1&1Trojaner! Bin auch betroffen! Was soll ich tun?

LordSmile · 08.01.2007, 21:38

Hi,
ich bin bei GMX und bin gestern morgen um 9:20 Uhr auch auf die Mail von 1&1 reingefallen. Könnte mit Tod ärgern. Warum habe ich das .exe nicht gesehen.

Habe den Gdata Virenscanner drauf. In der Protokoll Datei habe ich folgende Einträge für die letzten Tage gefunden:

beim Öffnen der Datei "I:\WINDOWS\system32\acleditf.exe" wurde der Virus "Backdoor.Win32.Agent.akf" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.

beim Öffnen der Datei "I:\System Volume Information\_restore{35B25332-584C-4F2C-B623-6D7E1355172B}\RP298\A0059701.exe" wurde der Virus "Backdoor.Win32.Agent.akf" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.

beim Öffnen der Datei "I:\Dokumente und Einstellungen\cmosble\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPKJ430V\Rechnung[1].pdf.exe" wurde der Virus "Backdoor.Win32.Agent.akf" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.

beim Öffnen der Datei "I:\WINDOWS\system32\accessb.exe" wurde der Virus "Backdoor.Win32.Agent.akf" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.

Eben habe ich einen gesamten Virenscan durchgeführt:
Der Virus Backdoor.Win32.Agent.akf wurde gefunden

Hier das Protokoll:
Virenprüfung mit AntiVirenKit
Version 17.0.6268
Virensignaturen vom 08.01.2007
Startzeit: 08.01.2007 18:47
Engine(s): Engine A (AVK 17.1893), Engine B (AVKB 17.99)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
Prüfung der Systembereiche...
Prüfung ausgewählter Verzeichnisse und Dateien...
Objekt: rserver30 raddrvv3.sys
In Archiv: L:\Download\rserv30b2.exe
Status: Virus gefunden
Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (Engine A)
Objekt: rserver30 rserver3.exe
In Archiv: L:\Download\rserv30b2.exe
Status: Virus gefunden
Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (Engine A)
Objekt: rserv30b2.exe
Pfad: L:\Download
Status: Datei in Quarantäne verschoben
Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (2x) (Engine A)
Objekt: Radmin.exe
In Archiv: L:\Download\rview30b2.exe
Status: Virus gefunden
Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (Engine A)
Objekt: rview30b2.exe
Pfad: L:\Download
Status: Datei in Quarantäne verschoben
Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (Engine A)
Objekt: Dl7.exe
Pfad: L:\RECYCLER\S-1-5-21-2052111302-813497703-725345543-1003
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.Agent.akf (Engine A)
Analyse vollständig durchgeführt: 08.01.2007 21:26
121456 Dateien überprüft
3 infizierte Dateien gefunden

Was soll ich nun tun ? Muß ich nun alle Festplatten auf meinem Rechner löschen und nur die wo das BS drauf ist.

Hier mal mein Logfile. Kann man da was schlimmes erkennen ?

Logfile of HijackThis v1.99.1
Scan saved at 18:54:09, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
i:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
I:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
I:\Programme\FRITZ!DSL\IGDCTRL.EXE
I:\WINDOWS\system32\CTsvcCDA.EXE
I:\Programme\ewido anti-spyware 4.0\guard.exe
I:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
I:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
I:\WINDOWS\CTHELPER.EXE
I:\Programme\Logitech\G-series Software\LGDCore.exe
I:\Programme\Logitech\G-series Software\LCDMon.exe
I:\Programme\Logitech\QuickCam10\QuickCam10.exe
I:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
I:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
I:\Programme\DAEMON Tools\daemon.exe
I:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
I:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
I:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
I:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
L:\Programme\BF2G15Mod\BF2 LCD.exe
I:\Programme\ICQLite\ICQLite.exe
I:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
I:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
I:\WINDOWS\system32\CTXFIHLP.EXE
I:\WINDOWS\system32\RUNDLL32.EXE
I:\WINDOWS\system32\rundll32.exe
I:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
I:\WINDOWS\SYSTEM32\CTXFISPI.EXE
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
L:\Programme\Steam\Steam.exe
I:\Programme\Skype\Phone\Skype.exe
I:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
I:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
I:\Programme\SlySoft\AnyDVD\AnyDVD.exe
I:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
I:\Programme\Logitech\SetPoint\SetPoint.exe
I:\Programme\USB Sharing\usbshare.exe
I:\Programme\FRITZ!DSL\StCenter.exe
I:\Programme\Hardcopy\hardcopy.exe
I:\Programme\Logitech\QuickCam10\COCIManager.exe
I:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
I:\Programme\Internet Explorer\IEXPLORE.EXE
I:\Programme\Pluck Corporation\Pluck\PluckSvr.exe
I:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
I:\Programme\Internet Explorer\IEXPLORE.EXE
I:\Programme\G DATA InternetSecurity\GUI\avkis.exe
I:\Programme\G DATA InternetSecurity\AVK\avk.exe
I:\Programme\G DATA InternetSecurity\AVKStatus\AVKStatus.exe
I:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrsrv.exe
I:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
K:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.**ogle.de/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Pluck Helper - {09AF76DD-6988-4664-97D0-362F1011E311} - I:\Programme\Pluck Corporation\Pluck\PluckExplorerBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - I:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [IAAnotif] I:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [GBB36X Configure] I:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "I:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "I:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "I:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "I:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "I:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] I:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] I:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] I:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] I:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "I:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [JMB36X Configure] I:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [BF2 G15 MOD] "L:\Programme\BF2G15Mod\BF2 LCD.exe"
O4 - HKLM\..\Run: [ICQ Lite] "I:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TerraTec Remote Control] "I:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [ScreenManager Pro for LCD] I:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVKTray] "I:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinUpdate] I:\WINDOWS\system32\acleditf.exe
O4 - HKLM\..\RunServices: [WinUpdate] I:\WINDOWS\system32\acleditf.exe
O4 - HKCU\..\Run: [Steam] "L:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "I:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EA Core] "I:\Programme\Electronic Arts\EA Link\Core.exe" -silent
O4 - HKCU\..\Run: [Personal ID] I:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - HKCU\..\Run: [AnyDVD] I:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [WinUpdate] I:\WINDOWS\system32\acleditf.exe
O4 - HKCU\..\RunServices: [WinUpdate] I:\WINDOWS\system32\acleditf.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] I:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Startcenter.lnk = I:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: Hardcopy.LNK = I:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = I:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: USB Sharing.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Pluck - {053017A8-53F7-4EA3-AA38-A4CCAAF1F9E7} - I:\Programme\Pluck Corporation\Pluck\PluckExplorerBar.dll
O9 - Extra 'Tools' menuitem: Pluck - {053017A8-53F7-4EA3-AA38-A4CCAAF1F9E7} - I:\Programme\Pluck Corporation\Pluck\PluckExplorerBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***go.m***osoft.com/fwlink/?linkid=39204
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmana***kamaitools.com.edgesui**nt/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab[/url]
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - **://cdn.scan.safety.****m/resource/download/scanner/w****969.cab
O18 - Protocol: pluck - {A5DD5FEC-8239-4A12-B791-4B6067F85CCC} - I:\Programme\Pluck Corporation\Pluck\PluckExplorerBar.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - I:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVKProxy - G DATA Software AG - I:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - I:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - I:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - I:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - I:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - I:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - I:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - I:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - I:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - i:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - I:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Radmin Server V3 (RServer3) - Unknown owner - I:\WINDOWS\system32\rserver30\rserver3.exe" /service (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - I:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

cosinus · 08.01.2007, 21:54

Folge dieser http://www.trojaner-board.de/12154-a...sicherung.html

LordSmile · 09.01.2007, 08:34

Zitat:

Zitat von cosinus

Folge dieser http://www.trojaner-board.de/12154-a...sicherung.html

Na wunderbar. Ich hab es schon befürchtet.
Muß ich wirklich alle Festplatten des Rechners löschen ??
Ich habe mein B-System auf Laufwerk I: und der Virus wurde auf Laufwerk L: ausgeführt. Auf Laufwerk C: sind meine Acronis Backups. Sind diese nun auch "verseucht" ? Dann sind alle meine Daten weg !!! Das geht gar nicht

Kann ich nicht erst mal versuchen Laufwerk I: und L: komplett zu löschen und BS neu zu installieren ?

Meine Passwörter für Onlinebanking u.s.w. sind in einer KeePass Datei gesichert. Sollte ich alles sperren lassen ? Ferner habe nach der Aktivierung des Virus im Internet mit Kreditkarte eingekauft ( als ich noch nix von dem Virus wußte) Alle Kreditkarten sperren lassen ?

Habe den Rechner jetzt komplett vom Netz genommen.

Noch nie bin ich auf solche Mails reingefallen. Ich könnte platzen vor Wut

cosinus · 10.01.2007, 01:21

IdR reicht es, nur die Systempartition zu löschen, also die auf der das kompromittierte Betriebssystem drauf ist.

Zitat:

Auf Laufwerk C: sind meine Acronis Backups. Sind diese nun auch "verseucht" ? Dann sind alle meine Daten weg !!!

Unwahrscheinlich. Du solltest Images aber auch mal irgendwie extern sichern, denn bei nem Plattenausfall wären die dann ja auch mit weg.

Zitat:

Meine Passwörter für Onlinebanking u.s.w. sind in einer KeePass Datei gesichert.

Die KeePass Database Datei, die die Passwörter beinhaltet, ist doch nochmal extra durch ein Masterkennwort gesichert. Insofern glaube ich nicht wirklich daran, dass dort jmd. an alle Passwörter kommt. Und die Keepass Datei musste ja auch erstmal drankommen.
Aber da der Trojaner aktiv war während du Transaktionen vorgenommen hattest...

Heikel das ganze, wenn du auf Nummer sicher gehen willst, musst die die Karten sperren und sätmliche Passwörter ändern lassen.

Zitat:

Ich habe mein B-System auf Laufwerk I: und der Virus wurde auf Laufwerk L: ausgeführt.

Was meinst du mit B-System?

Zeites bzw. parallel installiertes Betriebssystem?
Jedenfalls im System auf Laufwerk I: steckt auf jedenfall was:

O4 - HKCU\..\Run: [WinUpdate] I:\WINDOWS\system32\acleditf.exe

Zitat:

Kann ich nicht erst mal versuchen Laufwerk I: und L: komplett zu löschen und BS neu zu installieren ?

Das dürfte imho ausreichen. Was ist denn auf den anderen Partitionen drauf?

LordSmile · 10.01.2007, 09:18

@ cosinus´
Danke

Auf i: war mein Betriebssystem (nur eins auf dem Rechner) und auf L: hatte ich Games und Download. Darum war dort der Trojaner. Die PDF.EXE wurde auf L: gespeichert und ausgeführt. Auf den anderen Laufwerken sind nur Daten.

Laufwerk I: und L: gelöscht.

Betriebssystem neu installiert. Ist jetzt auf Laufwerk C:

Kaspersky auf allen Laufwerken laufen lassen. Wird nix mehr gefunden, bis auf einen Hinweis:

potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\cmosble\Lokale Einstellungen\Temp\_is8A.exe

Das ist aber nicht der Trojaner ??

Hier das aktuelle HIJack. Ist da noch was verdächtig ?

Logfile of HijackThis v1.99.1
Scan saved at 09:05:42, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.go***e/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

cosinus · 10.01.2007, 12:07

Zitat:

Die PDF.EXE wurde auf L: gespeichert und ausgeführt. Auf den anderen Laufwerken sind nur Daten.

Naja, wo der Schädling liegt (also gespeichert ist) ist irrelevant, er versucht zumindest das aktuell laufende Betriebssystem zu infizieren.

Zitat:

C:\Dokumente und Einstellungen\cmosble\Lokale Einstellungen\Temp\_is8A.exe

Als welchen erkennt Kaspersky diese Datei? Check die notfalls nochmal bei Virustotal oder Jotti.

C:\WINDOWS\CTHELPER.EXE

Auf dem ersten Blick könnte man meinen, diese Datei gehört zu Creative. Lt. Hijackthis.de-Datenbank liegt die aber im System-Ordner...
Lad die bitte sicherheitshalber auch bei Virustotal oder Jotti hoch und poste Infos zu Dateigrößen und Prüfsummen (auch von der anderen Datei).

LordSmile · 10.01.2007, 14:11

Habe beide Dateien mit Jotti gescannt. Alles o.k.

Größe:

_is8A : 444KB (Hersteller:Macrovision)
CT Helper: 17,5KB (Hersteller: Creative)

Wo finde ich die Prüfsumme ?

Kriegt man eigebtlich irgendwann raus was genau dieser 1&1 Trojaner bewirkt bzw. anstellt. Alle Foren sind voll davon. Hat echt viele getroffen.

cosinus · 10.01.2007, 16:31

Zitat:

_is8A : 444KB (Hersteller:Macrovision)
CT Helper: 17,5KB (Hersteller: Creative)

Okay das dürfte dann i.O. gehen mit dem System, was du jetzt durch das Image wieder hast.

Zitat:

Wo finde ich die Prüfsumme ?

Wenn du die Dateien bei Jotti oder Virustotal auswertest, spucken diese Dienste auch die md5 und sha1-Prüfsumme (nur bei Virustotal) aus. Kannst du dir quasi als Fingerabdruck einer Datei vorstellen. Mit Prüfsummen stellt man die Unversehrtheit einer Datei fest oder etwa ob die sich von einer anderen unterscheidet.

Zitat:

Kriegt man eigebtlich irgendwann raus was genau dieser 1&1 Trojaner bewirkt bzw. anstellt. Alle Foren sind voll davon. Hat echt viele getroffen.

Was die genau im einzelnen machen weiß ich nicht. Aber dieser Trojaner ermöglicht u.a. Dritten den unbefugten Zugriff auf den PC, siehe auch hier => heise Security - News - 1&1 warnt Kunden vor gefälschten Rechnungen

08.01.2007, 21:54	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	1&1Trojaner! Bin auch betroffen! Was soll ich tun? Folge dieser http://www.trojaner-board.de/12154-a...sicherung.html __________________ __________________

1&1Trojaner! Bin auch betroffen! Was soll ich tun?

Plagegeister aller Art und deren Bekämpfung: 1&1Trojaner! Bin auch betroffen! Was soll ich tun?