-
Zlob.DNSChanger
Hallo!
Ich habe schon eine ganze Weile hier im Forum herumgesucht, aber keiner der bisherigen Threads hilft mir so richtig weiter. Deshalb habe ich mich jetzt mal angemeldet und hoffe, dass mir jemand ein paar Tipps geben kann.
Also: Ich habe Probleme mit dem Trojaner Zlob.DNSChanger. Nicht so schwerwiegende wie anderswo beschrieben, aber mir werden auf bestimmten Seiten (z.B. dict.leo.org) immer wieder Werbe-Pop-Ups eingeblendet, welche ich gerne loswerden würde. Spybot findet beim Durchsuchen des Systems eben diesen Zlob.DNSChanger und kann das Problem auch beseitigen, aber beim nächsten Aufrufen ist es wieder da (und die Pop-Ups verschwinden auch nie).
Das hier sagt Spybot (Version: 1.6.0) nach der Überprüfung des Systems:
--- Search result list ---
Zlob.DNSChanger: [SBI $041D1396] TCP/IP Settings #1 (Undefined) (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer=208.67.220.220,208.67.222.222
Zlob.DNSChanger: [SBI $041D1396] TCP/IP Settings #2 (Undefined) (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{20E5C954-E41E-48B3-9722-42EC9C330D4B}\DhcpNameServer=208.67.220.220,208.67.222.222
Mein HijackThis Logfile sieht folgendermaßen aus:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:06:34, on 08.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
F:\Vorübergehend\Advent\Advent.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://webmailcluster.1und1.de/xml/...=1207604745058
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Advent.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1207603738916
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - E:\Player\__CDS2.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
--
End of file - 7362 bytes
Dankes schonmal für jeden Tipp zur Lösung des Problems.. :)
/fradiot
-
Hallo fradiot,
das muss sich mal einer der Programmierer ansehen, das sieht mehr nach Fehlalarm aus...
-
Hallo fradiot,
Um zu klären, ob ein Fehlalarm vorliegt bitte folgende Schritte ausführen:
1) regedit.exe aufrufen.
Über Start/Ausführen/regedit.exe starten.
Bitte einmal zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
durchklicken und den Wert der Zeichenfolge "DhcpNameServer" hier posten.
Ist das tatsaechlich der von dir gewünschte Server?
2) Zlob.DNSChanger wird nur gefunden, wenn ein NameServer auf einen unerlaubten Wert geändert wird, der im Adressraum von Malwareservern liegt, die typischerweise nicht in der BRD geschaltet sind. Zlob.DNSChanger wird fast immer mit einem Rootkit installiert, der für die Änderungen der NameServer verantwortlich ist. Hat Zlob.DNSChanger.rtk angeschlagen?
Bitte beachte z.B. folgende News-Seite auf Heise: http://www.heise.de/newsticker/Troja...meldung/120115
Ich benoetige daher einen Bug Report bzw. Spybot-S&D Systembericht.
Dazu bitte einmal: Bitte Spybot-S&D starten und ueber den Menuepunkt 'Modus' in den 'Erweiterten Modus' wecheseln. In 'Werkzeuge -> Bericht anzeigen', auf den Knopf 'Bericht anzeigen' klicken, und dann den angezeigten Bereicht in eine Text-Datei exportieren. Bitte die Datei an uns senden detections@spybot.info.
Hier finden Sie eine Flash Animation die Ihnen zeigt, wie Sie einen Bug Report erstellen: http://www.safer-networking.org/flas...pybotsd-de.htm
3) In dem Log findet sich die Zeile
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - E:\Player\__CDS2.dll (file missing)
Castlecops stuft die CLSID als "open to debate" ein: http://www.castlecops.com/o18list-84.html. Liegen in dem Verzeichnis E:\Player\ weitere Dateien?
Viele Gruesse,
Roberto.
-
Hallo!
Erstmal vielen Dank für die schnellen Antworten.. :)
1)
Der Wert des DhcpNameServer ist bei mir
85.255.112.110 85.255.112.104
Nach dem was ich bisher gelesen habe, vermute ich mal, dass das nicht gut ist..
2)
Ein Zlob.DNSChanger.rtk hat nicht angeschlagen. Die beiden von mir geposteten Probleme waren die einzigen, die Spybot gemeldet hat. Auch AntiVir hat bei einer Suche nach Rootkits nichts gefunden.
Den Systembericht habe ich erstellt und euch gerade zugesandt.
3)
Das Laufwerk E:\ ist mein CD/DVD-Laufwerk und darin befindet sich ja eigentlich gar kein weiterer Ordner, wenn keine CD eingelegt ist. Keine Ahnung also wie der in die Auflistung kommt.
Aber was bedeutet denn das "open to debate" in diesem Fall?
Noch mal besten Dank für die Hilfe und liebe Grüße.
/fradiot
-
"open to debate" bedeutet in diesem Fall, das man sich noch nicht einig ist, was man zu der DAtei empfehlen soll. Da diese DAtei bei dir nicht mehr vorhanden ist, kannst du den O18 Eintrag in Hijackthis anhaken und fix checked druecken.
In Bezug auf deinen DNS-Changer warten wir am besten, was die Recherche ergibt.
-
Hallo fradiot,
es liegt kein Fehlarlarm vor. Du hast dir vermutlich ein Zlob-Rootkit eingefangen.
zu 1) 85.255.112.110 und 85.255.112.104 sind betrügerische DNS-Server und bekannte Malwareverbreiter.
zu 2) Dein Systembericht ist in Bearbeitung.
zu 3) Stimme raman zu. Eintrag sicherheitshalber entfernen.
Registry path: \SYSTEM\CurrentControlSet\Services\
Display name: 5b211694-16a2-4748-ba00-70b93c72e2ea
Image path: \??\E:\Player\cds300.dll
Dieser Service wird nur bei Bedarf gestartet. Sucht man im Internet nach dieser Datei, so zeigt sich, dass der Display-Name einen zufällig generierten Wert hat. Ich halte das für verdächtig. Wäre an der Datei interessiert, falls die jemand hat. Bitte an detections@spybot.info senden. Danke vorab.
Viele Gruesse,
Robert.
-
Hallo!
Oh, das sind ja keine guten Nachrichten. Hoffe, ihr findet eine Lösung..
Den O18 Eintrag habe ich jedenfalls entfernt. Weiß man, woher das gekommen sein könnte bzw. was das überhaupt war?
Danke und liebe Grüße.
/fradiot
-
Hallo,
> Weiß man, woher das gekommen sein könnte bzw. was das überhaupt war?
Castlecops führt als Beschreibung "CDS protection" auf. Vielleicht ist das ein Kopierschutz?
{AD43AA67-6860-4531-AC8A-0E68F9CF023E}: E:\Player\__CDS2.dll (file missing)
{5b211694-16a2-4748-ba00-70b93c72e2ea}: E:\Player\cds300.dll (file missing)
Die obere GUID ist bekannt. Die untere GUID wurde zufällig generiert.
Die Pfad- und Dateinamen sind auch in anderen Userlogs zu finden.
Ich empfehle bei Zlob.DNSChanger immer einen Scan mit dem RootAlyzer.
Viele Gruesse,
Roberto.