Virusbefall? Große Probleme mit dem Internet... Bitte um Hilfe!

Soze

Hallo!

Habe seit ca. einer Woche extreme Probleme mit meinem Pc und der Internetverbindung!

Hier noch technische Details die vielleicht wichtig sein könnten:

Mein Anbieter ist Inode (xDSL) & der Anschluss besteht aus folgenden
Komponenten -> Modem: ZyXEL Prestige 660R / Router: Mediatrix ATA 2102 / Pc
ist mit dem Router über einen sogenannten Microlink dLAN Ethernetadapter
von Devolo verbunden (das Ganze läuft also über das Stromnetz)

Nun aber zu meinem Leidensweg: (chronologisch geordnet versteht sich )

Da ich mit dem Internet noch sehr unvertraut war (Anschluss erst seit ca. 3 Wochen), hab ich es gewagt die ersten 20 Minuten gänzlich ohne Firewall zu surfen und dieser Leichtsinn hat mir natürlich sofort einen Wurm beschert: W32/Opaserv die von ihm angelegte berühmte Datei NATAL.SCR hab ich dann sofort gelöscht (wenigstens kam ich auf die glänzende Idee dem Norton 2002 ein Liveupdate drüberzubügeln) - Den Registry eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\natal
= C:\<Windows>\NATAL.SCR" hab ich erst gestern via HiJackThis (Online) gelöscht

Hab mir dann sofort den Firewall "ZoneAlarm" runtergesaugt und wieder beruhigt drauf los gesurft...

Es folgen 2 Wochen frivoler und ungetrübter Internetspass

Vor ca. einer Woche hat sich dann zum ersten mal die Internetverbindung von selbst getrennt und ließ sich nicht mehr neu verbinden... nach ungefähr 2 Stunden rumprobieren hat es dann auf einmal wieder geklappt... und nach weiteren 2 Stunden war wieder alles im A....

1 oder 2 Tage darauf ließ sich das Internet dann fast überhaupt nicht mehr benützen: entweder die Verbindung trennte sich nach wenigen Minuten, ich könnte mich nicht mehr neu einwählen oder das Internet fror einfach ein (ungefähr eine Wartezeit von 10 Minuten bis sich die google-Seite aufgebaut hatte) usw. usw.

Anruf bei Inode: Die meinten, dass von ihrer Seite alles in Ordnung sei und das Problem wohl lokal zu suchen ist...

Bin auf die Idee gekommen, dass "ZoneAlarm" daran schuld sein könnte und es kurzerhand durch "Sygate Personal Firewall 5.5" ersetzt, hab auch Norton AntiVirus über Bord geworfen und mir das, meiner Meinung nach, viel symphatischere "AntiVir PersonalEdition Classic" auf die Platte gekleister und um besonders auf nummer sicher zu gehen mir schließlich auch noch "Ad-aware SE Personal 1.0.6" spendiert...

Noch am selben Tag an dem ich AntiVir installiert hatte, meldet dieses plötzlich zu später Abendstunde die Infektion mehrer exe-Dateien mit dem W32/Stanit.A - Zum Glück handelte es sich bei den (wenigen) infizierten Dateien, nur um Dateien von diversen Games... nach ca. einer Stunde googeln war ich etwas schlauer und hab mir das so genannte "Repairtool" von AntiVir heruntergeladen... Diese konnte eine Infektion der besagten Dateien feststellen und darüber hinaus noch die Infektion mehrer cpy-Dateien im Verzeichnis C:\_RESTORE\TEMP\
Diese Dateien konnten weder repariert noch gelöscht werden da dieses laut Programm "geloggt" sind und sich erst nach einem Neustart löschen ließen, was ich dann auch brav gemacht habe.

Um ganz auf die Sichere zu gehen, hab ich dann noch folgendes gemacht:
vollständiger Scan mit AntiVir: kein Fund! / Onlinescan mit "Trend Micro HouseCall": kein Fund!

Jetzt wird es mysteriös: (zum letzten mal hatte ich es so spannend als ich vor ca. 10 Jahren händisch den Bootvirus "stoned.angelina" von meinem 386er entfernen musste und dabei auf die folgende Zeile gestoßen bin: "Greetings from Garfield Zolag" - oder so ähnlich )
Kurz konnte AntiVir irgendeinen Trojaner und die Signatur eines ururur alten Dos Virus entdecken... Pc stürzte ab und schwupp nach dem Neustart konnte nichts mehr gefunden werden...

So, schließlich sind wir beim heutigen Datum angelangt: Mein Pc weißt folgende Symptome bzw. Abnormalitäten auf:

-> Es kann vorkommen, dass beim Öffnen irgend eines Ordners (noch vor dem Anzeigen des Inhalts) sich der Pc aufhängt

-> Sygate meldet des öfteren, dass die Datei RNAAPP.EXE im Verzeichnis C:\Windows\System\ versucht eine Verbindung mit dem Internet herzustellen (keine Ahnung woher die Datei kommt und was sie will, ist mir jedenfalls neu) - Zugriff verweigere ich

-> Sygate spuckt sehr oft folgende Meldung aus "Unaufgeforderte, eingehende ARP-Antwort wurde entdeckt, dies ist eine Art von MAC-Spoofing, die möglicherweise Ihrem Computer Schaden zufügt." (Ein Kollege meinte, dass dies bei ihm auch öfters vorkommt - aber so oft?)

-> Die mit W32/Stanit.A infizierten cpy-Dateien sind wieder aufgetaucht und lassen sich wiedermal nicht entfernen.

-> Das schließen von Fenstern kann außergewöhnlich lange dauern und kurz bevor es geschlossen wird, blinkt die leere Seite "about:blank" auf...

-> Internetverbindung trennt sich nach wie vor von slebst (nur nicht mehr so oft)



Soooo, danke erstmal fürs Durchlesen



Hier noch mein HijackThis Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 22:50:50, on 28.03.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\***\SOFTWARE\SYGATE PERSONAL FIREWALL 5.5\SMC.EXE
C:\***\SOFTWARE\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\***\SOFTWARE\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\***\SOFTWARE\MEDIASOURCE\DETECTOR\CTDETECT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\***\SOFTWARE\ESM2\STMS.EXE
C:\***\SOFTWARE\ESM2\EBRR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\***\SOFTWARE\MOZILLA FIREFOX\FIREFOX.EXE
C:\***\SOFTWARE\WINRAR 2.90\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.414\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\***\SOFTWARE\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\***\SOFTWARE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {A3B937E1-92F8-60A4-D3AC-8FE60E9743A3} - C:\WINDOWS\ANWENDUNGSDATEN\16 ACID HOPE\SECOND PING.EXE
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\***\SOFTWARE\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\***\SOFTWARE\SIDEWI~1\COMMON\SWTRAYV4.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [rectslowcdromkeep] C:\WINDOWS\All Users\Anwendungsdaten\AceAntiRectSlow\Slow delete.exe
O4 - HKLM\..\Run: [SmcService] C:\***\SOFTWARE\SYGATE~1.5\SMC.EXE -startgui
O4 - HKLM\..\Run: [avgctrl] "C:\***\Software\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SmcService] C:\***\SOFTWARE\SYGATE PERSONAL FIREWALL 5.5\SMC.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\***\Software\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Creative Detector] C:\***\Software\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [vcante] C:\WINDOWS\ANWEND~1\GRIDHOLE\SixthBallDefy.exe
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe
O4 - Startup: EPSON Background Monitor.lnk = C:\***\Software\ESM2\Stms.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\***\SOFTWARE\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\***\SOFTWARE\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\***\Software\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\***\Software\ICQ5\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll


Hoffe ihr könnt mir weiterhelfen! Bis denn...

mfg Soze