Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: DNS Umleitung was ist hier los?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.02.2009, 16:42   #1
Meltapo
 
DNS Umleitung was ist hier los? - Unglücklich

DNS Umleitung was ist hier los?



Seit einigger Zeit habe ich vermehr Probleme mit meinem PC..

Zuerst habe ich bemerkt das mein Reconnectprogramm für meine fritzbox nicht mehr funktioniert hat. Als ich nach der Ursache gesucht habe fand ich heraus, daß damit das Programm funktiononiert die fritz box im browser mittels http://fritz.box aufgerufen werden können muss.. dieses geht neuerdings nicht mehr, wenn ich hingegen http://192.168.178.1 eingebe gibt es keine probleme.

daraufhin musste ich feststellen das sich weder Adaware noch Antivir mehr automatisch updaten lassen.

Das nächstes Problem das sich auftat war das einigemale keine Internverbindung von meinem Pc mehr möglich war und auch kein PC im Netzwerk sich pingen ließ nach einem Neustart war das Problem immer verschwunden.

ich habe Antivir und Adaware manuell geupdatet, aber auch deren Scans lieferten zwar einige Treffer, die auch behoben werden konnten, aber an meinen Problemen hat sich nachwievor nichts geändert.

Neuerdings bekomme ich bei googelsuchen bei aufrufen von Links alle paar klicks irgendwelche Werbeseiten statt der über Googel gesuchten Pages.

Ein Freund von mir hat vermutet das es sich um eine DNS Umleitung handeln könnte, wie kann ich das herausfinden und was dagegen tun?

Ich hänge einmal logfiles von HJT und combiofix an..

HJT:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:18, on 28.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Aston\aston.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\FREEDO~1\fdm.exe
C:\WINDOWS\system32\ctfmon.exe
f:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://F:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://F:\Free Download Manager\dlfvideo.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.38,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{1165C6A1-C661-41DF-B5C0-D24F8321B72D}: NameServer = 85.255.114.38,85.255.112.7
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4994 bytes
         
Combofix:

Code:
ATTFilter
ComboFix 09-02-27.02 - Meltapo 2009-02-28 17:03:31.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.3326.2891 [GMT 1:00]
ausgeführt von:: c:\downloads\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated(behoben :) ))
FW: ZoneAlarm Firewall *enabled*
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\inst.exe
c:\windows\system32\drivers\msqpdxhsdlmsck.sys
c:\windows\system32\drivers\msqpdxmkkrnjyo.sys
c:\windows\system32\drivers\msqpdxotkaagrm.sys
c:\windows\system32\drivers\msqpdxqdlwiclm.sys
c:\windows\system32\drivers\msqpdxwbwuxxti.sys
c:\windows\system32\msqpdxmirhwjrq.dll
E:\resycled
e:\resycled\boot.com
F:\resycled
f:\resycled\boot.com
G:\resycled
g:\resycled\boot.com
H:\resycled
h:\resycled\boot.com

.
(((((((((((((((((((((((   Dateien erstellt von 2009-01-28 bis 2009-02-28  ))))))))))))))))))))))))))))))
.

2009-02-25 02:27 . 2009-02-25 02:27	35	--a------	c:\windows\WorldBuilder.INI
2009-02-22 02:19 . 2009-01-16 22:45	73,728	--a------	c:\windows\system32\RtNicProp32.dll
2009-02-22 02:03 . 2009-01-18 22:35	15,688	--a------	c:\windows\system32\lsdelete.exe
2009-02-22 01:54 . 2009-01-18 22:30	64,160	--a------	c:\windows\system32\drivers\Lbd.sys
2009-02-22 01:53 . 2009-02-22 01:53	<DIR>	d--------	c:\programme\Lavasoft
2009-02-22 01:53 . 2009-02-22 01:54	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-22 01:53 . 2009-02-22 02:01	<DIR>	d--h-c---	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-17 15:22 . 2009-02-17 15:26	55	--a------	c:\windows\ScreenHunter.INI
2009-02-17 15:21 . 2009-02-17 17:38	<DIR>	d--------	c:\programme\Wisdom-soft ScreenHunter 5 Pro
2009-02-17 13:13 . 2009-02-28 16:55	<DIR>	d--------	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Free Download Manager
2009-02-17 13:13 . 2009-02-17 13:13	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2009-02-15 13:32 . 2009-02-15 13:32	<DIR>	d--------	c:\dokumente und einstellungen\Meltapo\WINDOWS
2009-02-13 14:38 . 2009-02-13 14:48	69,632	--a------	c:\windows\ScUnin.exe
2009-02-13 14:38 . 2009-02-13 14:48	26,366	--a------	c:\windows\scunin.dat
2009-02-13 14:38 . 2009-02-13 14:48	967	--a------	c:\windows\ScUnin.pif
2009-02-11 18:09 . 2009-02-11 18:09	<DIR>	d--------	c:\programme\RealVNC
2009-02-07 19:01 . 2009-02-09 04:51	<DIR>	d--------	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\.purple
2009-02-07 18:57 . 2009-02-07 19:01	<DIR>	d--------	c:\programme\Aspell
2009-02-07 18:56 . 2009-02-07 19:01	<DIR>	d--------	c:\programme\Pidgin
2009-02-07 18:55 . 2009-02-07 18:55	<DIR>	d--------	c:\programme\Gemeinsame Dateien\GTK
2009-02-04 03:06 . 2009-02-04 03:06	<DIR>	d--------	c:\windows\system32\config\systemprofile\Anwendungsdaten\ATI
2009-02-04 03:06 . 2009-02-04 03:06	4,096	--a------	c:\windows\system32\crash
2009-02-03 22:34 . 2004-07-09 04:26	52,096	--a------	c:\windows\system32\drivers\msdv.sys
2009-02-03 22:34 . 2004-07-09 04:26	52,096	--a--c---	c:\windows\system32\dllcache\msdv.sys
2009-02-03 22:34 . 2002-12-12 00:14	46,592	--a------	c:\windows\system32\dxdllreg.exe
2009-02-03 22:34 . 2002-08-29 03:41	31,744	--a--c---	c:\windows\system32\dllcache\pid.dll
2009-02-03 22:34 . 2002-12-12 00:14	12,288	--a------	c:\windows\system32\ksolay.ax
2009-02-03 22:21 . 2009-02-03 22:23	43,520	--a------	c:\windows\system32\CmdLineExt03.dll
2009-01-29 03:27 . 2009-01-29 03:27	<DIR>	d--------	c:\programme\XviD
2009-01-29 03:22 . 2009-01-29 03:22	<DIR>	d--------	c:\programme\Common Files
2009-01-28 17:25 . 2009-01-28 17:25	<DIR>	d--------	c:\programme\Ventrilo
2009-01-28 17:25 . 2009-01-28 17:25	258	--a------	c:\windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-28 16:06	35,719,200	--sha-w	c:\windows\system32\drivers\fidbox.dat
2009-02-28 15:55	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Skype
2009-02-28 15:02	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\skypePM
2009-02-27 01:33	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Hamachi
2009-02-26 17:04	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Red Alert 3
2009-02-25 12:57	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-02-23 08:43	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\dvdcss
2009-02-22 01:02	---------	d-----w	c:\programme\Autorun Eater
2009-02-21 23:17	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Aston
2009-02-17 16:25	47,360	----a-w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\pcouffin.sys
2009-02-17 16:25	---------	d-----w	c:\programme\Azureus
2009-02-17 16:25	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Vso
2009-01-28 16:25	---------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-28 16:25	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Ventrilo
2009-01-26 23:34	2,854,912	----a-w	c:\windows\Internet Logs\xDB7.tmp
2009-01-26 23:34	1,803,776	----a-w	c:\windows\Internet Logs\xDB8.tmp
2009-01-26 15:41	---------	d-----w	c:\programme\Stardock
2009-01-26 15:41	---------	d-----w	c:\programme\Gemeinsame Dateien\Stardock
2009-01-22 15:25	120,064	----a-w	c:\windows\system32\drivers\Rtenicxp.sys
2009-01-22 03:33	---------	d-----w	c:\programme\Hamachi
2009-01-13 19:21	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Notepad++
2009-01-13 16:23	---------	d-----w	c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\gtk-2.0
2009-01-08 19:31	425,576	--sha-w	c:\windows\system32\drivers\fidbox.idx
2009-01-07 17:28	---------	d--h--w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{0E8E33D8-193A-414A-A909-0F101A142D26}
2008-12-30 09:58	---------	d-----w	c:\programme\Universal Math Solver
2008-12-30 09:58	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\1Click DVD Copy Pro
2008-12-30 09:56	47,360	----a-w	c:\windows\system32\drivers\pcouffin.sys
2008-12-17 16:15	21,840	----atw	c:\windows\system32\SIntfNT.dll
2008-12-17 16:15	17,212	----atw	c:\windows\system32\SIntf32.dll
2008-12-17 16:15	12,067	----atw	c:\windows\system32\SIntf16.dll
2008-12-16 15:48	1,700,864	----a-w	c:\windows\Internet Logs\xDB6.tmp
2008-12-15 10:50	2,012,734	----a-w	c:\windows\Internet Logs\tvDebug.zip
2008-12-04 19:32	1,686,016	----a-w	c:\windows\Internet Logs\xDB5.tmp
2008-12-03 19:15	2,030,080	----a-w	c:\windows\system32\python30.dll
2007-05-21 13:19	3,661,824	----a-w	c:\dokumente und einstellungen\Meltapo\vjslib.dll
2007-05-21 13:19	176,640	----a-w	c:\dokumente und einstellungen\Meltapo\vjsnativ.dll
2007-05-21 13:18	413,696	----a-w	c:\dokumente und einstellungen\Meltapo\gpgcore.dll
2007-05-21 13:18	352,256	----a-w	c:\dokumente und einstellungen\Meltapo\LuaPlus_1081.dll
2007-05-21 13:18	13,312	----a-w	c:\dokumente und einstellungen\Meltapo\Lua.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="=" [X]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-18 506712]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"shell"="c:\progra~1\Aston\aston.exe ,svchost.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-22 64160]
R2 EPGService;EPGService;c:\progra~1\WinTV\EPG Services\System\EPGService.exe [2008-10-06 437248]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 921936]
S3 gAGP440p;gAGP440p;\??\c:\dokume~1\Meltapo\LOKALE~1\Temp\gAGP440p.sys --> c:\dokume~1\Meltapo\LOKALE~1\Temp\gAGP440p.sys [?]
S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [2008-10-06 823296]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [2008-10-06 560640]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [2008-10-06 15616]
S3 MRVW225;A/WLAN-1 Wireless LAN Dirver for Windows XP;c:\windows\system32\drivers\MRVW225.sys [2008-12-02 299904]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;c:\windows\system32\drivers\PRISMUSB.sys [2003-10-02 666624]
.
Inhalt des "geplante Tasks" Ordners

2009-02-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 22:34]

2009-02-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-RunOnce-<NO NAME> - (no file)


.
------- Zusätzlicher Suchlauf -------
.
IE: Alles mit FDM herunterladen - file://f:\free download manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://f:\free download manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://f:\free download manager\dllink.htm
IE: Videos mit FDM herunterladen - file://f:\free download manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Mozilla\Firefox\Profiles\clcksiv0.default\
FF - prefs.js: browser.startup.homepage - hxxp://news.google.de/
FF - prefs.js: network.proxy.type - 2
FF - component: f:\free download manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-28 17:05:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 


c:\windows\system32\wbem\Performance\WmiApRpl_new.h 357 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1644491937-682003330-1801674531-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f0,bf,d9,11,6b,9a,70,27,97,1a,2f,ea,25,ed,ed,aa,df,1d,94,c8,3e,a1,eb,
   c2,d6,1d,9a,73,d0,7a,de,f9,67,78,67,5c,ed,aa,a4,7b,73,ba,1d,6c,31,23,f0,e5,\
"??"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb

[HKEY_USERS\S-1-5-21-1644491937-682003330-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:f2,7f,ac,8e,6b,dd,0e,c2,61,9d,d0,5b,6c,99,4e,d2,4b,fb,28,1e,39,
   f4,40,d0,a7,db,f1,75,44,b4,bd,52,db,6e,34,f3,dd,8e,7e,48,c6,7b,9a,ac,e1,a6,\
"rkeysecu"=hex:57,94,b2,4d,4c,cd,fe,bf,32,a3,20,a6,ce,19,23,b7
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-28 17:07:03
ComboFix-quarantined-files.txt  2009-02-28 16:07:01

Vor Suchlauf: 15 Verzeichnis(se), 16,532,869,120 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 17,495,449,600 Bytes frei

189
         

Geändert von Meltapo (28.02.2009 um 17:01 Uhr)

Alt 28.02.2009, 19:15   #2
a5cl3p1o5
 
DNS Umleitung was ist hier los? - Standard

DNS Umleitung was ist hier los?



Hallo Meltapo,

der Freund hat recht. Es handelt(e) sich um einen DNS Changer, welcher alle (DNS-)Internetverbindungen über einen Server in der Ukraine laufen lässt.
Combofix scheint ihn aber erwischt zu haben, wie es für mich scheint.
Schau in Deinen Internetverbindungen nach, ob dort immer noch unter dem DNS-Eintrag ein Wert mit 85.255.*.* steht. Wenn ja, dann lösche diesen und starte den Computer neu. Wenn danach der Eintrag dort wieder sein sollte, ist der Virus noch aktiv. Wenn nicht, scheint dieser zumindest entfernt zu sein.
Alle Passwörter, welche Du verwendet hast, solltest Du dringend ändern!!!

Melde Dich, und teile mit, wie es um Deinen Computer steht.

Grüße
a5cl3p1o5
__________________

__________________

Alt 28.02.2009, 20:40   #3
Meltapo
 
DNS Umleitung was ist hier los? - Standard

DNS Umleitung was ist hier los?



Hehe vielen dank für die Info, das es meinem PC wieder gut geht
Wusste garnicht das Combofix das kann.. bin davon ausgegangen das es nur dafür da ist logdatein zum problemfinden bereitzustellen..
Super geht alles wieder, die Passwörter habe ich geändert, aber vor ein paar tagen habe ich Homebanking benutz .. aber nichts wo ich einen Tan benutzt hätte. Hoffe da passiert nu nichts mehr..

nochmal danke für die info auch wenns schon behoben war ohne das ich es bemerkt habe
__________________

Antwort

Themen zu DNS Umleitung was ist hier los?
0 bytes, ad-aware, ad-watch, antivir, antivirus, aufrufe, autorun, avira, bho, browser, components, computer, einstellungen, firefox, free download, handel, hijack, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, laufende prozesse, malware, mozilla, netzwerk, programm, security, skype.exe, software, suchlauf, system, usb, windows, windows xp, wireless lan



Ähnliche Themen: DNS Umleitung was ist hier los?


  1. Google Umleitung I have net
    Plagegeister aller Art und deren Bekämpfung - 10.04.2013 (16)
  2. Umleitung bei Suchmaschinen
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (18)
  3. Umleitung von Anfragen ins Web
    Netzwerk und Hardware - 10.10.2012 (3)
  4. Umleitung zu safeseeking
    Log-Analyse und Auswertung - 01.08.2012 (3)
  5. Umleitung auf searchcompletion.com
    Log-Analyse und Auswertung - 17.04.2012 (36)
  6. Habe hier das Problem mit den anscheinend hier Bekannten "50Euro" Virus
    Plagegeister aller Art und deren Bekämpfung - 09.01.2012 (3)
  7. Umleitung auf Werbeseiten
    Plagegeister aller Art und deren Bekämpfung - 30.06.2009 (6)
  8. Umleitung 85.255...
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (6)
  9. Umleitung
    Log-Analyse und Auswertung - 05.02.2009 (1)
  10. Google umleitung
    Plagegeister aller Art und deren Bekämpfung - 22.09.2008 (1)
  11. Umleitung Internetseite
    Log-Analyse und Auswertung - 17.05.2008 (14)
  12. Umleitung bei google
    Log-Analyse und Auswertung - 17.09.2007 (1)
  13. URL Umleitung
    Plagegeister aller Art und deren Bekämpfung - 22.01.2007 (1)
  14. Umleitung im IE
    Log-Analyse und Auswertung - 30.09.2006 (27)
  15. Umleitung
    Plagegeister aller Art und deren Bekämpfung - 26.06.2006 (30)
  16. umleitung auf spotresults.com
    Log-Analyse und Auswertung - 26.03.2005 (8)
  17. Nameserver - Umleitung?
    Plagegeister aller Art und deren Bekämpfung - 18.04.2004 (4)

Zum Thema DNS Umleitung was ist hier los? - Seit einigger Zeit habe ich vermehr Probleme mit meinem PC.. Zuerst habe ich bemerkt das mein Reconnectprogramm für meine fritzbox nicht mehr funktioniert hat. Als ich nach der Ursache gesucht - DNS Umleitung was ist hier los?...
Archiv
Du betrachtest: DNS Umleitung was ist hier los? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.