Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 11.02.2009, 17:37   #1
schgucke
 
Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz - Standard

Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz



Guten Tag!

Seit mehreren Wochen updatet Antivir nicht mehr, seit kurzem leitet Google auf falsche Seiten weiter. Habe ein HijackThis-Log gemacht und
Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\..\{26686A29-AE20-48A0-92E2-861A6A4016A8}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EFA8318-5BF8-43E9-A8CD-2120855710B8}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{26686A29-AE20-48A0-92E2-861A6A4016A8}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146,85.255.112.225
         
sofort gefixxt.
Außerdem hatte ich auf jeder Partition eine "resycled/boot.com" sowie "autorun.inf". Nach einem Antivir-Scan (habe das manuell geupdatet), der mehrere AutoTDSS.QN in den "boot.com"-Dateien sowie einigen Dateien im Temp-Ordner und 4x Drop.Vb.igz gefunden & in Quarantäne verschoben hat, hab ich alle "boot.com" und "autorun.inf" gelöscht.

Leider ist das Updaten mit Antivir immer noch nicht möglich. Google leitet zwar nicht mehr falsch weiter, braucht aber immer noch ca. 5-10 sek um ein Suchergebnis anzuzeigen. ZoneAlarm zeigt aber immer noch ab und an, wenn ich Firefox öffne, eine geblockte Verbindung nach "85.255.112.69:53" an.
Ich gehe also davon aus, dass sich noch was auf meinem PC befindet, was nicht dort hin gehört.

Ein aktuelles HijackThis-Log (ohne die bereits gefixxten O17's):
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:44, on 11.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
G:\ICQ6\ICQ.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
G:\mIRC\mirc.exe
G:\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Adobe Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] G:\Winamp\winampa.exe
O4 - HKCU\..\Run: [ICQ] "G:\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [AlcoholAutomount] "G:\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\ICQ6\ICQ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3980 bytes
         
Der Download von Malwarebytes war nicht möglich ("Der Server unter w*w.malwarebytes.org konnte nicht gefunden werden."), weiß nicht ob das damit zusammenhängt.

Wäre sehr dankbar für eure Hilfe.
MfG Schgucke

//edit: Ebenfalls von Antivir gefunden wurden "Crypt.XPACK.Gen", "TDss.AZ.139", "Fakealert.auf.51", "Agent2.KK", "Dropper.Gen", "Patched.CK.56", "ATRAPS.Gen". Alle in Quarantäne verschoben. Ganz schön viel.. o_O

Alt 12.02.2009, 00:33   #2
schgucke
 
Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz - Standard

Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz



Ich denke, ich habs mit Malwarebytes weg gekriegt.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 2

11.02.2009 22:19:03
mbam-log-2009-02-11 (22-18-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|L:\|)
Durchsuchte Objekte: 231625
Laufzeit: 2 hour(s), 33 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\msqpdxibphextu.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxfnubsvio.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxkayqypao.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxkcttorrn.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxtehypktk.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxyvbxhpro.sys (Trojan.Agent) -> No action taken.
         
Anti-Vir lässt sich wieder updaten, die Internetverbindung hat wieder ihre alte - 10mal so schnelle - Geschwindigkeit und (das hab ich vorhin ganz vergessen): Ich kann wieder auf die Alice-Box zugreifen.

Sollte ich da noch was absichern?
__________________


Antwort

Themen zu Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz
.com, ad-aware, adobe, antivir, antivirus, avira, bho, crypt.xpack.gen, dll, dropper.gen, explorer, falsche seite, firefox, google, hijack, hkus\s-1-5-18, internet, internet explorer, logfile, monitor, nicht gefunden, nvidia, plug-in, programme, rundll, seiten, system, temp-ordner, windows, windows xp




Ähnliche Themen: Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz


  1. GVU Trojaner-Problem!(Exploit.Drop.GS;Exploit.drop.GSA;trojan.ransom.SUGen;--->Malwarebytes-Funde)
    Plagegeister aller Art und deren Bekämpfung - 02.03.2013 (6)
  2. GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (3)
  3. TR/Drop.Injector.fonv.1, TR/Drop.Injector.fnus.1, EXP/2012-1723.DG.1
    Plagegeister aller Art und deren Bekämpfung - 23.08.2012 (17)
  4. Trojaner gefunden: TR/Drop.fra.2168720', TR/Drop.fra.2168720' u 'TR/Dldr.Client.kiu
    Plagegeister aller Art und deren Bekämpfung - 09.08.2009 (3)
  5. TR/Drop.VB.lhn.6
    Log-Analyse und Auswertung - 18.07.2009 (5)
  6. TR/Drop.Peace.CP
    Plagegeister aller Art und deren Bekämpfung - 21.06.2009 (1)
  7. TR/Drop.Agent.wle
    Plagegeister aller Art und deren Bekämpfung - 05.06.2009 (4)
  8. drop agent gna 2
    Log-Analyse und Auswertung - 19.05.2009 (9)
  9. TR/Crypt.XPACK.Gen'/ TR/Drop.Agent.qkm/ TR/Drop.Mudr.CY.305...alles seit heut morgen!
    Plagegeister aller Art und deren Bekämpfung - 06.04.2009 (8)
  10. Multitrojanerbefall Vundo.Gen/Patched.DY.1/Agent.avjo/AutoTDSS.big
    Plagegeister aller Art und deren Bekämpfung - 22.01.2009 (4)
  11. WORM/AutoTDSS.PY
    Plagegeister aller Art und deren Bekämpfung - 21.01.2009 (1)
  12. TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (13)
  13. Trojanerfund Drop.Agent.dgo.8 und Drop.Agent.dgo.21
    Log-Analyse und Auswertung - 03.01.2008 (5)
  14. TR/Drop.Small.bke.2
    Plagegeister aller Art und deren Bekämpfung - 22.10.2005 (1)
  15. tr/drop.bancos.bg.1
    Plagegeister aller Art und deren Bekämpfung - 22.09.2005 (2)
  16. TR/Drop.Bancos.BG.1
    Plagegeister aller Art und deren Bekämpfung - 14.09.2005 (12)
  17. TR/Drop. Apropo. AB
    Plagegeister aller Art und deren Bekämpfung - 23.07.2005 (3)

Zum Thema Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz - Guten Tag! Seit mehreren Wochen updatet Antivir nicht mehr, seit kurzem leitet Google auf falsche Seiten weiter. Habe ein HijackThis-Log gemacht und Code: Alles auswählen Aufklappen ATTFilter O17 - HKLM\System\CCS\Services\Tcpip\..\{26686A29-AE20-48A0-92E2-861A6A4016A8}: - Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz...
Archiv
Du betrachtest: Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.