Hallo zusammen,

leider hat es mich jetzt zum ersten Male auch erwischt.

Aus diesen Gründen bin auch absoluter Neuling auf dem Gebiet.
Ich habe in den letzten Tagen hier viel gelesen und hoffe ich bin jetzt in der Lage Euch alle Informationen zu bieten die Ihr benötigt.

Zwischen den Jahren wurde ich von meiner Bank benachrichtigt das sie mein online Banking sicherheitshalber gesperrt haben, da auf 2 Ausländischen Servern meine Login Daten aufgetaucht sind.

Die Bank teilte mir mit das es der Trojaner Win32.Agent sei.

Auch ebay legte kurz drauf aus selbigen Gründen meinen Account still.

Ich habe davon nichts gemerkt und weis auch bis heute nicht genau wodurch ich infiziert wurde.

Norton konnte dann folgenden finden und löschen:

29.12.2006 12:17:05,Virenprüfprogramm,Backdoor.Bifrose,Gelöscht,Datei,N/A,N/A,200612280009,12.2.0.13,Frank,WHSFRANK,"Quelle: Manuelle Prüfung,Risikokategorie Virus,Durchgeführte Aktion: Gelöscht,Beschreibung: Betroffene Bereiche: 1 Dateien: C:\RECYCLER\S-1-5-21-1876071912-1856522481-2686249626-1007\Dc826.exe - Gelöscht "

In meinem Papierkorb befindet sich aber trotzallem noch ein Ordner mit Namen
"d54fa64e654068bfe557c086d9ea" der nicht gelöscht werden kann.

Am Montag fand Norton nochmal dieses:

08.01.2007 21:27:28,Virenprüfprogramm,Infostealer,Gelöscht,Datei,N/A,N/A,200701070005,12.6.0.1,Frank,WHSFRANK,"Quelle: Manuelle Prüfung,Risikokategorie Virus,Durchgeführte Aktion: Gelöscht,Beschreibung: Betroffene Bereiche: 1 Dateien: C:\WINDOWS\head2test.exe - Gelöscht "

So wie ich hier schon in anderen Beiträgen lesen konnte komme ich wohl um ein Neuaufsetzen des Systems nicht herum!?
Jedoch einige Dateien müsste ich noch sichern. Wie hoch ist das Risiko mir die Seuche wieder einzufangen wenn ich einige Word, Excel und JPG Datein auf ner externen Platte sichere und nachher wieder aufspiele?

Hier ist noch mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 07:47:51, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.exe
C:\wawis\server\dbsrvr.exe
C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearchIndexer.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Frank\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wxw.winter-XXX.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {23314D99-1240-4d4f-A25C-17E44823D048} - C:\WINDOWS\system32\ipv6monk.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.exe
O4 - Global Startup: WAWIS DB Server.lnk = C:\wawis\server\dbsrvr.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {60FF3727-80F3-4181-980F-CE95137B6359} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134586605155
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA688F90-1316-4410-BE69-A26C0DE0BEB7}: NameServer = 192.168.155.1
O23 - Service: Apache2 - Unknown owner - E:\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: mysql - Unknown owner - E:\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe

So ich hoffe ich konnte Euch alle Infos bieten die Ihr benötigt, mache das zu ersten Male.

Achso: Betriebssystem ist Windows XP

Viele Grüße Frank

Hier wird nicht gedrängelt sondern geschubst.

Würde mich nämlich schon interessieren wie man meinen Log bewerten kann, auch wenn ich neu aufsetze. Beim nächsten mal möchste ich dann gerne ein Funken schlauer sein.

Zitat:

Zitat von FrankW

Jedoch einige Dateien müsste ich noch sichern. Wie hoch ist das Risiko mir die Seuche wieder einzufangen wenn ich einige Word, Excel und JPG Datein auf ner externen Platte sichere und nachher wieder aufspiele?

Deine Bildchen sind eher unbedenklich. Die Officedokumente würde ich in einem Ordner sammeln, Zippen und und bei jotti oder virustotal.com überprüfen lassen. Auf gar keinen Fall ausführbare Dateien sichern (.exe,.com, .bat etc).

Hallo,

danke für Deine Antwort.
Dann werde ich das so machen. Ausführbare Dateien sind keine da zum sichern.

Kannst Du sonst irgendwas an meinem Log erkennen, was man wissen müsste?

Wie gesagt ich tue mir noch schwer sowas zu lesen.
Aber wenn schon soetwas ist dann soviel Infos auf den weiteren Weg mitnehmen wie es geht.

Mich errinert das ganze an die 1&1 Geschichte, allerdings trat das ganze ja offenbar bei mir schon zwischen den Jahren auf.

Hallo,
dein Autostart ist ein wenig überladen...Was aber insofern kein Fehler ist,eher eine Bremse beim systemstart.Die Einträge erkennst du an dem O4 ,das vorangestellt ist.Wirklich benötigt werden dort der Virenscanner und eventuell die Firewall,wenn vorhanden.Alles andere ist Geschmackssache.. Die könnte man auch als Symbol auf dem Desktop haben oder in "alle Programme"
Da lesen und verstehen einer der Schlüssel ist,um deine Kiste im Griff zu haben,lege ich dir selbiges ans Herz...
Für den Anfang sollten es die Links tun,die bei "Neuaufsetzen des Systems und anschließende Absicherung" zur Nutzung und Bildung freigegeben sind...
Bei dann auftauchenden Fragen, ist Google eine unschätzbare Hilfe...
Hilft Google nicht mehr weiter,kommst du wieder...
Irrlicht

Hallo,

Zitat:

dein Autostart ist ein wenig überladen...Was aber insofern kein Fehler ist,eher eine Bremse beim systemstart.Die Einträge erkennst du an dem O4 ,das vorangestellt ist.Wirklich benötigt werden dort der Virenscanner und eventuell die Firewall,wenn vorhanden.Alles andere ist Geschmackssache.. Die könnte man auch als Symbol auf dem Desktop haben oder in "alle Programme"

, da kommt der Schädling wohl gerade recht. Die Kiste müsste eh schon länger mal wieder richtig gemacht werden. Aber die Faulheit siegte bisher immer.

Zitat:

Hilft Google nicht mehr weiter,kommst du wieder...

Freu Dich nicht zu früh!

Ne Spaß bei Seite. Vielen Dank bis hier her.
Ich werde das Kind schon schaukeln.
Hoffe ich!

Viele Grüße
Frank