Hallo alle zusammen!

Habe schon seit ca. 1/1/2 Wochen immer wieder auftretende Probleme mit meinem Laptop.
Verwende seit 5 Tagen Nod32 Version 2.70.16.0
und die Agnitum Outpost Firewall Version 4.0.584.7020....
Zuvor allerdings hatte ich Panda Internet Security 2007 draufgehabt.
Ich nehme mal stark an, dass die Probleme noch aus dieser Zeit stammen.

Es fing alles, also meines Wissens nach, damit an, dass vor gut 1/1/2 Wochen mein Desktop Hintergrund verschwunden war. Kann bis heute nicht in den Desktop-Eigenschaften einen Hintergrund einstellen bzw. so irgendein Bild als Hintergrund laden. Mein Hinergrund ist zur Zeit also dunkelblau..naja
Ich gehe dabei davon aus, dass ich irgendeine ausführende Datei, die dafür zuständig ist, und die mir von Panda als mit Trojanern verseucht angezeigt wurde, gelöscht hab...
Aber das ist ja noch mein gerinstes Problem.
Als ich dann Nod installiert hatte, kamen gleich beim ersten Scan lauter Spyware-, Trojaner- und Heuristische-Viren-Meldungen,
die ich auch so gut wie's ging gelöscht bzw. in Quarantäne verschoben habe.

Aber seit dem gehen bei mir immer noch komische Dinge vor..
Hatte gesten z.B auf einmal ein neues Programm drauf, das ich nicht so wirklich kannte und dessen Herkunft mir sehr rätselhaft erschien.
Ging nicht zu deinstallieren und löschen konnte ich es auch erst nach mehrmaligem Anlauf mit Gipo-fileutilities.

Da Ihr euch ja alle sehr professionell damit auskennt:aplaus: ,
hab ich hier mal mein Hijackthis-log gepostet.

Wäre echt nett, wenn sich das mal jemand anschauen könnte,
und mir sagt, was bei mir los ist..

Vielen Dank im voraus,
Hennor

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958

danke
GUA

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8AEA8065-7516-4A2C-A49B-7EEBA6A8E6DA}: NameServer = 85.255.115.114,85.255.112.142
O17 - HKLM\System\CCS\Services\Tcpip\..\{95E0DC3C-7846-46C6-A26D-F16EA822C894}: NameServer = 85.255.115.114,85.255.112.142
O17 - HKLM\System\CCS\Services\Tcpip\..\{95EECAFB-86AA-4959-8276-1CFDE4E23296}: NameServer = 85.255.115.114,85.255.112.142

Irgendeine Malware hat deinen Provider umgebogen, denn die IPs stammen alle aus der Ukraine. Das allein rechtfertigt schon ein Neuaufsetzen.
Und da ist noch mehr:

Zitat:

O20 - Winlogon Notify: IfxWlxEN - IfxWlxEN.dll (file missing)
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\DOKUME~1\Hendrick\LOKALE~1\Temp\ieupdate.exe

Wie gesagt, Rechner vom Netz nehmen und sauber neu aufsetzen. Erst wenn das System wieder sauber (also neu aufgesetzt ist) solltest du auch dann sämtliche Passwörter ändern, denn der Befall mit Passwortstehlern ist ziemlich wahrscheinlich.

Hey Cosinus!

Danke für die schnelle Antwort!

Aber zu der Sache von wegen Ukraine..
Das sind eigentlich die mir von der Wohnheimverwaltung gegebenen Netzwerkdaten.
Ist nämlich'n Studiwohnheim hier. Und die DNS Server IPs stimmen eigentlich so. Ich mein, ich kenn mich mit der Auswertung von HijackThis Daten nicht so aus, deswegen weiß ich nicht, ob genau da trotzdem ein Malware Problem besteht...?

Und die zweite Stelle deutet auf was hin?


Ach ja, warum wurde mein HijackThis log rausgenommen???
Da waren auf keinen Fall irgendwelche links drinne.
Hab's ja 2-3 mal durchgeguckt.

bis denn
Hennor

Logfile of HijackThis v1.99.1
Scan saved at 21:13:28, on 18.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\"Name"\LOKALE~1\Temp\Rar$EX00.766\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.symantec.com/symnrt
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Programme\Video ActiveX Object\isaddon.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Programme\Video ActiveX Object\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [mount.exe] C:\Programme\GiPo@Utilities\GiPo@FileUtilities\mount.exe /z
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.asus.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AEA8065-7516-4A2C-A49B-7EEBA6A8E6DA}: NameServer = 85.255.115.114,85.255.112.142
O17 - HKLM\System\CCS\Services\Tcpip\..\{95E0DC3C-7846-46C6-A26D-F16EA822C894}: NameServer = 85.255.115.114,85.255.112.142
O17 - HKLM\System\CCS\Services\Tcpip\..\{95EECAFB-86AA-4959-8276-1CFDE4E23296}: NameServer = 85.255.115.114,85.255.112.142
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.114 85.255.112.142
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.114 85.255.112.142
O20 - Winlogon Notify: IfxWlxEN - IfxWlxEN.dll (file missing)
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\DOKUME~1\"name"\LOKALE~1\Temp\ieupdate.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

Zitat:

Aber zu der Sache von wegen Ukraine..
Das sind eigentlich die mir von der Wohnheimverwaltung gegebenen Netzwerkdaten.

Nein, das kann nicht sein, eine Auskunft über Domaintools zeigt, dass die bei dir unter "Nameserver" eingetragenen IP-Adressen aus der Ukraine stammen. Irgendein Schädling hat diese Einträge angelegt und der kann noch mehr, wie z.B. hier zu lesen ist.
Um das System vollständig sauber und damit wieder vertrauenswüdig zu machen, musst du es neu aufsetzen.