Malware, Stealer, komische Verbindungen zufall?

[Iaa_1]

Mhm ich bin zwar kein Profi in Hijackthis Logs auswerten aber mir ist nichts Besonderes aufgefallen außer diesem Eintrag hier

Code:

 O17 - HKLM\System\CCS\Services\Tcpip\..\{2C8BABB7-EA4C-4A88-BAFA-3EC134CD0788}: NameServer = 1.254.3.2 1.254.3.3

Wenn du weißt wohin oder von wem diese Ip ist ok aber wenn nicht fixe diesen Eintrag mal.

Kann es sein, dass der Eintrag von dem VPN-Anbieter / VPN-Programm "Ivacy" kommt?
//Edit: Ja, ist von Ivacy.

[Fixi]

Mhm kann ich dir leider nicht sagen sry. Aber könnte sein ja.
Wie gesagt kenne mich auch nicht sehr gut mit Hijackthis Log Files aus :/




MFG

[Iaa_1]

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4370

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.07.2010 16:46:12
mbam-log-2010-07-30 (16-46-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 123824
Laufzeit: 10 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das ist das Logfile von Malwarebytes (neueste Updates gemacht).

Ist es normal, dass ggf. svchost.exe Verbindungen ins Inet machen? Vll. zum Updaten von Windows oder so. Die Verbindung zu den Hostern + affiliate.otto.de könnte ich mir so denken, dass es durch die Werbeeinblendung im Player war, aber es war als Systemprozess angezeigt. (TCPViewer)

TCP-Viewer (zeichnet nicht alles auf, weil einiges nur eine Sekunde da ist und weg):

alg.exe 3652 TCP pvk-53bb464adf9 1049 pvk-53bb464adf9 0 LISTENING
firefox.exe 816 TCP pvk-53bb464adf9 1737 lm-in-f147.1e100.net http ESTABLISHED 2 994 2 2.212
firefox.exe 816 TCP pvk-53bb464adf9 1784 proxy101.ethproxy.com http ESTABLISHED 15 11.120 24 31.073
firefox.exe 816 TCP pvk-53bb464adf9 1788 proxy101.ethproxy.com http ESTABLISHED 18 13.458 17 2.423
firefox.exe 816 TCP pvk-53bb464adf9 1789 proxy101.ethproxy.com http ESTABLISHED 17 12.735 17 2.424
firefox.exe 816 TCP pvk-53bb464adf9 1785 proxy101.ethproxy.com http ESTABLISHED 16 11.931 17 2.425
firefox.exe 816 TCP pvk-53bb464adf9 1786 proxy101.ethproxy.com http ESTABLISHED 19 14.230 20 2.855
firefox.exe 816 TCP pvk-53bb464adf9 1787 proxy101.ethproxy.com http ESTABLISHED 16 11.944 14 1.994
firefox.exe 816 TCP pvk-53bb464adf9 1791 global.underhostnetworks.com http ESTABLISHED
ICQ.exe 608 TCP pvk-53bb464adf9 1694 bos-d037c-rdr1.blue.aol.com 5190 ESTABLISHED 2 20
ICQ.exe 608 UDP pvk-53bb464adf9 1665 * *
jqs.exe 2168 TCP pvk-53bb464adf9 5152 localhost 1388 CLOSE_WAIT
jqs.exe 2168 TCP pvk-53bb464adf9 5152 pvk-53bb464adf9 0 LISTENING
LEXPPS.EXE 1656 TCP pvk-53bb464adf9 1025 pvk-53bb464adf9 0 LISTENING
lsass.exe 772 UDP pvk-53bb464adf9 isakmp * *
lsass.exe 772 UDP pvk-53bb464adf9 4500 * *
PnkBstrA.exe 2588 UDP pvk-53bb464adf9 44301 * *
PnkBstrB.exe 2732 UDP pvk-53bb464adf9 45301 * *
svchost.exe 1956 TCP pvk-53bb464adf9 1164 stun.client.akadns.net https ESTABLISHED 2 134 2 130
svchost.exe 1160 TCP pvk-53bb464adf9 netbios-ssn pvk-53bb464adf9 0 LISTENING
svchost.exe 1956 TCP pvk-53bb464adf9 9421 pvk-53bb464adf9 0 LISTENING
svchost.exe 1036 TCP pvk-53bb464adf9 epmap pvk-53bb464adf9 0 LISTENING
svchost.exe 1956 TCP pvk-53bb464adf9 9422 pvk-53bb464adf9 0 LISTENING
svchost.exe 1548 TCP pvk-53bb464adf9 2869 pvk-53bb464adf9 0 LISTENING
svchost.exe 1956 TCP pvk-53bb464adf9 1168 pvk-53bb464adf9 0 LISTENING
svchost.exe 1956 TCP pvk-53bb464adf9 9423 pvk-53bb464adf9 0 LISTENING
svchost.exe 1548 UDP pvk-53bb464adf9 1900 * * 117 35.118
svchost.exe 1160 UDP pvk-53bb464adf9.t-com modem ntp * *
svchost.exe 1956 UDP pvk-53bb464adf9 1165 * *
svchost.exe 1160 UDP pvk-53bb464adf9 netbios-ns * * 33 9.627
svchost.exe 1160 UDP pvk-53bb464adf9 ntp * *
svchost.exe 1956 UDP pvk-53bb464adf9 1169 * * 48 2.675 5 325
svchost.exe 1548 UDP pvk-53bb464adf9.t-com modem 1900 * *
svchost.exe 1160 UDP pvk-53bb464adf9 netbios-dgm * *
svchost.exe 1160 UDP pvk-53bb464adf9 1058 * *
svchost.exe 1160 UDP pvk-53bb464adf9 ntp * *
svchost.exe 1956 UDP pvk-53bb464adf9 1166 * * 83 4.521 3 196
svchost.exe 1956 UDP pvk-53bb464adf9 1035 * *
svchost.exe 1956 UDP pvk-53bb464adf9 phone * *
svchost.exe 1548 UDP pvk-53bb464adf9 1900 * *
System 4 TCP pvk-53bb464adf9.t-com modem 1060 pptp3.ivacy.com pptp ESTABLISHED 2 40 2 32
System 4 TCP pvk-53bb464adf9 microsoft-ds pvk-53bb464adf9 0 LISTENING
System 4 TCP pvk-53bb464adf9.t-com modem netbios-ssn pvk-53bb464adf9 0 LISTENING
System 4 TCP pvk-53bb464adf9 pptp pvk-53bb464adf9 0 LISTENING
System 4 UDP pvk-53bb464adf9.t-com modem netbios-dgm * *
System 4 UDP pvk-53bb464adf9.t-com modem netbios-ns * * 6 300
System 4 UDP pvk-53bb464adf9 microsoft-ds * *
T4EPlayer.exe 2644 TCP pvk-53bb464adf9 1780 89-149-245-248.just4play.de http ESTABLISHED 1 78 39 949.527

Was ist dies z.B.?
[System Process] 0 TCP pvk-53bb464adf9 1840 img.jaron.de:http http TIME_WAIT 3 7.621
Das selbe existiert auch mit *irgendwas*.deinprovider.net

Nachdem ich das System an sich für Sauber gehalten habe kam heute folgende Meldung:

In der Datei 'C:\WINDOWS\Installer\{30988956-A604-4974-9333-10B63252522D}\Icon9727C0A41.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Kann das auch irgendwie nicht böse / normal sein? Vll. von einem Programm, dass Icons ändern kann? Es wurde heute, vor wenigen Minuten, von Antivir erkannt. Malwarebytes und Hijackthis erkennen nichts. Jedoch braucht mein Netstat -b nicht mehr lange, bis er die Ausgabe anzeigt, sondern tut dies nun sofort. TCPViewer kann ebenfalls nichts verdächtiges entdecken.

//Edit: In dem Ordner waren noch 2 Exe-Dateien: Beide sind 0 / 42 und beide weisen nichts böses, laut Anubis, auf. Ich denke, dass die 3. Exe eine Falschmeldung war.