|
Log-Analyse und Auswertung: Verbindungsprobs und AutoTDSS.QN + Drop.VB.igzWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.02.2009, 17:37 | #1 |
| Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz Guten Tag! Seit mehreren Wochen updatet Antivir nicht mehr, seit kurzem leitet Google auf falsche Seiten weiter. Habe ein HijackThis-Log gemacht und Code:
ATTFilter O17 - HKLM\System\CCS\Services\Tcpip\..\{26686A29-AE20-48A0-92E2-861A6A4016A8}: NameServer = 85.255.116.146,85.255.112.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{3EFA8318-5BF8-43E9-A8CD-2120855710B8}: NameServer = 85.255.116.146,85.255.112.225 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146,85.255.112.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{26686A29-AE20-48A0-92E2-861A6A4016A8}: NameServer = 85.255.116.146,85.255.112.225 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146,85.255.112.225 Außerdem hatte ich auf jeder Partition eine "resycled/boot.com" sowie "autorun.inf". Nach einem Antivir-Scan (habe das manuell geupdatet), der mehrere AutoTDSS.QN in den "boot.com"-Dateien sowie einigen Dateien im Temp-Ordner und 4x Drop.Vb.igz gefunden & in Quarantäne verschoben hat, hab ich alle "boot.com" und "autorun.inf" gelöscht. Leider ist das Updaten mit Antivir immer noch nicht möglich. Google leitet zwar nicht mehr falsch weiter, braucht aber immer noch ca. 5-10 sek um ein Suchergebnis anzuzeigen. ZoneAlarm zeigt aber immer noch ab und an, wenn ich Firefox öffne, eine geblockte Verbindung nach "85.255.112.69:53" an. Ich gehe also davon aus, dass sich noch was auf meinem PC befindet, was nicht dort hin gehört. Ein aktuelles HijackThis-Log (ohne die bereits gefixxten O17's): Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:50:44, on 11.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\RUNDLL32.EXE G:\ICQ6\ICQ.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe G:\mIRC\mirc.exe G:\HiJackThis\HijackThis.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Adobe Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] G:\Winamp\winampa.exe O4 - HKCU\..\Run: [ICQ] "G:\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [AlcoholAutomount] "G:\Alcohol 120\axcmd.exe" /automount O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\ICQ6\ICQ.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3980 bytes Wäre sehr dankbar für eure Hilfe. MfG Schgucke //edit: Ebenfalls von Antivir gefunden wurden "Crypt.XPACK.Gen", "TDss.AZ.139", "Fakealert.auf.51", "Agent2.KK", "Dropper.Gen", "Patched.CK.56", "ATRAPS.Gen". Alle in Quarantäne verschoben. Ganz schön viel.. o_O |
12.02.2009, 00:33 | #2 |
| Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz Ich denke, ich habs mit Malwarebytes weg gekriegt.
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1654 Windows 5.1.2600 Service Pack 2 11.02.2009 22:19:03 mbam-log-2009-02-11 (22-18-58).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|L:\|) Durchsuchte Objekte: 231625 Laufzeit: 2 hour(s), 33 minute(s), 58 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\msqpdxibphextu.dll (Trojan.TDSS) -> No action taken. C:\WINDOWS\system32\drivers\msqpdxfnubsvio.sys (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\msqpdxkayqypao.sys (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\msqpdxkcttorrn.sys (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\msqpdxtehypktk.sys (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\msqpdxyvbxhpro.sys (Trojan.Agent) -> No action taken. Sollte ich da noch was absichern? |
Themen zu Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz |
.com, ad-aware, adobe, antivir, antivirus, avira, bho, crypt.xpack.gen, dll, dropper.gen, explorer, falsche seite, firefox, google, hijack, hkus\s-1-5-18, internet, internet explorer, logfile, monitor, nicht gefunden, nvidia, plug-in, programme, rundll, seiten, system, temp-ordner, windows, windows xp |