Trojaner HKLM\System\CCS\Services\Tcpip\Parameters: NameServer

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von KiLLeR/Style, 28. März 2009 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 28. März 2009
    sers leute !

    Dickes Problem bei mir !
    Ich hab ein echt harten trojaner brpcken auf dem rechner, ich weiss wo genau er ist, aber ich kann den iwie nicht löschen mein Antivirus Programm schafft es auch nicht zu löschen! er findet das zwar aber löschen tut es nicht...

    Anti-Virus Programme die ich jetzt neu installiert habe um den Virus in den ar.. tretten zu können
    helfen auch nicht : Kasperskij, Ad-Aware SE Proffesional und Anti-Trojan 5.5
    !

    Wie ich denn Virus entdeckt habe? ganz interessant:
    eines tages (jetzt vor kurzem) wollte ich mal wieder ein film schaun.. tja geht schlecht wenn man auf seine eigene Platte nicht mehr zugreifen kann! -.- Die meldung die da kommt ist folgende und kommt immer wieder sobald ich auf platte gehen will > D:\resycled\boot.com ist keine zulässige Win32-Anwendung. kurze zeit danach sprang mein Kasperskij wie verrückt...der hatt was von win32 erwähnt.
    aber wenn man paar minuten immer wieder auf drauf zugreifen versucht sind ca 50 -100 fehlermeldungen, irgendwann kann man rauf.
    aber das war nur die eine ursache wie ich auf den virus gekommen bin, da war noch was... hatte jede halbe stunde pc absturz. (antivirus findet immer wieder denn gleichen trojaner und ich lösche es aber er findet es immer wieder.. was das nur ist , ich hab auch iwo bin ich mit ganz sicher gesehen das da son trojaner downloader sei)

    seid gestern habe ich keine abstürtze mehr weil ich schon paar mal meine Programmen durchlaufen lassen habe.
    aber dennoch! ich kann immer noch nicht auf platten zugreifen um meine filme etc anzuschaun...-.-
    Ach ja! meine Wiederherstellungkonsole funktioniert auch nicht mehr..
    kann da wer weiter helfen? Aktueller HijackThis Logfile ist

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:39:03, on 28.03.2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Programme\ICQ6Toolbar\ICQ Service.exe
    D:\Programme\Java\jre6\bin\jqs.exe
    D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    D:\WINDOWS\system32\nvsvc32.exe
    D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    D:\WINDOWS\System32\TUProgSt.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\RUNDLL32.EXE
    D:\WINDOWS\RTHDCPL.EXE
    D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    D:\Programme\Java\jre6\bin\jusched.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    D:\Programme\Mozilla Firefox\firefox.exe
    D:\Dokumente und Einstellungen\Administrator\Desktop\Rapidshare Downloader + Multi Stream Downloader\RSD 0.6\RSD.exe
    D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
    D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
    D:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Search
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    R3 - URLSearchHook: (no name) - - (no file)
    R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [AWMON] "D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3D7A6667-7C6E-44FB-B669-4B898255CBD7}: NameServer = 85.255.116.109,85.255.112.103
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4172267D-905E-4FE9-A59D-9C878B410234}: NameServer = 85.255.115.91,85.255.112.6
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C51A0-02EF-4287-BB0D-64E45BD46F4B}: NameServer = 85.255.114.5,85.255.112.147
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6
    O17 - HKLM\System\CS2\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6
    O17 - HKLM\System\CS3\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
    O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: ICQ Service - Unknown owner - D:\Programme\ICQ6Toolbar\ICQ Service.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - D:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - D:\WINDOWS\System32\TUProgSt.exe

    --
    End of file - 9285 bytes


    brauche dringend eure hilfe



    lg killer/style
     
  3. 28. März 2009
    AW: Trojaner Downloader

    fixxen:

    R3 - URLSearchHook: (no name) - - (no file)

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6

    O17 - HKLM\System\CS3\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5

    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6

    O17 - HKLM\System\CS2\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5

    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6

    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C51A0-02EF-4287-BB0D-64E45BD46F4B}: NameServer = 85.255.114.5,85.255.112.147

    O17 - HKLM\System\CCS\Services\Tcpip\..\{4172267D-905E-4FE9-A59D-9C878B410234}: NameServer = 85.255.115.91,85.255.112.6

    O17 - HKLM\System\CCS\Services\Tcpip\..\{3D7A6667-7C6E-44FB-B669-4B898255CBD7}: NameServer = 85.255.116.109,85.255.112.103

    O17 - HKLM\System\CCS\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.

    wenn die ips von O17 iwie zu dir gehören..dann lass die einträge

    achja.. bei Verdacht auf nen Trojaner würd ich das fixxen sein lasssen->formatieren und neu Aufsetzen
    dann biste zu 99% wieder clean
     
  4. 28. März 2009
    AW: Trojaner Voll und Ganz auf mein Rechner!

    Ach ich bin sowieso am ars... Kasperskij meinte das das Programm auf sich hatt meine Daten weiter zu geben und mein Freien Platz nutzen zu können und für irgenwelche illigallen zwecke

    auf dem rechner ist eigl nichts womit man was anfangen kann also persöhnliche datein und sowas.
     
  5. 28. März 2009
    AW: Trojaner Downloader

    R3 - URLSearchHook: (no name) - - (no file) Fixxen

    O17 - HKLM\System\CCS\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 Fixxen

    O17 - HKLM\System\CCS\Services\Tcpip\..\{3D7A6667-7C6E-44FB-B669-4B898255CBD7}: NameServer = 85.255.116.109,85.255.112.103 Fixxen

    O17 - HKLM\System\CCS\Services\Tcpip\..\{4172267D-905E-4FE9-A59D-9C878B410234}: NameServer = 85.255.115.91,85.255.112.6 Fixxen

    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C51A0-02EF-4287-BB0D-64E45BD46F4B}: NameServer = 85.255.114.5,85.255.112.147 Fixxen

    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 Fixxen

    O17 - HKLM\System\CS2\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 Fixxen

    O17 - HKLM\System\CS3\Services\Tcpip\Parame ters: NameServer = 85.255.115.91,85.255.112.6 Fixxen

    O17 - HKLM\System\CS3\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 Fixxen

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 Fixxen



    Viren Scanner:
    Pc neu Starten und im Abgesicherten modus hochfahren lassen, Danach Anti Vir Starten und scannen lassen, dann sollte der Virus gelöscht sein... nochmals danach adware drüberfahren lassen...

    anosnten würde ich da Formatieren bei so einem Trojaner/Virus.
     
  6. 28. März 2009
    AW: Trojaner Downloader

    Wenn er sich nicht löschen lässt dann zieh mal Lan Kabel raus und schalt Wlan ab, je nachdem
    wie du verbunden bist und versuch ihn dann nochma zu löschen. Die HighjackThis Einträge wie
    oben angegeben auch mal fixxen und wenn garnix hilft dann formatieren
     
  7. 28. März 2009
    AW: Trojaner Downloader

    Code:
    D:\Dokumente und Einstellungen\Administrator\Desktop\Rapidshare Downloader + Multi Stream Downloader\RSD 0.6\RSD.exe
    Wenn ich sowas schon wieder les. Hättest du mal lieber mit nem eingeschränkten Konto gearbeitet, dann hätte der Trojan nämlich gar keine Rechte gehabt sich ins System einzuhaken.. Aber naja, Bequemlichkeit geht wohl vor

    An deiner Stelle würd ich meine wichtigen Daten sichern (natürlich ohne den Trojaner ^^) und danach formatieren. Du kannst dir nie sicher sein, dass du ihn ganz los bist außerdem hat er wahrscheinlich schon dein ganzes System zerstört..
     
  8. 28. März 2009
    AW: Trojaner HKLM\System\CCS\Services\Tcpip\Parameters: NameServer

    ihr wisst ja gar nicht was ich schon alles gemacht habe..
    hab schon ohne/mit Internet gescannt aber es hilft nichts.
    ich gebe es auf.. muss wohl formatieren.

    aber dicken dank an alle die sich hier gemeldet haben!
    bw raus!
     
  9. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.