Trojan.DNSChange Removal Instructions

[Paule]

Autor: Mopao

Trojan.DNSChange Removal Instructions

Symptome

Der Trojan.DNSChange verursacht folgende Veränderungen im PC:

• Google suche wird umgeleitet.
• Popup-Fenster tauchen auf.
• Internet Startseite wird geändert.
• Die Host Datei %systemroot%\System32\drivers\etc\hosts wird manipuliert.
• Erweiterungen bei bekannten Dateitypen (ausblenden) lassen sich nicht mehr unter Ordneroptionen anzeigen.
• Geschützte Systemdateien (ausblenden) lassen sich nicht mehr unter Ordneroptionen anzeigen.
• Bildschirmschroner und Design werden manipuliert.

Diagnose

Folgende Veränderungen sind bei Trojan.DNSChangean erkennbar:

• O4
  
  Zitat:

  O4 - HKLM\..\Run: [FD9.tmp] %systemroot%\temp\FD9.tmp

• O17
  
  Zitat:

  O17 - HKLM\System\CCS\Services\Tcpip\..\{A1182AD5-1A8A-4948-B4D8-24DA82D908C3}: NameServer = 85.255.116.92,85.255.112.175
  O17 - HKLM\System\CCS\Services\Tcpip\..\{74ED1C19-5AF5-43FB-ACA3-11AEE0785420}: NameServer = 85.255.113.141,85.255.112.145
  O17 - HKLM\System\CCS\Services\Tcpip\..\{F048939C-CB37-4617-A411-E59EAED43C69}: NameServer = 85.255.113.141,85.255.112.145
  O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.145
  O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.145
  O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.145

• O23
  
  Code:

  O23 - Service: Windows Tribute Service - Unknown owner - %systemroot%\system32\kdgsb.exe

Registry Entry

• O4
  
  Code:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  "FD9.tmp"="%systemroot%\temp\FD9.tmp"

• O17
  
  Code:

  [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{EBD3850B-1C02-497C-9FF0-4E0219C8E3F7}]
  "NameServer"="85.255.113.141 85.255.112.1458"
  "DhcpNameServer"="85.255.113.141 85.255.112.145"
  [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{EBD3850B-1C02-497C-9FF0-4E0219C8E3F7}]
  "NameServer"="85.255.116.92,85.255.112.175"
  "DhcpNameServer"="85.255.116.92,85.255.112.175"
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{EBD3850B-1C02-497C-9FF0-4E0219C8E3F7}]
  "NameServer"="85.255.112.116;85.255.112.158"
  "DhcpNameServer"="85.255.112.116;85.255.112.158"

• O23
  
  Code:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Tribute Service

Entfernung

• Malwarebytes Anti-Malware
  • Lade die Datei Malwarebytes auf den Desktop.
  • Installiere Malwarebytes Anti-Malware.
  • Führe eine Programmaktualisierung durch.
  • Vollständigen Systemscan durchführen.
  
  
  
  
• ComboFix.exe
  • Lade die Datei ComboFix.exe auf den Desktop.
  • Deaktiviere das Anti-Virus Programm.
  • Alle Programme schließen.
  • ComboFix.exe doppelklicken und den Anweisungen folgen.
  • Installation der Wiederherstellungskonsole zustimmen, falls dazu aufgefordert wird.
  • Den Anweisungen weiter folgen.
  • Poste den Inhalt der Datei C:\ComboFix.txt im Forum Thread.
  
  
• HostsXpert
  • Lade die Datei HostsXpert auf den Desktop und entpacke sie.
  • Ordner HostsXpert öffnen.
  • HostsXpert.exe doppelklicken.
  • Klicke auf Restore Microsoft's Hosts File, dann OK. (siehe Bild unten)
  
  
• GMER
  • Lade die Datei GMER auf den Desktop und entpacke sie.
  • Ordner GMER öffnen.
  • gmer.exe doppelklicken.
  • Wähle nun den Reiter Rootkit/Malware.
  • Alle Haken setzen (siehe Bild unten)
  • Hinweise mit Nein bzw. No beantworten.
  • Den Button Scan klicken.
  • Wenn der Scan abgeschlossen ist klicke auf Copy, um das Log zu kopieren.
  • Poste das Log im Forum Thread.
  
  
  
  
• Eigenschaften von InternetProtokoll
  Kontrolliere unter bevorzugten DNS Server oder alternativ DNS Server ob eine unbekannte IP-Adresse (85.255.113.141) eingetragen ist, diese ggf. löschen.

Nach der Reinigung alle wichtigen Passwörter ändern!