Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.DNSChanger befall

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.04.2009, 23:47   #16
postboote
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



neuer log also:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1930
Windows 5.1.2600 Service Pack 2

02.04.2009 00:43:58
mbam-log-2009-04-02 (00-43-58).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 92659
Laufzeit: 19 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
scheint soweit ganz gut zu sein.
Bis auf das andere prob

Vielen dank auf jeden fall für deine hilfe
Echt sehr nett

Alt 01.04.2009, 23:47   #17
Redwulf
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



Heisst der recycled oder resycled ?
__________________

__________________

Alt 01.04.2009, 23:48   #18
postboote
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



Prost:aplaus:

danke dir sehr!!
__________________

Alt 02.04.2009, 00:10   #19
Redwulf
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall





Verstehe dich nicht ganz....hast du dieses Problem noch?
Oder nicht mehr? Oder selbst gelöst?
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 02.04.2009, 18:10   #20
postboote
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



DAs erste Problem hast du mir sehr gut und anschaulich gelöst.
HAbe eben scans laufen lassen alles scheint sauber zu sein.

jetzt ist noch das Problem, welches mir beim zugriff aufmeine Laufwerke
angezeigt wird.

C:\resycled/boot.com ist keine zulässige Win 32-Anwendung


meldet ein fenster und ich kann nur x ankliken.
Mit dem explorer kann ich aber alles ganz normal öffnen.

Eventuell kennst du auch hierfür eine lösung.
Wie schon geschrieben, kann in der reg edit unter den HKEY.......
in { klammer ein resycled/boot} gefunden werden und der soll entfernt werden.
Es steht dann der jeweilige laufwerksbuchstabe mit dahinter.
Das habe ich aber bislang nicht gemacht.
Bin mir da zu unsicher.


Alt 02.04.2009, 19:54   #21
john.doe
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



Hallo,

falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Kamera, Handy, Memorysticks, Speicherkarten, externe Laufwerke, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________
--> Trojan.DNSChanger befall

Alt 02.04.2009, 20:01   #22
Redwulf
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



....Hör auf den Mann.......

*...und weg
__________________
Quidquid agis prudenter agas et respice finem

Was auch immer du tust, tu es klug und bedenke die Folgen

---------------------------------------------------------------------------------
Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM

Alt 04.04.2009, 11:07   #23
postboote
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



Vielen dank für die Hilfe.
Komme eben erst wieder online.
Ich mache was beschrieben ist und melde mich dann zurück.
ICh muß hier echt ein RIESEN lob aussprechen!!

GAnz toll wie ihr mir helft!
Vielen dank!

Alt 05.04.2009, 17:37   #24
postboote
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



HAllo,
endlich bin ich dazu gekommen.
Es scheint so als ob dieser HKEY....... wieder da ist!!
Hier der compofix log:
Code:
ATTFilter
ComboFix 09-04-03.01 - xxx 2009-04-05 18:17:00.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1023.723 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((   Dateien erstellt von 2009-03-05 bis 2009-04-05  ))))))))))))))))))))))))))))))
.

2009-03-31 19:26 . 2009-03-31 19:26	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-03-31 19:26 . 2009-03-31 19:26	<DIR>	d--------	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-03-31 19:26 . 2009-03-31 19:26	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-31 19:26 . 2009-03-26 16:49	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-31 19:26 . 2009-03-26 16:49	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-03-31 18:24 . 2009-03-31 19:23	<DIR>	d--------	c:\programme\Navilog1
2009-03-31 16:16 . 2009-03-31 16:16	<DIR>	d--------	c:\programme\Trend Micro
2009-03-30 22:28 . 2009-04-03 21:09	15,688	--a------	c:\windows\system32\lsdelete.exe
2009-03-30 21:49 . 2009-04-03 21:09	64,160	--a------	c:\windows\system32\drivers\Lbd.sys
2009-03-30 21:48 . 2009-03-30 21:48	<DIR>	d--------	c:\programme\Lavasoft
2009-03-30 21:48 . 2009-03-30 21:49	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-30 21:48 . 2009-03-30 21:48	<DIR>	d--h-c---	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-03-29 13:09 . 2009-02-13 11:31	55,640	--a------	c:\windows\system32\drivers\avgntflt.sys
2009-03-29 13:08 . 2009-03-29 13:08	<DIR>	d--------	c:\programme\Avira
2009-03-29 13:08 . 2009-03-29 13:08	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-27 17:28 . 2009-03-27 17:28	<DIR>	d--------	c:\programme\CCleaner
2009-03-27 17:19 . 2009-03-27 17:25	<DIR>	d--------	c:\programme\RegCleaner
2009-03-27 16:44 . 2009-03-27 16:44	<DIR>	d--------	c:\programme\Auslogics
2009-03-27 16:44 . 2009-03-27 16:44	<DIR>	d--------	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Auslogics
2009-03-08 14:15 . 2009-03-08 14:15	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-05 16:06	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\uTorrent
2009-04-05 15:49	---------	d-----w	c:\programme\Mozilla Thunderbird
2009-03-26 19:25	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2009-03-23 20:20	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\BOM
2009-03-19 17:11	---------	d-----w	c:\programme\Biet-O-Matic
2009-03-01 17:11	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\MyPhoneExplorer
2009-02-17 21:02	---------	d-----w	c:\programme\ConvertHelper
2009-02-08 15:45	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Teleca
2009-02-08 15:44	---------	d-----w	c:\programme\Gemeinsame Dateien\Teleca Shared
2009-02-08 15:37	---------	d-----w	c:\programme\TuneUp Utilities 2009
2007-12-24 12:11	15,976	----a-w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-02-21 11:47	31,232	--sh--r	c:\windows\system32\msfDX.dll
2007-12-17 13:43	27,648	--sh--w	c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-10-28 335872]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-04-03 515416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS\0lsdelete

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2008-10-17 13:32 2223040 c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"LanguageShortcut"=c:\programme\CyberLink\PowerDVD\Language\Language.exe
"InCD"=c:\programme\Nero\Nero 7\InCD\InCD.exe
"SecurDisc"=c:\programme\Nero\Nero 7\InCD\NBHGui.exe
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe
"SoundMan"=SOUNDMAN.EXE
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Dokumente und Einstellungen\\Dieter\\Desktop\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-30 64160]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-29 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 951632]
S3 gkmixern;gkmixern;\??\c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys --> c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys [?]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [2008-07-01 61536]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [2008-07-01 9360]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [2008-07-01 97088]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [2008-07-01 88624]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [2008-07-01 18704]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [2008-07-01 86432]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [2008-07-01 90800]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ee4b8a6-d4ef-11dc-a43e-0010dc5ad7dc}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - d:\resycled\boot.com d:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ee4b8a7-d4ef-11dc-a43e-0010dc5ad7dc}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com i:
\Shell\Open\command - i:\resycled\boot.com i:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c293ab9f-58d5-11dd-a4f7-0010dc5ad7dc}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - d:\resycled\boot.com d:
.
Inhalt des "geplante Tasks" Ordners

2009-04-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-04-03 21:09]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Mozilla\Firefox\Profiles\xnagf4be.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.ebay.de/

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://xxx.gmer.net
Rootkit scan 2009-04-05 18:18:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(824)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-04-05 18:20:10
ComboFix-quarantined-files.txt  2009-04-05 16:20:08
ComboFix2.txt  2009-04-05 16:13:27

Vor Suchlauf: 1.766.936.576 Bytes frei
Nach Suchlauf: 1,759,035,392 Bytes frei

146
         
und der HijackThis log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:59, on 05.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 4337 bytes
         
ich hoffe ich habe alle http...... und namen erwischt.
würde mich über weitere hilfe sehr angenehm freuen.
lg

Alt 05.04.2009, 18:01   #25
john.doe
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



1.) Kommt die Fehlermeldung beim Öffnen eines Laufwerkes noch?

2.) Was sind deine Laufwerke D: und I:?

3.) Start => Ausführen => cmd => OK (Ein schwarzes Fenster erscheint, dort eingeben)
sc stop gkmixern [Enter]
exit [Enter] (Fenster verschwindet)

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen (die xxx durch den Anmeldenamen ersetzen):
Code:
ATTFilter
c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys
         
Markiere die Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.04.2009, 18:07   #26
postboote
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



entschuldige bitte, nein diese meldung ist weg.
Kann alle datenträger wider ganz normal öffnen.
Nur bei cccleaner unter fehlersuche meldet der mir einen hkey......
der sich nicht bereinigen lässt.
ich meine das ist der vom ersten mal schon.
Soll ich das nun noch machen ? was du schreibst oder hat sich das erledigt?
Laufwerke gehen ohne fehlermeldung auf

Alt 05.04.2009, 18:10   #27
john.doe
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



1.) Welchen HKLM meldet CCleaner denn genau?
Zitat:
Soll ich das nun noch machen ?
2.) Ja.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.04.2009, 18:22   #28
postboote
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



hallo andreas,
nach der eingabe die du beschreibst bekomme ich
(SC) ControllService FAILED 1062
da geht also nichts.

Den unten beschriebenen ort (c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys)
kann ich nicht finden und öffnen denn ein scan geht ohne ziel nicht.

Der Fehler bei cc reg cleaner ist
Code:
ATTFilter
Ungenutzte Datei-Endungen	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Veralteter Software-Schlüssel	Wget	HKCU\Software\Wget
         

Alt 05.04.2009, 18:34   #29
john.doe
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



Zitat:
Den unten beschriebenen ort (c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys)
kann ich nicht finden und öffnen denn ein scan geht ohne ziel nicht.
Deshalb steht in der Anleitung auch, dass du die Zeile kopieren und bei VT einfügen sollst, natürlich nachdem du die xxx durch den Anmeldenamen ersetzt hast. Im nächsten ComboFix-Log bitte nicht editieren.

Solange ich das Script zusammenbastel, kannst du schon mal SUPERAntiSpyware die Punkte 1-3 nach Anleitung laufenlassen und das Log posten.

Ich warte noch auf Antwort bei:
Zitat:
2.) Was sind deine Laufwerke D: und I:?
Der Schlüssel gehört zu Avira und kann im abgesicherten Modus gelöscht werden (ob das sinnvoll ist, sei dahingestellt ).

Deinstalliere:
  • AdAware (Schrott)
  • utorrent (Virenschleuder)
  • Navilog (selbst rumgedoktort?)
ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Geändert von john.doe (05.04.2009 um 19:02 Uhr)

Alt 05.04.2009, 19:12   #30
john.doe
 
Trojan.DNSChanger befall - Standard

Trojan.DNSChanger befall



Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
Lbd
Lavasoft Ad-Aware Service
gkmixern

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ad-Watch"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Dokumente und Einstellungen\\Dieter\\Desktop\\uTorrent.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ee4b8a6-d4ef-11dc-a43e-0010dc5ad7dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ee4b8a7-d4ef-11dc-a43e-0010dc5ad7dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c293ab9f-58d5-11dd-a4f7-0010dc5ad7dc}]

RegLock::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System]

Folder::
c:\programme\Navilog1
c:\programme\Lavasoft
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

File::
c:\windows\Tasks\Ad-Aware Update (Weekly).job

DirLook::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu Trojan.DNSChanger befall
.com, ad-aware, ad-watch, adobe, antivir, antivir guard, avira, bho, controlset002, desktop, excel, explorer, fehlermeldung, firefox, gservice, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, logfile, malwarebytes' anti-malware, microsoft, mozilla, problem, programme, registrierungsschlüssel, software, system, windows, windows xp



Ähnliche Themen: Trojan.DNSChanger befall


  1. WIN 7: Trojan.DNSChanger beim Routinecheck gefunden
    Log-Analyse und Auswertung - 22.06.2015 (22)
  2. trojan.dnschanger - internet geht nicht mehr...
    Plagegeister aller Art und deren Bekämpfung - 16.06.2011 (2)
  3. Malware.Packer.Gen & Trojan.DNSChanger
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  4. Mit Trojan.DNSChanger begann es...
    Plagegeister aller Art und deren Bekämpfung - 19.09.2009 (4)
  5. Trojan.DNSChanger entfernen
    Anleitungen, FAQs & Links - 13.08.2009 (2)
  6. Trojan.DNSChanger.ct
    Plagegeister aller Art und deren Bekämpfung - 21.05.2009 (28)
  7. Trojan.DNSChanger und weiteres
    Plagegeister aller Art und deren Bekämpfung - 11.05.2009 (15)
  8. Trojan.DNSChanger-Codec
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (0)
  9. Trojan DNSChanger
    Plagegeister aller Art und deren Bekämpfung - 20.03.2009 (2)
  10. Trojan.DNSChanger
    Plagegeister aller Art und deren Bekämpfung - 03.03.2009 (102)
  11. Trojan.DNSChanger - Ist das System noch zu retten?
    Plagegeister aller Art und deren Bekämpfung - 03.02.2009 (24)
  12. win32.trojan.dnschanger von adaware gefunden + logfile
    Plagegeister aller Art und deren Bekämpfung - 05.01.2009 (1)
  13. Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec
    Plagegeister aller Art und deren Bekämpfung - 28.10.2008 (23)
  14. [Trojan.DNSChanger] // Bekomme ihn nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 23.08.2008 (29)
  15. Trojan.Downloader.Zlob.AADO DNSChanger.gen10
    Log-Analyse und Auswertung - 23.07.2007 (18)
  16. Trojan.Win32.DNSChanger.ik (Virus)
    Plagegeister aller Art und deren Bekämpfung - 16.04.2007 (3)
  17. Downloader.Agent.uj und Trojan.DNSChanger.ef
    Log-Analyse und Auswertung - 19.07.2006 (4)

Zum Thema Trojan.DNSChanger befall - neuer log also: Code: Alles auswählen Aufklappen ATTFilter Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1930 Windows 5.1.2600 Service Pack 2 02.04.2009 00:43:58 mbam-log-2009-04-02 (00-43-58).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|) Durchsuchte Objekte: 92659 - Trojan.DNSChanger befall...
Archiv
Du betrachtest: Trojan.DNSChanger befall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.