| |
| |||||||
Log-Analyse und Auswertung: autorun.inf + dns server schäden (?) + andere malware?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.10.2008, 22:44
| #1 |
| |  autorun.inf + dns server schäden (?) + andere malware? hi leute, seit ein paar tagen habe ich ein paar probleme mit viren/trojanern. irgendwie habe ich mir wohl diesen autorun.inf trojaner geholt, den ich gerade dabei bin nach anleitung die ich hier im forum gefunden habe, malwarebyte läuft gerade und ich hoffe es wird funktionieren. jedenfalls weiß ich a) nicht welche schäden er hinterlassen hat (es geht um eine externe fesplatte), sprich ob er an das internet sendet über ominöse dns server und b) ganz ALLGEMEIN nicht ob ich andere spy/malware auf meinem pc dadurch geladen habe. ich hoffe ihr könnt an meiner ipconfig/displaydns etwas erkennen: Code:
ATTFilter Windows-IP-Konfiguration
ww-download-antivirus.com
----------------------------------------
Eintragsname. . . . . : www-download-antivirus.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
virgiio.it
----------------------------------------
Eintragsname. . . . . : virgiio.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
ww.virdgilio.it
----------------------------------------
Eintragsname. . . . . : www.virdgilio.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
ww.tuttograatis.it
----------------------------------------
Eintragsname. . . . . : www.tuttograatis.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
spywarebot-t.com
----------------------------------------
Eintragsname. . . . . : spywarebot-t.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
spermatrix.com
----------------------------------------
Eintragsname. . . . . : spermatrix.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
smart-antivirus2009buy.com
----------------------------------------
Eintragsname. . . . . : smart-antivirus2009buy.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
ww.searchfromyourbrowser.net
----------------------------------------
Eintragsname. . . . . : www.searchfromyourbrowser.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
ww.rosaoalice.it
----------------------------------------
Eintragsname. . . . . : ww.rosaoalice.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
paginegialler.it
----------------------------------------
Eintragsname. . . . . : paginegialler.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
ww.nicecodec.net
----------------------------------------
Eintragsname. . . . . : ww.nicecodec.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
ww.mylimewirenetwork.com
----------------------------------------
Eintragsname. . . . . : ww.mylimewirenetwork.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 598458
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1
hijack this: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:42:40, on 13.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Malwarebytes' Anti-Malware\mbam.exe D:\Programme\MIRANDA\miranda32.exe C:\WINDOWS\system32\cmd.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3310 bytes wäre euch sehr verbunden, da ich noch damit wenig erfahrung habe und mir meine bescheidenen "kenntnisse" fast ausschließlich über forensuche hier angehäuft habe. gruß, alex edit: malwarebyte nach prüfung: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1266 Windows 5.1.2600 Service Pack 3 13.10.2008 23:58:11 mbam-log-2008-10-13 (23-58-11).txt Scan-Methode: Vollständiger Scan (C:\|D:\|I:\|) Durchsuchte Objekte: 165408 Laufzeit: 1 hour(s), 46 minute(s), 52 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: I:\System Volume Information\_restore{170212A4-34D0-4FD9-AC00-C61B857DD45F}\RP26\A0010181.EXE (Trojan.Agent) -> Quarantined and deleted successfully. I: = externe platte mit dem autorun EDIT 2: nach neustart ist der autorun trojaner scheinbar weg von der externen festplatte. ich kann alle partitionen und die externe ganz normal öffnen, ich kopiere nun daten von der externen auf die hdd , da ich denke, dass nach der gesamten prüfung alles ok sein müsste mit ihr. das einzige was mir sorgen macht ist das ipconfig/displaydns ...... diese adressen gefallen mir gar nicht. wie kann ich dem vorbeugen? bzw wie kann ich nun gewissheit haben, dass mein system sauber ist? ich kann euch auch aktuelle logs von allem was ihr wollt geben =) Geändert von al3x (13.10.2008 um 23:09 Uhr) |
|
14.10.2008, 13:11
| #2 |
| | autorun.inf + dns server schäden (?) + andere malware? so, aktueller log;
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:07:58, on 14.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe D:\Programme\MIRANDA\miranda32.exe D:\Programme\Winamp\winamp.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3221 bytes und die dns: C:\Dokumente und Einstellungen\****>ipconfig/displaydns Windows-IP-Konfiguration ww-download-antivirus.com ---------------------------------------- Eintragsname. . . . . : ww-download-antivirus.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 virgiio.it ---------------------------------------- Eintragsname. . . . . : virgiio.it Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 ww.virdgilio.it ---------------------------------------- Eintragsname. . . . . : ww.virdgilio.it Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 ww.tuttograatis.it ---------------------------------------- Eintragsname. . . . . : ww.tuttograatis.it Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 spywarebot-t.com ---------------------------------------- Eintragsname. . . . . : spywarebot-t.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 spermatrix.com ---------------------------------------- Eintragsname. . . . . : spermatrix.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 smart-antivirus2009buy.com ---------------------------------------- Eintragsname. . . . . : smart-antivirus2009buy.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 ww.searchfromyourbrowser.net ---------------------------------------- Eintragsname. . . . . : ww.searchfromyourbrowser.net Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 ww.rosaoalice.it ---------------------------------------- Eintragsname. . . . . : ww.rosaoalice.it Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 paginegialler.it ---------------------------------------- Eintragsname. . . . . : paginegialler.it Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 www.nicecodec.net ---------------------------------------- Eintragsname. . . . . : ww.nicecodec.net Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 ww.mylimewirenetwork.com ---------------------------------------- Eintragsname. . . . . : ww.mylimewirenetwork.com Eintragstyp . . . . . : 1 Gültigkeitsdauer. . . : 603667 Datenlänge. . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag. . : 127.0.0.1 also die letzere gefällt mir mal gar nicht..... könnt ihr mir sagen ob mein pc irgendwie etwas sendet bzw etwas infiziertes lädt? bzw wenn nicht, wie ich es zuverlässig überprüfen kann? gruß |
|
14.10.2008, 20:41
| #3 |
| | autorun.inf + dns server schäden (?) + andere malware? kann keiner diese dns server beurteilen? und die hijack logfile?
__________________ |
|
20.10.2008, 12:52
| #4 |
| | autorun.inf + dns server schäden (?) + andere malware? einmal würde ich diese frage zum dns server nochmal gerne in die runde stellen, dann bin ich still  |
|
| Themen zu autorun.inf + dns server schäden (?) + andere malware? |
| 1.exe, avira, dateien, dll, explorer, externe platte, firefox, hijack.startmenu, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, logfiles, malware, malware?, malwarebytes, malwarebytes' anti-malware, microsoft, monitor, mozilla, neustart, nvidia, programme, registrierungsschlüssel, rundll, server, software, suche, system, system volume information, vorbeugen, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
