Guten Tag!

Seit mehreren Wochen updatet Antivir nicht mehr, seit kurzem leitet Google auf falsche Seiten weiter. Habe ein HijackThis-Log gemacht und

Code: Alles auswählenAufklappen

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{26686A29-AE20-48A0-92E2-861A6A4016A8}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EFA8318-5BF8-43E9-A8CD-2120855710B8}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{26686A29-AE20-48A0-92E2-861A6A4016A8}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146,85.255.112.225
         

sofort gefixxt.
Außerdem hatte ich auf jeder Partition eine "resycled/boot.com" sowie "autorun.inf". Nach einem Antivir-Scan (habe das manuell geupdatet), der mehrere AutoTDSS.QN in den "boot.com"-Dateien sowie einigen Dateien im Temp-Ordner und 4x Drop.Vb.igz gefunden & in Quarantäne verschoben hat, hab ich alle "boot.com" und "autorun.inf" gelöscht.

Leider ist das Updaten mit Antivir immer noch nicht möglich. Google leitet zwar nicht mehr falsch weiter, braucht aber immer noch ca. 5-10 sek um ein Suchergebnis anzuzeigen. ZoneAlarm zeigt aber immer noch ab und an, wenn ich Firefox öffne, eine geblockte Verbindung nach "85.255.112.69:53" an.
Ich gehe also davon aus, dass sich noch was auf meinem PC befindet, was nicht dort hin gehört.

Ein aktuelles HijackThis-Log (ohne die bereits gefixxten O17's):

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:44, on 11.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
G:\ICQ6\ICQ.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
G:\mIRC\mirc.exe
G:\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Adobe Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] G:\Winamp\winampa.exe
O4 - HKCU\..\Run: [ICQ] "G:\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [AlcoholAutomount] "G:\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\ICQ6\ICQ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3980 bytes
         

Der Download von Malwarebytes war nicht möglich ("Der Server unter w*w.malwarebytes.org konnte nicht gefunden werden."), weiß nicht ob das damit zusammenhängt.

Wäre sehr dankbar für eure Hilfe.
MfG Schgucke

//edit: Ebenfalls von Antivir gefunden wurden "Crypt.XPACK.Gen", "TDss.AZ.139", "Fakealert.auf.51", "Agent2.KK", "Dropper.Gen", "Patched.CK.56", "ATRAPS.Gen". Alle in Quarantäne verschoben. Ganz schön viel.. o_O

Ich denke, ich habs mit Malwarebytes weg gekriegt.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 2

11.02.2009 22:19:03
mbam-log-2009-02-11 (22-18-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|L:\|)
Durchsuchte Objekte: 231625
Laufzeit: 2 hour(s), 33 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\msqpdxibphextu.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxfnubsvio.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxkayqypao.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxkcttorrn.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxtehypktk.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxyvbxhpro.sys (Trojan.Agent) -> No action taken.
         

Anti-Vir lässt sich wieder updaten, die Internetverbindung hat wieder ihre alte - 10mal so schnelle - Geschwindigkeit und (das hab ich vorhin ganz vergessen): Ich kann wieder auf die Alice-Box zugreifen.

Sollte ich da noch was absichern?