| schgucke | 11.02.2009 17:37 |
Verbindungsprobs und AutoTDSS.QN + Drop.VB.igz
Guten Tag!
Seit mehreren Wochen updatet Antivir nicht mehr, seit kurzem leitet Google auf falsche Seiten weiter. Habe ein HijackThis-Log gemacht und Code:
O17 - HKLM\System\CCS\Services\Tcpip\..\{26686A29-AE20-48A0-92E2-861A6A4016A8}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EFA8318-5BF8-43E9-A8CD-2120855710B8}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{26686A29-AE20-48A0-92E2-861A6A4016A8}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146,85.255.112.225
sofort gefixxt.
Außerdem hatte ich auf jeder Partition eine "resycled/boot.com" sowie "autorun.inf". Nach einem Antivir-Scan (habe das manuell geupdatet), der mehrere AutoTDSS.QN in den "boot.com"-Dateien sowie einigen Dateien im Temp-Ordner und 4x Drop.Vb.igz gefunden & in Quarantäne verschoben hat, hab ich alle "boot.com" und "autorun.inf" gelöscht.
Leider ist das Updaten mit Antivir immer noch nicht möglich. Google leitet zwar nicht mehr falsch weiter, braucht aber immer noch ca. 5-10 sek um ein Suchergebnis anzuzeigen. ZoneAlarm zeigt aber immer noch ab und an, wenn ich Firefox öffne, eine geblockte Verbindung nach "85.255.112.69:53" an.
Ich gehe also davon aus, dass sich noch was auf meinem PC befindet, was nicht dort hin gehört.
Ein aktuelles HijackThis-Log (ohne die bereits gefixxten O17's): Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:44, on 11.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
G:\ICQ6\ICQ.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
G:\mIRC\mirc.exe
G:\HiJackThis\HijackThis.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Adobe Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] G:\Winamp\winampa.exe
O4 - HKCU\..\Run: [ICQ] "G:\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [AlcoholAutomount] "G:\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\ICQ6\ICQ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 3980 bytes
Der Download von Malwarebytes war nicht möglich ("Der Server unter w*w.malwarebytes.org konnte nicht gefunden werden."), weiß nicht ob das damit zusammenhängt.
Wäre sehr dankbar für eure Hilfe.
MfG Schgucke
//edit: Ebenfalls von Antivir gefunden wurden "Crypt.XPACK.Gen", "TDss.AZ.139", "Fakealert.auf.51", "Agent2.KK", "Dropper.Gen", "Patched.CK.56", "ATRAPS.Gen". Alle in Quarantäne verschoben. Ganz schön viel.. o_O | 