Results 1 to 8 of 8

Thread: Zlob.DNSChanger

  1. #1
    Junior Member
    Join Date
    Dec 2008
    Location
    Malmö
    Posts
    3

    Default Zlob.DNSChanger

    Hallo!

    Ich habe schon eine ganze Weile hier im Forum herumgesucht, aber keiner der bisherigen Threads hilft mir so richtig weiter. Deshalb habe ich mich jetzt mal angemeldet und hoffe, dass mir jemand ein paar Tipps geben kann.

    Also: Ich habe Probleme mit dem Trojaner Zlob.DNSChanger. Nicht so schwerwiegende wie anderswo beschrieben, aber mir werden auf bestimmten Seiten (z.B. dict.leo.org) immer wieder Werbe-Pop-Ups eingeblendet, welche ich gerne loswerden würde. Spybot findet beim Durchsuchen des Systems eben diesen Zlob.DNSChanger und kann das Problem auch beseitigen, aber beim nächsten Aufrufen ist es wieder da (und die Pop-Ups verschwinden auch nie).

    Das hier sagt Spybot (Version: 1.6.0) nach der Überprüfung des Systems:
    --- Search result list ---


    Zlob.DNSChanger: [SBI $041D1396] TCP/IP Settings #1 (Undefined) (Registrierungsdatenbank-Änderung, nothing done)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer=208.67.220.220,208.67.222.222

    Zlob.DNSChanger: [SBI $041D1396] TCP/IP Settings #2 (Undefined) (Registrierungsdatenbank-Änderung, nothing done)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{20E5C954-E41E-48B3-9722-42EC9C330D4B}\DhcpNameServer=208.67.220.220,208.67.222.222

    Mein HijackThis Logfile sieht folgendermaßen aus:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:06:34, on 08.12.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\tsnp2std.exe
    C:\WINDOWS\vsnp2std.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Skype\Phone\Skype.exe
    F:\Vorübergehend\Advent\Advent.exe
    C:\Acer\eManager\anbmServ.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Skype\Plugin Manager\skypePM.exe
    C:\Programme\Mozilla Thunderbird\thunderbird.exe
    C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
    C:\Programme\Winamp\winamp.exe
    C:\Programme\Last.fm\LastFM.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://webmailcluster.1und1.de/xml/...=1207604745058
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
    O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Advent.lnk = ?
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1207603738916
    O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - E:\Player\__CDS2.dll (file missing)
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

    --
    End of file - 7362 bytes


    Dankes schonmal für jeden Tipp zur Lösung des Problems..

    /fradiot

  2. #2
    Expert-Visiting Fellow
    Join Date
    Oct 2005
    Location
    Nordhorn/Germany
    Posts
    853

    Default

    Hallo fradiot,


    das muss sich mal einer der Programmierer ansehen, das sieht mehr nach Fehlalarm aus...
    MfG Ralf

  3. #3
    Member of Team Spybot roberto's Avatar
    Join Date
    Oct 2005
    Posts
    59

    Default

    Hallo fradiot,

    Um zu klären, ob ein Fehlalarm vorliegt bitte folgende Schritte ausführen:

    1) regedit.exe aufrufen.

    Über Start/Ausführen/regedit.exe starten.

    Bitte einmal zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
    durchklicken und den Wert der Zeichenfolge "DhcpNameServer" hier posten.

    Ist das tatsaechlich der von dir gewünschte Server?

    2) Zlob.DNSChanger wird nur gefunden, wenn ein NameServer auf einen unerlaubten Wert geändert wird, der im Adressraum von Malwareservern liegt, die typischerweise nicht in der BRD geschaltet sind. Zlob.DNSChanger wird fast immer mit einem Rootkit installiert, der für die Änderungen der NameServer verantwortlich ist. Hat Zlob.DNSChanger.rtk angeschlagen?

    Bitte beachte z.B. folgende News-Seite auf Heise: http://www.heise.de/newsticker/Troja...meldung/120115

    Ich benoetige daher einen Bug Report bzw. Spybot-S&D Systembericht.

    Dazu bitte einmal: Bitte Spybot-S&D starten und ueber den Menuepunkt 'Modus' in den 'Erweiterten Modus' wecheseln. In 'Werkzeuge -> Bericht anzeigen', auf den Knopf 'Bericht anzeigen' klicken, und dann den angezeigten Bereicht in eine Text-Datei exportieren. Bitte die Datei an uns senden detections@spybot.info.

    Hier finden Sie eine Flash Animation die Ihnen zeigt, wie Sie einen Bug Report erstellen: http://www.safer-networking.org/flas...pybotsd-de.htm

    3) In dem Log findet sich die Zeile
    O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - E:\Player\__CDS2.dll (file missing)

    Castlecops stuft die CLSID als "open to debate" ein: http://www.castlecops.com/o18list-84.html. Liegen in dem Verzeichnis E:\Player\ weitere Dateien?

    Viele Gruesse,
    Roberto.

  4. #4
    Junior Member
    Join Date
    Dec 2008
    Location
    Malmö
    Posts
    3

    Default

    Hallo!

    Erstmal vielen Dank für die schnellen Antworten..

    1)
    Der Wert des DhcpNameServer ist bei mir
    85.255.112.110 85.255.112.104

    Nach dem was ich bisher gelesen habe, vermute ich mal, dass das nicht gut ist..

    2)
    Ein Zlob.DNSChanger.rtk hat nicht angeschlagen. Die beiden von mir geposteten Probleme waren die einzigen, die Spybot gemeldet hat. Auch AntiVir hat bei einer Suche nach Rootkits nichts gefunden.

    Den Systembericht habe ich erstellt und euch gerade zugesandt.

    3)
    Das Laufwerk E:\ ist mein CD/DVD-Laufwerk und darin befindet sich ja eigentlich gar kein weiterer Ordner, wenn keine CD eingelegt ist. Keine Ahnung also wie der in die Auflistung kommt.
    Aber was bedeutet denn das "open to debate" in diesem Fall?

    Noch mal besten Dank für die Hilfe und liebe Grüße.
    /fradiot

  5. #5
    Expert-Visiting Fellow
    Join Date
    Oct 2005
    Location
    Nordhorn/Germany
    Posts
    853

    Default

    "open to debate" bedeutet in diesem Fall, das man sich noch nicht einig ist, was man zu der DAtei empfehlen soll. Da diese DAtei bei dir nicht mehr vorhanden ist, kannst du den O18 Eintrag in Hijackthis anhaken und fix checked druecken.

    In Bezug auf deinen DNS-Changer warten wir am besten, was die Recherche ergibt.
    MfG Ralf

  6. #6
    Member of Team Spybot roberto's Avatar
    Join Date
    Oct 2005
    Posts
    59

    Default

    Hallo fradiot,

    es liegt kein Fehlarlarm vor. Du hast dir vermutlich ein Zlob-Rootkit eingefangen.

    zu 1) 85.255.112.110 und 85.255.112.104 sind betrügerische DNS-Server und bekannte Malwareverbreiter.

    zu 2) Dein Systembericht ist in Bearbeitung.

    zu 3) Stimme raman zu. Eintrag sicherheitshalber entfernen.

    Registry path: \SYSTEM\CurrentControlSet\Services\
    Display name: 5b211694-16a2-4748-ba00-70b93c72e2ea
    Image path: \??\E:\Player\cds300.dll

    Dieser Service wird nur bei Bedarf gestartet. Sucht man im Internet nach dieser Datei, so zeigt sich, dass der Display-Name einen zufällig generierten Wert hat. Ich halte das für verdächtig. Wäre an der Datei interessiert, falls die jemand hat. Bitte an detections@spybot.info senden. Danke vorab.

    Viele Gruesse,
    Robert.
    Please help us improving Spybot and download our distributed testing client.

  7. #7
    Junior Member
    Join Date
    Dec 2008
    Location
    Malmö
    Posts
    3

    Default

    Hallo!

    Oh, das sind ja keine guten Nachrichten. Hoffe, ihr findet eine Lösung..

    Den O18 Eintrag habe ich jedenfalls entfernt. Weiß man, woher das gekommen sein könnte bzw. was das überhaupt war?

    Danke und liebe Grüße.
    /fradiot

  8. #8
    Member of Team Spybot roberto's Avatar
    Join Date
    Oct 2005
    Posts
    59

    Default

    Hallo,

    > Weiß man, woher das gekommen sein könnte bzw. was das überhaupt war?

    Castlecops führt als Beschreibung "CDS protection" auf. Vielleicht ist das ein Kopierschutz?

    {AD43AA67-6860-4531-AC8A-0E68F9CF023E}: E:\Player\__CDS2.dll (file missing)
    {5b211694-16a2-4748-ba00-70b93c72e2ea}: E:\Player\cds300.dll (file missing)

    Die obere GUID ist bekannt. Die untere GUID wurde zufällig generiert.
    Die Pfad- und Dateinamen sind auch in anderen Userlogs zu finden.

    Ich empfehle bei Zlob.DNSChanger immer einen Scan mit dem RootAlyzer.

    Viele Gruesse,
    Roberto.
    Please help us improving Spybot and download our distributed testing client.

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •