Liebe Guten Geister,

habe - wofür ich mich jetzt noch ärhgere - diesen 1und1-Anhang geöffnet; zwar ist mir sofort aufgefallen, wie behämmert das war, gleichwohl fürchte ich, dass ich dem Trojaner die Tür geöffnet habe.

Der VirsScan behauptet, er habe 531185859.exe und 9999[1].exe als "Spy-Agent.ba" erkannt und "gelöscht". Ist dem zu trauen? Soll ich mein Logfile hier posten und könnte einer von Euch (ich gehöre unter das Akrostichon DAU) einmal darüber sehen?

Für Eure Hilfe wäre ich sehr dankbar!

Besten Gruß

Luring

-----------------------------
Ich hänge dieses Logfile einfach gleich mit an.

Logfile of HijackThis v1.99.1
Scan saved at 14:05:08, on 09.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\VERITAS\NETBAC~1\bin\bpinetd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\PROGRA~1\VERITAS\NETBAC~1\bin\SSM.exe
C:\PROGRA~1\VERITAS\NETBAC~1\bin\BPJAVA-msvc.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRA~1\HEWLET~1\Toolbox\STATUS~1\STATUS~1.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Network Associates\VirusScan\mcconsol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Divers\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\accessf.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\accessf.exe
O4 - HKLM\..\RunOnce: [PixelInstall]

O4 - HKLM\..\RunOnce: [Reboot]

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\accessf.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\accessf.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - h**ps://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-
O17 - HKLM\Software\..\Telephony: DomainName = uni-
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDC9AF53-105C-4B0D-8C0C-E5CD13A94BFA}: NameServer =
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NetBackup Client Service (NetBackup INET Daemon) - VERITAS Software Corporation - C:\PROGRA~1\VERITAS\NETBAC~1\bin\bpinetd.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Beim Neustart fragte mich VirusScan, ob die Dateien accessf.exe eines "unbekannten Herausgebers" geöffnet werden sollten oder nicht. Heißt dass, das Programm hat den Trojaner jetzt "eingekesselt" (bittebittebitte)?

Gruß

Luring

Hallo,
also in deinem Log stehen die Dateien als laufender Prozess der beim starten sofort ausgeführt wird...

Zitat:

O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\accessf.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\accessf.exe

Das hier sieht auch äußerst "komisch" aus...

Zitat:

O4 - HKLM\..\RunOnce: [PixelInstall]

O4 - HKLM\..\RunOnce: [Reboot]

Schlechte Karten die du da hast....
Aber warte mal,ob andere noch was dazu sagen wollen/können/müssen...
Irrlicht

Zitat:

Zitat von irrlicht

Schlechte Karten die du da hast....
Aber warte mal,ob andere noch was dazu sagen wollen/können/müssen...
Irrlicht

Na dann hoffe ich einmal, dass andere dazu noch etwas sagen wollen/können/müssen ...

Besten Dank fürs Reinschauen!

Luring

Zitat:

Zitat von Luring

Na dann hoffe ich einmal, dass andere dazu noch etwas sagen wollen/können/müssen ...

Momentan kann ich nur sagen, das jeder der die Mail geöffnet und sich den Anhang angesehen/installiert hat, sich den BackdoorTrojaner aktiviert haben wird.

Daher genau das gleiche wie hier -> * Neuinstallation bei Backdoorbefall! *

Gruß
Sunny

Hallo,
war ein Weilchen nicht mehr hier gewesen und kenne deshalb noch nicht alle wichtigen Threads..
Guggst du hier,insbesondere den Beitrag von "Sunny"
Das dürfte ohne Einschränkungen auch für dich gelten.
Auf weitere Helfer brauchst du demnach nicht warten...

http://www.trojaner-board.de/35065-a...1-1-mails.html

Unter "Anleitungen,FAQ,Links" wird dir eine Neuinstallation nahe gebracht...
Zumindest darfst du danach nicht mehr in der Rubrik "DAU" beheimatet sein...
Aber keine Angst...es ist lange nicht so schwierig wie es den Anschein hat...
Irrlicht

Edit
Hallo Sunny...
hab dich gerade verlinkt....

Das Schlimmste ist: ich weiß ja, dass ich keine Anhänge öffnen darf; aber als 1&1-Kunde ...

Das Allerschlimmste ist: Ich habe schon vor zwei Jahren alles neu aufsetzen dürfen, als ich noch Outlook beutzte; vielleicht erinnere ich mich ja daran.

Aber das Allerallerschlimmste ist: Es handelt sich um einen nicht unwichtigen Rechner am Institut, dessen Datenbankenkonfigurationen im Backup nicht erfasst werden. Das stinkt geradezu nach unbezahlter Wochenendearbeit ...

Ich Idiot

Eine Frage aber noch: Muss ich alle Partitionen löschen oder kann die 'unschuldige' Festplatte D. bleiben wie sie ist?


Besten Dank - auch für die niederschmetternden Nachrichten.

Luring

Hallo,
in C: tummelt sich dein Trojaner...mit D: hat der nix am Hut,der ist scharf auf dein Betriebssystem, nicht so sehr auf deine Daten...
Der will nämlich rausssss
Irrlicht