Zlob.DNSChanger

[roberto]

Hallo fradiot,

es liegt kein Fehlarlarm vor. Du hast dir vermutlich ein Zlob-Rootkit eingefangen.

zu 1) 85.255.112.110 und 85.255.112.104 sind betrügerische DNS-Server und bekannte Malwareverbreiter.

zu 2) Dein Systembericht ist in Bearbeitung.

zu 3) Stimme raman zu. Eintrag sicherheitshalber entfernen.

Registry path: \SYSTEM\CurrentControlSet\Services\
Display name: 5b211694-16a2-4748-ba00-70b93c72e2ea
Image path: \??\E:\Player\cds300.dll

Dieser Service wird nur bei Bedarf gestartet. Sucht man im Internet nach dieser Datei, so zeigt sich, dass der Display-Name einen zufällig generierten Wert hat. Ich halte das für verdächtig. Wäre an der Datei interessiert, falls die jemand hat. Bitte an detections@spybot.info senden. Danke vorab.

Viele Gruesse,
Robert.

[fradiot]

Hallo!

Oh, das sind ja keine guten Nachrichten. Hoffe, ihr findet eine Lösung..

Den O18 Eintrag habe ich jedenfalls entfernt. Weiß man, woher das gekommen sein könnte bzw. was das überhaupt war?

Danke und liebe Grüße.
/fradiot

[roberto]

Hallo,

> Weiß man, woher das gekommen sein könnte bzw. was das überhaupt war?

Castlecops führt als Beschreibung "CDS protection" auf. Vielleicht ist das ein Kopierschutz?

{AD43AA67-6860-4531-AC8A-0E68F9CF023E}: E:\Player\__CDS2.dll (file missing)
{5b211694-16a2-4748-ba00-70b93c72e2ea}: E:\Player\cds300.dll (file missing)

Die obere GUID ist bekannt. Die untere GUID wurde zufällig generiert.
Die Pfad- und Dateinamen sind auch in anderen Userlogs zu finden.

Ich empfehle bei Zlob.DNSChanger immer einen Scan mit dem RootAlyzer.

Viele Gruesse,
Roberto.