Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   DNS Umleitung was ist hier los? (https://www.trojaner-board.de/70520-dns-umleitung-los.html)

Meltapo 28.02.2009 17:42
DNS Umleitung was ist hier los?
 
Seit einigger Zeit habe ich vermehr Probleme mit meinem PC..

Zuerst habe ich bemerkt das mein Reconnectprogramm für meine fritzbox nicht mehr funktioniert hat. Als ich nach der Ursache gesucht habe fand ich heraus, daß damit das Programm funktiononiert die fritz box im browser mittels http://fritz.box aufgerufen werden können muss.. dieses geht neuerdings nicht mehr, wenn ich hingegen http://192.168.178.1 eingebe gibt es keine probleme.

daraufhin musste ich feststellen das sich weder Adaware noch Antivir mehr automatisch updaten lassen.

Das nächstes Problem das sich auftat war das einigemale keine Internverbindung von meinem Pc mehr möglich war und auch kein PC im Netzwerk sich pingen ließ nach einem Neustart war das Problem immer verschwunden.

ich habe Antivir und Adaware manuell geupdatet, aber auch deren Scans lieferten zwar einige Treffer, die auch behoben werden konnten, aber an meinen Problemen hat sich nachwievor nichts geändert.

Neuerdings bekomme ich bei googelsuchen bei aufrufen von Links alle paar klicks irgendwelche Werbeseiten statt der über Googel gesuchten Pages.

Ein Freund von mir hat vermutet das es sich um eine DNS Umleitung handeln könnte, wie kann ich das herausfinden und was dagegen tun?

Ich hänge einmal logfiles von HJT und combiofix an..

HJT:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:18, on 28.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Aston\aston.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\FREEDO~1\fdm.exe
C:\WINDOWS\system32\ctfmon.exe
f:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://F:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://F:\Free Download Manager\dlfvideo.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.38,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{1165C6A1-C661-41DF-B5C0-D24F8321B72D}: NameServer = 85.255.114.38,85.255.112.7
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4994 bytes
Combofix:

Code:
ComboFix 09-02-27.02 - Meltapo 2009-02-28 17:03:31.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.3326.2891 [GMT 1:00]
ausgeführt von:: c:\downloads\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated(behoben :) ))
FW: ZoneAlarm Firewall *enabled*
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\inst.exe
c:\windows\system32\drivers\msqpdxhsdlmsck.sys
c:\windows\system32\drivers\msqpdxmkkrnjyo.sys
c:\windows\system32\drivers\msqpdxotkaagrm.sys
c:\windows\system32\drivers\msqpdxqdlwiclm.sys
c:\windows\system32\drivers\msqpdxwbwuxxti.sys
c:\windows\system32\msqpdxmirhwjrq.dll
E:\resycled
e:\resycled\boot.com
F:\resycled
f:\resycled\boot.com
G:\resycled
g:\resycled\boot.com
H:\resycled
h:\resycled\boot.com

.
(((((((((((((((((((((((  Dateien erstellt von 2009-01-28 bis 2009-02-28  ))))))))))))))))))))))))))))))
.

2009-02-25 02:27 . 2009-02-25 02:27        35        --a------        c:\windows\WorldBuilder.INI
2009-02-22 02:19 . 2009-01-16 22:45        73,728        --a------        c:\windows\system32\RtNicProp32.dll
2009-02-22 02:03 . 2009-01-18 22:35        15,688        --a------        c:\windows\system32\lsdelete.exe
2009-02-22 01:54 . 2009-01-18 22:30        64,160        --a------        c:\windows\system32\drivers\Lbd.sys
2009-02-22 01:53 . 2009-02-22 01:53        <DIR>        d--------        c:\programme\Lavasoft
2009-02-22 01:53 . 2009-02-22 01:54        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-22 01:53 . 2009-02-22 02:01        <DIR>        d--h-c---        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-17 15:22 . 2009-02-17 15:26        55        --a------        c:\windows\ScreenHunter.INI
2009-02-17 15:21 . 2009-02-17 17:38        <DIR>        d--------        c:\programme\Wisdom-soft ScreenHunter 5 Pro
2009-02-17 13:13 . 2009-02-28 16:55        <DIR>        d--------        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Free Download Manager
2009-02-17 13:13 . 2009-02-17 13:13        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2009-02-15 13:32 . 2009-02-15 13:32        <DIR>        d--------        c:\dokumente und einstellungen\Meltapo\WINDOWS
2009-02-13 14:38 . 2009-02-13 14:48        69,632        --a------        c:\windows\ScUnin.exe
2009-02-13 14:38 . 2009-02-13 14:48        26,366        --a------        c:\windows\scunin.dat
2009-02-13 14:38 . 2009-02-13 14:48        967        --a------        c:\windows\ScUnin.pif
2009-02-11 18:09 . 2009-02-11 18:09        <DIR>        d--------        c:\programme\RealVNC
2009-02-07 19:01 . 2009-02-09 04:51        <DIR>        d--------        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\.purple
2009-02-07 18:57 . 2009-02-07 19:01        <DIR>        d--------        c:\programme\Aspell
2009-02-07 18:56 . 2009-02-07 19:01        <DIR>        d--------        c:\programme\Pidgin
2009-02-07 18:55 . 2009-02-07 18:55        <DIR>        d--------        c:\programme\Gemeinsame Dateien\GTK
2009-02-04 03:06 . 2009-02-04 03:06        <DIR>        d--------        c:\windows\system32\config\systemprofile\Anwendungsdaten\ATI
2009-02-04 03:06 . 2009-02-04 03:06        4,096        --a------        c:\windows\system32\crash
2009-02-03 22:34 . 2004-07-09 04:26        52,096        --a------        c:\windows\system32\drivers\msdv.sys
2009-02-03 22:34 . 2004-07-09 04:26        52,096        --a--c---        c:\windows\system32\dllcache\msdv.sys
2009-02-03 22:34 . 2002-12-12 00:14        46,592        --a------        c:\windows\system32\dxdllreg.exe
2009-02-03 22:34 . 2002-08-29 03:41        31,744        --a--c---        c:\windows\system32\dllcache\pid.dll
2009-02-03 22:34 . 2002-12-12 00:14        12,288        --a------        c:\windows\system32\ksolay.ax
2009-02-03 22:21 . 2009-02-03 22:23        43,520        --a------        c:\windows\system32\CmdLineExt03.dll
2009-01-29 03:27 . 2009-01-29 03:27        <DIR>        d--------        c:\programme\XviD
2009-01-29 03:22 . 2009-01-29 03:22        <DIR>        d--------        c:\programme\Common Files
2009-01-28 17:25 . 2009-01-28 17:25        <DIR>        d--------        c:\programme\Ventrilo
2009-01-28 17:25 . 2009-01-28 17:25        258        --a------        c:\windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-28 16:06        35,719,200        --sha-w        c:\windows\system32\drivers\fidbox.dat
2009-02-28 15:55        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Skype
2009-02-28 15:02        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\skypePM
2009-02-27 01:33        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Hamachi
2009-02-26 17:04        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Red Alert 3
2009-02-25 12:57        ---------        d--h--w        c:\programme\InstallShield Installation Information
2009-02-23 08:43        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\dvdcss
2009-02-22 01:02        ---------        d-----w        c:\programme\Autorun Eater
2009-02-21 23:17        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Aston
2009-02-17 16:25        47,360        ----a-w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\pcouffin.sys
2009-02-17 16:25        ---------        d-----w        c:\programme\Azureus
2009-02-17 16:25        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Vso
2009-01-28 16:25        ---------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-28 16:25        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Ventrilo
2009-01-26 23:34        2,854,912        ----a-w        c:\windows\Internet Logs\xDB7.tmp
2009-01-26 23:34        1,803,776        ----a-w        c:\windows\Internet Logs\xDB8.tmp
2009-01-26 15:41        ---------        d-----w        c:\programme\Stardock
2009-01-26 15:41        ---------        d-----w        c:\programme\Gemeinsame Dateien\Stardock
2009-01-22 15:25        120,064        ----a-w        c:\windows\system32\drivers\Rtenicxp.sys
2009-01-22 03:33        ---------        d-----w        c:\programme\Hamachi
2009-01-13 19:21        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Notepad++
2009-01-13 16:23        ---------        d-----w        c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\gtk-2.0
2009-01-08 19:31        425,576        --sha-w        c:\windows\system32\drivers\fidbox.idx
2009-01-07 17:28        ---------        d--h--w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{0E8E33D8-193A-414A-A909-0F101A142D26}
2008-12-30 09:58        ---------        d-----w        c:\programme\Universal Math Solver
2008-12-30 09:58        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\1Click DVD Copy Pro
2008-12-30 09:56        47,360        ----a-w        c:\windows\system32\drivers\pcouffin.sys
2008-12-17 16:15        21,840        ----atw        c:\windows\system32\SIntfNT.dll
2008-12-17 16:15        17,212        ----atw        c:\windows\system32\SIntf32.dll
2008-12-17 16:15        12,067        ----atw        c:\windows\system32\SIntf16.dll
2008-12-16 15:48        1,700,864        ----a-w        c:\windows\Internet Logs\xDB6.tmp
2008-12-15 10:50        2,012,734        ----a-w        c:\windows\Internet Logs\tvDebug.zip
2008-12-04 19:32        1,686,016        ----a-w        c:\windows\Internet Logs\xDB5.tmp
2008-12-03 19:15        2,030,080        ----a-w        c:\windows\system32\python30.dll
2007-05-21 13:19        3,661,824        ----a-w        c:\dokumente und einstellungen\Meltapo\vjslib.dll
2007-05-21 13:19        176,640        ----a-w        c:\dokumente und einstellungen\Meltapo\vjsnativ.dll
2007-05-21 13:18        413,696        ----a-w        c:\dokumente und einstellungen\Meltapo\gpgcore.dll
2007-05-21 13:18        352,256        ----a-w        c:\dokumente und einstellungen\Meltapo\LuaPlus_1081.dll
2007-05-21 13:18        13,312        ----a-w        c:\dokumente und einstellungen\Meltapo\Lua.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="=" [X]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-18 506712]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"shell"="c:\progra~1\Aston\aston.exe ,svchost.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-22 64160]
R2 EPGService;EPGService;c:\progra~1\WinTV\EPG Services\System\EPGService.exe [2008-10-06 437248]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 921936]
S3 gAGP440p;gAGP440p;\??\c:\dokume~1\Meltapo\LOKALE~1\Temp\gAGP440p.sys --> c:\dokume~1\Meltapo\LOKALE~1\Temp\gAGP440p.sys [?]
S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [2008-10-06 823296]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [2008-10-06 560640]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [2008-10-06 15616]
S3 MRVW225;A/WLAN-1 Wireless LAN Dirver for Windows XP;c:\windows\system32\drivers\MRVW225.sys [2008-12-02 299904]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;c:\windows\system32\drivers\PRISMUSB.sys [2003-10-02 666624]
.
Inhalt des "geplante Tasks" Ordners

2009-02-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 22:34]

2009-02-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-RunOnce-<NO NAME> - (no file)


.
------- Zusätzlicher Suchlauf -------
.
IE: Alles mit FDM herunterladen - file://f:\free download manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://f:\free download manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://f:\free download manager\dllink.htm
IE: Videos mit FDM herunterladen - file://f:\free download manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Meltapo\Anwendungsdaten\Mozilla\Firefox\Profiles\clcksiv0.default\
FF - prefs.js: browser.startup.homepage - hxxp://news.google.de/
FF - prefs.js: network.proxy.type - 2
FF - component: f:\free download manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-28 17:05:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\wbem\Performance\WmiApRpl_new.h 357 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1644491937-682003330-1801674531-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f0,bf,d9,11,6b,9a,70,27,97,1a,2f,ea,25,ed,ed,aa,df,1d,94,c8,3e,a1,eb,
  c2,d6,1d,9a,73,d0,7a,de,f9,67,78,67,5c,ed,aa,a4,7b,73,ba,1d,6c,31,23,f0,e5,\
"??"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb

[HKEY_USERS\S-1-5-21-1644491937-682003330-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:f2,7f,ac,8e,6b,dd,0e,c2,61,9d,d0,5b,6c,99,4e,d2,4b,fb,28,1e,39,
  f4,40,d0,a7,db,f1,75,44,b4,bd,52,db,6e,34,f3,dd,8e,7e,48,c6,7b,9a,ac,e1,a6,\
"rkeysecu"=hex:57,94,b2,4d,4c,cd,fe,bf,32,a3,20,a6,ce,19,23,b7
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-28 17:07:03
ComboFix-quarantined-files.txt  2009-02-28 16:07:01

Vor Suchlauf: 15 Verzeichnis(se), 16,532,869,120 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 17,495,449,600 Bytes frei

189

a5cl3p1o5 28.02.2009 20:15
Hallo Meltapo,

der Freund hat recht. Es handelt(e) sich um einen DNS Changer, welcher alle (DNS-)Internetverbindungen über einen Server in der Ukraine laufen lässt.
Combofix scheint ihn aber erwischt zu haben, wie es für mich scheint.
Schau in Deinen Internetverbindungen nach, ob dort immer noch unter dem DNS-Eintrag ein Wert mit 85.255.*.* steht. Wenn ja, dann lösche diesen und starte den Computer neu. Wenn danach der Eintrag dort wieder sein sollte, ist der Virus noch aktiv. Wenn nicht, scheint dieser zumindest entfernt zu sein.
Alle Passwörter, welche Du verwendet hast, solltest Du dringend ändern!!!

Melde Dich, und teile mit, wie es um Deinen Computer steht.

Grüße
a5cl3p1o5

Meltapo 28.02.2009 21:40
Hehe vielen dank für die Info, das es meinem PC wieder gut geht :D
Wusste garnicht das Combofix das kann.. bin davon ausgegangen das es nur dafür da ist logdatein zum problemfinden bereitzustellen..
Super geht alles wieder, die Passwörter habe ich geändert, aber vor ein paar tagen habe ich Homebanking benutz .. aber nichts wo ich einen Tan benutzt hätte. Hoffe da passiert nu nichts mehr..

nochmal danke für die info :singsing: auch wenns schon behoben war ohne das ich es bemerkt habe


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131