNS primär und sekundär, beginnend mit 195.XXX hab ich bei arcor checken lassen. Die gehören zu Arcor, also kein Befall am Router, bzw WLAN.

Danke vorab für deine Hilfe


Alt 15.02.2009, 13:08   #6
Redwulf
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



So, da bin ich wieder. Ich bin nicht mehr in der Lage den IE 7 zu öffnen. Ich denke ich habe gestern noch etwas zerschossen als ich Hijack this benutzt und einen Eintrag gefixt habe. Muss wohl mit dem Laptop nochmal IE 7 runterziehen und dann dort installieren. mal sehen.

Aber hier erst mal das aktuellste HiJack Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:38, on 15.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
C:\Programme\BitDefender\BitDefender 2009\bdagent.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1409082233-920026266-839522115-1011\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'ASPNET')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Programme\Eltima Software\Flash Decompiler Trillix\saveflash\iebt.dll
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Programme\Eltima Software\Flash Decompiler Trillix\saveflash\iebt.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166531598458
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188492166546
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Programme\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 7299 bytes
         
Gmer hat übrigens Veränderungen durch Rootkit festgestellt.

LINK: http://www.file-upload.net/download-...erlog.log.html


Ich hoffe wir kriegen das noch hin



Danke nochmals

Geändert von Redwulf (15.02.2009 um 13:11 Uhr) Grund: Link gepostet

Alt 15.02.2009, 16:23   #7
Redwulf
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Update

Ich habe IE 7 nochmals installiert und siehe da....Ich kann wieder MS Updates auf meinem System machen.
Meine Bitdefender Software zeigt immer noch invalid Server an.....
Malwarebyte lässt sich noch nicht updaten.

Ich kanns mir nicht leisten dieses System zu verlieren, ich hoffe es gibt trotzdem noch eine Lösung

Alt 15.02.2009, 18:13   #8
joenni
 
Trojan.DNSChager die Zweite, Hilfe dringend - Daumen hoch

Trojan.DNSChager die Zweite, Hilfe dringend



Hi Redwulf,

Dein Problem kommt mir sehr bekannt vor...

Meine Systeme: XPProf. SP 3 (Toshiba Tecra A2) und Vista Home Premium SP 1 (HP Pavilion), WLAN mit Netgear Router DG834GB, Firmware V4.01.06

Habe jetzt zwei Tage an dem Problem rum gedoktort, dass Windows-Update nicht mehr funktioniert, statt dessen auf die Google-Startseite verweist. Google verweist wiederum auf unsinnige und werbende Internet-Seiten, während seltsame Pop-Up-Fenster aufgehen. Und: Updates für Spybot u.ä. sind nicht mehr möglich.

Richtig ist, dass sämtliche Spyware-Scanner (z.B. Spybot- mein Favorit - oder Malwarebytes' Anti-Malware) anschlagen: Gefunden werden Registry-Einträge mit dem Hinweis auf "Zlob.DNSChanger" - ein Trojaner, der dafür sorgt, dass Websites umgelenkt werden (s.o.). Schön ist, dass der Trojaner und die Registry-Einträge sich alle entfernen lassen. Großes Problem ist aber, dass sämtliche Registry-Einträge nach dem Neustart wieder vorhanden sind! Viren-Scans (Avira Professional) brachten - auch im abgesicherten Modus - kein Ergebnis.

Die Lösung bei mir: Ein infizierter Router! Ich weiß nicht, wo und wie der Netgear DG834GB mißbraucht wurde. Tatsache ist jedoch, dass die Einträge in die Registry erfolgten, sobald der Rechner mit dem Router verbunden wurde. Keine Infizierung erfolgte dagegen, als ich mich zum Test per web'n'walk-Stick im Internet anmeldete.

Konsequenz: Router auf Werkseinstellung zurück setzen (hierfür auf der Rückseite den versenkten Knopf mit einem spitzen gegenstand für ca. 10 sek. gedrückt halten). Danach sämtliche Zugangsdaten neu eingeben - und das werkseitige Kennwort ändern.

Systeme laufen bei mir seither störungsfrei!

Alt 15.02.2009, 18:24   #9
45cl3p1u5
Gast
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Hallo Redwulf,

komprommittierte Systeme (http://www.trojaner-board.de/65029-t...tml#post394394) sollte man neu aufsetzen (http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html
Anleitung: Neuaufsetzen des Systems + Absicherung
)

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:

- lade Dir bitte Avenger runter (http://swandog46.geekstogo.com/avenger2/download.php)
- starten und folgenden Code eingeben:
Code:
ATTFilter
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxxecwrxwe.sys
C:\WINDOWS\system32\gaopdxpnpsxdql.dll
         
- Schliesse nun alle Programme und Browser-Fenster
- klicke auf "Execute"
- klicke auf "Yes" -> der Rechner startet neu
- poste den Inhalt der Datei "C:\avenger.txt

Grüße
45cl3p1u5

Geändert von 45cl3p1u5 (15.02.2009 um 18:38 Uhr)

Alt 15.02.2009, 19:07   #10
joenni
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



@ 45cl3p1u5:

Mein Beitrag sollte kein Ersatz für die übrigen Empfehlungen hier im Bord sein, sondern nur eine Anregung sein, auch diese mögliche Ursache zu untersuchen. Deinen Hinweis, ihn "zu ignorieren" halte ich daher für nicht gerechtfertigt:

1. Bei mir war definitiv der Router der Verursacher, was natürlich die Behandlung des komprommitierten Systems nicht ersetzt, sondern nur ergänzt (sonst wird der Versuch der Fehlerbehebung ein endloses Ping-Pong-Spiel)

2. Mein Problem ist kein obskurer Einzelfall; PC-Welt hat schon im Juni 2008 hierüber berichtet: h..p://www.pcwelt.de/start/sicherheit/virenticker/news/165924/zlob_malware_manipuliert_router/

Gruß

Joenni

Alt 15.02.2009, 19:17   #11
45cl3p1u5
Gast
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



@joenni

ich meinte den von mir geposteten Hinweis bzgl. Kompromittierung. Hatte mich nicht auf Deinen Hinweis bezogen.

Sorry, dass das missverständlich war.

Grüße
45cl3p1u5

Alt 15.02.2009, 19:18   #12
Redwulf
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Hier ist das Avenger LOG:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gaopdxserv.sys" not found!
Deletion of driver "gaopdxserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\system32\drivers\gaopdxxecwrxwe.sys" not found!
Deletion of file "C:\Windows\system32\drivers\gaopdxxecwrxwe.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\system32\gaopdxpnpsxdql.dll" not found!
Deletion of file "C:\Windows\system32\gaopdxpnpsxdql.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Bevor du jetzt schimpfst. Ich habs selber gemacht. Hab mir then Threat mit Google Umleitung angeschaut und dann mein Log betrachtet. Ich hatte andere Einträge, nämlich die o.g. sys und dll Dateien. Es hat wunderbar funktioniert. Wie du siehst... Also nicht hauen...

JEDOCH, kurz nachdem dies gemacht wurde meldete sich der [B]itdefender nach seinem update: Rootkit 12519 gefunden und erfolgreich gelöscht.
Malwarebyte meldete daraufhin :

C:\WINDOWS\system32\drivers\gaopdxxecwrxwe.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Malwarebyte / Bitdefender updates gehen wieder. Mein Router ist auch wieder erreichbar. Alles soweit unverändert. der Router war mit Passwort geschützt. Kann ich jedem nur empfehlen.

Aber in der system32 war noch ein gadopcounter-file übriggeblieben, den ich per hand gelöscht habe....

Mehrfaches rebooten war nötig, aber jetzt scheint alles ok zu sein....

Avenger kann kein Rootkit mehr finden, ebenso gmer, Malwarebyte und Bitdefender zeigen nichts mehr an.

Wie ist deine Meinung?

Alt 15.02.2009, 19:23   #13
45cl3p1u5
Gast
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



sieht gut aus

ich rate Dir aber Java zu deinstallieren und Dir die neuer Version Java jre 6 update 12 zu laden und installieren.

Grüße und bye
45cl3p1u5

Alt 15.02.2009, 19:42   #14
Redwulf
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Vielen Dank

Falls nochmals was sein sollte, kann ich mich dann nochmal melden? Ich meine per PM?

Vielen, vielen Dank für eure Hilfe

Alt 15.02.2009, 20:04   #15
45cl3p1u5
Gast
 
Trojan.DNSChager die Zweite, Hilfe dringend - Standard

Trojan.DNSChager die Zweite, Hilfe dringend



Zitat:
Falls nochmals was sein sollte, kann ich mich dann nochmal melden? Ich meine per PM?
Klar, oder öffentlich auf dem Board.

Grüße
45cl3p1u5

Antwort

Themen zu Trojan.DNSChager die Zweite, Hilfe dringend
combofix, defender, desktop, dringend, easybox, einstellungen, email, fehlermeldung, frage, handel, hijack, hijackthis, immer wieder, kompetent, lan verbindung, langsam, log, router, sehr langsam, seiten, server, stick, suche, surfen, system, tcp/ip, temp, updates, usb, windows, windows xp



Ähnliche Themen: Trojan.DNSChager die Zweite, Hilfe dringend


  1. Hilfe! Trojan.Small; Trojan.Sirefef; Rootkit.0Access; Trojan.Atraps.Gen2 auf meinem Rechner.
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (11)
  2. Hilfe bei Ukash Trojaner! Bitte dringend um Hilfe!
    Log-Analyse und Auswertung - 22.01.2012 (1)
  3. Trojan.SpyEyes auf meinem pc brauche dringend unterstützung.
    Plagegeister aller Art und deren Bekämpfung - 11.12.2011 (2)
  4. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  5. hilfe ... dringend ... :(
    Log-Analyse und Auswertung - 27.04.2009 (29)
  6. Brauche dringend Hilfe bei Trojan:Win32/Vundo.gen!E
    Mülltonne - 28.07.2008 (0)
  7. Dringend Hilfe gesucht - Trojan horse Downloader.Tiny., Troj. Pferde
    Log-Analyse und Auswertung - 17.07.2008 (1)
  8. Brauche dringend Hilfe bei "Trojan.Win32.Monder.gen"
    Log-Analyse und Auswertung - 22.06.2008 (21)
  9. bat.fake/privdanger - die zweite, hilfe!
    Mülltonne - 27.01.2008 (0)
  10. Trojan-Downloader..... Brauche dringend HILFE!!!
    Log-Analyse und Auswertung - 17.08.2007 (1)
  11. Oh man brauch so dringend Hilfe!!!! Virus?Spyware? Hilfe für einen Laien!Bitte!
    Log-Analyse und Auswertung - 13.06.2007 (6)
  12. Brauche dringend Rat!Trojan Swizzor
    Log-Analyse und Auswertung - 14.04.2006 (1)
  13. Trojan horse ,,ams491.dat,, und kein plan wie der wech geht ... die Zweite!
    Plagegeister aller Art und deren Bekämpfung - 02.11.2005 (2)
  14. bräuchte dringend eure hilfe ---> Trojan.Win32.Dialer
    Log-Analyse und Auswertung - 12.09.2005 (7)
  15. Dringend Hilfe !!!
    Log-Analyse und Auswertung - 06.06.2005 (3)
  16. HILFE!!!Frau braucht dringend Hilfe!
    Log-Analyse und Auswertung - 29.03.2005 (4)
  17. Hilfe Rechner voll Spyware!! Brauche dringend HILFE!!!
    Log-Analyse und Auswertung - 03.03.2005 (1)

Zum Thema Trojan.DNSChager die Zweite, Hilfe dringend - Ich habe den vorangegangenen Beitrag gelesen, leider hilft er mit nur bedingt weiter. Aber alles nach der Reihe. Ich bin einigermaßen vertraut mit dem Board hier, ich habe schon sehr - Trojan.DNSChager die Zweite, Hilfe dringend...
Archiv
Du betrachtest: Trojan.DNSChager die Zweite, Hilfe dringend auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.