autorun.inf + dns server schäden (?) + andere malware?
 

hi leute,

seit ein paar tagen habe ich ein paar probleme mit viren/trojanern. irgendwie habe ich mir wohl diesen autorun.inf trojaner geholt, den ich gerade dabei bin nach anleitung die ich hier im forum gefunden habe, malwarebyte läuft gerade und ich hoffe es wird funktionieren.

jedenfalls weiß ich

a) nicht welche schäden er hinterlassen hat (es geht um eine externe fesplatte), sprich ob er an das internet sendet über ominöse dns server

und

b) ganz ALLGEMEIN nicht ob ich andere spy/malware auf meinem pc dadurch geladen habe.

ich hoffe ihr könnt an meiner ipconfig/displaydns etwas erkennen:

bei www habe ich immer ein w rausgenommen:

hijack this:

ich hoffe ihr könnt mir sagen was ich tun kann um mein system komplett sauber zu kriegen. braucht ihr andere logfiles? avira antivir, malwarebyte, spybot search and destroy?

wäre euch sehr verbunden, da ich noch damit wenig erfahrung habe und mir meine bescheidenen "kenntnisse" fast ausschließlich über forensuche hier angehäuft habe.

gruß, alex


edit:

malwarebyte nach prüfung:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1266
Windows 5.1.2600 Service Pack 3

13.10.2008 23:58:11
mbam-log-2008-10-13 (23-58-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|I:\|)
Durchsuchte Objekte: 165408
Laufzeit: 1 hour(s), 46 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
I:\System Volume Information\_restore{170212A4-34D0-4FD9-AC00-C61B857DD45F}\RP26\A0010181.EXE (Trojan.Agent) -> Quarantined and deleted successfully.



I: = externe platte mit dem autorun



EDIT 2:

nach neustart ist der autorun trojaner scheinbar weg von der externen festplatte. ich kann alle partitionen und die externe ganz normal öffnen, ich kopiere nun daten von der externen auf die hdd , da ich denke, dass nach der gesamten prüfung alles ok sein müsste mit ihr.

das einzige was mir sorgen macht ist das ipconfig/displaydns ...... diese adressen gefallen mir gar nicht. wie kann ich dem vorbeugen? bzw wie kann ich nun gewissheit haben, dass mein system sauber ist? ich kann euch auch aktuelle logs von allem was ihr wollt geben =)

so, aktueller log;

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:58, on 14.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\MIRANDA\miranda32.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3221 bytes



und die dns:

C:\Dokumente und Einstellungen\****>ipconfig/displaydns

Windows-IP-Konfiguration

ww-download-antivirus.com
----------------------------------------
Eintragsname. . . . . : ww-download-antivirus.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


virgiio.it
----------------------------------------
Eintragsname. . . . . : virgiio.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


ww.virdgilio.it
----------------------------------------
Eintragsname. . . . . : ww.virdgilio.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


ww.tuttograatis.it
----------------------------------------
Eintragsname. . . . . : ww.tuttograatis.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


spywarebot-t.com
----------------------------------------
Eintragsname. . . . . : spywarebot-t.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


spermatrix.com
----------------------------------------
Eintragsname. . . . . : spermatrix.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


smart-antivirus2009buy.com
----------------------------------------
Eintragsname. . . . . : smart-antivirus2009buy.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


ww.searchfromyourbrowser.net
----------------------------------------
Eintragsname. . . . . : ww.searchfromyourbrowser.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


ww.rosaoalice.it
----------------------------------------
Eintragsname. . . . . : ww.rosaoalice.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


paginegialler.it
----------------------------------------
Eintragsname. . . . . : paginegialler.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.nicecodec.net
----------------------------------------
Eintragsname. . . . . : ww.nicecodec.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


ww.mylimewirenetwork.com
----------------------------------------
Eintragsname. . . . . : ww.mylimewirenetwork.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 603667
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1



also die letzere gefällt mir mal gar nicht..... könnt ihr mir sagen ob mein pc irgendwie etwas sendet bzw etwas infiziertes lädt? bzw wenn nicht, wie ich es zuverlässig überprüfen kann?

gruß

kann keiner diese dns server beurteilen? und die hijack logfile?

einmal würde ich diese frage zum dns server nochmal gerne in die runde stellen, dann bin ich still :D