Brauche Hilfe bei der Auswertung der hijackthis-Logfile!!!

Hallo Schmidtchen,

vielen Dank für die schnelle Antwort. Diese hat mich doch ein wenig beruhigt.

Zu Deinen Fragen:

AntiVir habe ich aktualisiert und Spybot habe ich erst gestern installiert.

Die Ausspähung mache ich daran fest, dass mein Ex-Partner weiß, was ich im Internet so tue. Ich habe z. B. das Passwort von meinem arcor.de-Zugang geändert, weil ich gesehen habe, dass er zwischenzeitlich darauf zugegriffen hatte (dort sind E-Mails, ankommende und abgehende Gespräche usw. abrufbar). Ein oder zwei Tage später wollte er sich zufällig wieder einloggen, was natürlich nicht mehr funktionierte, und er fragte mich, ob ich das Passwort geändert hätte. Das gleiche bei wkw und ebay (bei ebay habe ich nicht das Passwort geändert, sondern nur gespeicherte Verkäufer gelöscht und er wußte es sofort).

Gestern war er hier zu Besuch und hat sich auf der Arcor Easy Box eingeloggt, weil er irgendetwas schauen müsste und er das ja nur von hier aus könnte. Dass er eingeloggt war, habe ich gesehen. Als ich mich dann später einloggen wollte, um zu schauen, was man denn alles über die Easy Box ersehen kann, konnte ich das mit meinen Daten nicht. Ich habe dann die Arcor Easy Box reseted und das Passwort geändert.

Da ein Freund meines Ex, der sich gut mit Computern auskennt, hier den Laptop und auch den Internet-Zugang eingerichtet hat und mein Ex mir mal gesagt hat, dass dieser wohl auch von zuhause aus auf meinen (damals noch unseren) PC zugreifen könnte, damit beide zusammen ein Forum erstellen könnten, hatte ich jetzt die Befürchtung, dass dies auch ohne mein Wissen geschehen kann. Könnte das dennoch möglich sein?

Welche Maßnahme könnte ich noch ergreifen, um mich bzw. meine Daten zu schützen?

Ich weiß, dass sich das jetzt alles sehr paranoid anhört, aber mein Ex-Partner ist leider ein absoluter Kontroll-Freak (er hat gestern z. B. die Menge meiner vorrätigen Kartoffeln und Zwiebeln begutachtet, um dann festzustellen, dass ich seit seinem letzten Besuch ja gar nicht so oft gekocht haben könnte, also öfter auswärts gegessen haben müsste; er kontrolliert den Browserverlauf und das Google-Suchprotokoll usw, wenn ich mal nicht daran denke es zu löschen). Für mich grenzt sein Verhalten schon stark an Krankhaftigkeit.

Kann ich aufgrund der Logfile davon ausgehen, dass er nicht von außerhalb auf meinen Laptop zugreifen kann? Muss ich jetzt trotzdem noch einen Durchlauf im abgesicherten Modus durchführen wie in der Anleitung beschrieben?

Zitat von schmidtchen

1. du solltest alle Passwörter ändern und diese nicht auf dem PC speichern sondern auf Papier vermerken.

Was heißt denn alle? Welche gibt es denn noch?

Zitat von schmidtchen

2. du kannst in der Windows-Firewall (Start > Einstellungen > Systemsteuerung > Sicherheitscenter) bei 'Ausnahmen' nachschauen, ob da noch Haken sind, insbesondere nicht die Remote-Unterstützung und -desktop..

Bei Remoteunterstützung war tatsächlich ein Haken... Habe ihn entfernt.

Zitat von schmidtchen

Wenn du Ports geöffnet hast, wäre der Zugang über diese ja normal und würde im Log von HjT nicht angezeigt..

Wenn ich dort auf Ports gehe, wird mir nichts angezeigt. Kann ich jetzt davon ausgehen, dass keine geöffnet sind oder kann man dies auch an anderer Stelle tun?

Zitat von schmidtchen

Trotzdem kannst du den Vorgang noch einmal im 'abges. Modus' vollziehen und auch die Systemwiederherstellung deaktivieren. Dabei gehen vorherige Wiederherstellungspunkte verloren, was in deinem Fall sogar einen nützlichen Nebeneffekt hat, wenn dein Ex sich an deinem Rechner zu schaffen macht und du nicht nachvollziehen kannst was er da tut..

Hab ich getan, Logfile poste ich gleich. Mich hat es nur gewundert, dass es im abgesicherten Modus zwei Benutzerkonten gibt (eins mit Administrationsrechten). Ist das normal?

Zitat von schmidtchen

3. Wie gehst du ins Internet? Kabel (LAN) oder Wireless (WLAN)?.

Per WLAN.

Zitat von schmidtchen

Nachtrag:
Lege dir doch einen anderen Mail-Account zu und benutze nicht den von Acor. Deinen Freunden kannst du die neue Adresse ja per Rundmail mitteilen.

Einen alternativen Mail-Account habe ich schon. Dort habe ich, wie bei Arcor auch, das Passwort geändert. Ist es trotzdem gefährlich den Arcor-Account weiterhin zu benutzen?

Hier nun der/die/das ??? Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15:55, on 29.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Club VAIO | Choose your country
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723 .1820\swg.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Programme\Sony\ISB Utility\ISBMgr.exe"
O4 - HKLM\..\Run: [Switcher.exe] "C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Filme_auf_DVD_7_TerraTec_Editio n\TrayServer.exe
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lxctmon.exe] "C:\Programme\Lexmark 5400 Series\lxctmon.exe"
O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "C:\Programme\Lexmark 5400 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 5400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtim e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.club-vaio.com
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DisplayLink Service (DisplayLinkService) - DisplayLink Corp. - C:\Programme\DisplayLink Core Software\DisplayLinkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Qualcomm Gobi Download Service (QDLService) - QUALCOMM, Inc. - C:\QUALCOMM\QDLService\QDLService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

--
End of file - 7827 bytes

Zitat von Q-Max

Nutzt du W-LAN ? wenn ja musst du auch das Passwort ändern.

Ja, ich nutze WLAN. Wo ändere ich das Passwort denn?

Zitat von Q-Max

Starte die Konfiguration deiner Firewall und verbiete allen Programmen (nachfragen ob sie dürfen) aufs Internet zuzugreifen. Gib nur die wieder frei von denen du sicher bist das du sie kennst. Virenscanner, usw.

bei allen anderen kannst du hier nachfragen.

Danke, das werde ich gleich mal versuchen, ob ich das hinbekomme. Bin leider Laie...

Zitat von Q-Max

Ändere alle Passworte von Internetseiten auf denen du angemeldet bist.

Ist bei den wichtigsten schon geschehen.

Zitat von Q-Max

Lade dir das Tool CCleaner und stelle hier mal ein Bildschirmfoto von den Programmen im Autostart ein, und auch von dem Fenster wo man Programme deinstallieren kann. Damit können wir schon mal grob sagen ob was komisches auf deinem Rechner läuft.

Das werde ich dann auch noch heute in Angriff nehmen. Hoffe nur, dass ich da zurecht komme...

Zitat von Q-Max

Und zu guter Letzt: Dein Ex brauch nicht an deinen Rechner. Alles was er sehen darf, kann er von seinem eigenen Rechner, also sei nicht blöd und lass ihn da noch dran fummeln.

Vielen Dank für die lieben Worte, das ist mir nun auch bewusst. Aber im Nachhinein ist man ja bekanntlich immer schlauer... Wie man sich doch manchmal in Menschen täuschen kann...