Hallo Leute, brauche dringend nochmal eure Hilfe,

habe jetzt schon viel Wegbekommen, jedoch bleibt immer die Meldung von dem shangxing Backdoor bei Escan bestehen, er löscht zwar die einträge, beim nächsten Suchlauf ist er jedoch wieder da.
Auch wenn ich das Internet anschließe schlägt Kaspersky sofort alarm, Angriff konnte aber (angeblich) abgewert werden.

Hier mein Escan und Hijachthis Log File


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Aug 26 12:04:57 2007 => Version 9.3.9
Sun Aug 26 12:04:51 2007 => Virus-Datenbank Datum: 8/25/2007
Sun Aug 26 13:12:22 2007 => Virus-Datenbank Datum: 8/25/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Aug 26 12:07:13 2007 => System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Aug 26 12:47:59 2007 => Scanne Datei C:\Programme\Half_Life_2\hl2\sound\npc\combine_soldier\vo\wehavenontaggedviromes.wav
Sun Aug 26 12:48:05 2007 => Scanne Datei C:\Programme\Half_Life_2\hl2\sound\npc\metropolice\vo\non-taggedviromeshere.wav
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Aug 26 13:12:22 2007 => Gefundene Viren: 1
Sun Aug 26 13:12:22 2007 => Anzahl Fehler: 2
Sun Aug 26 13:12:22 2007 => Dauer des Scans bisher: 01:07:23
Sun Aug 26 13:12:22 2007 => Gescannte Dateien: 211807
Sun Aug 26 12:04:58 2007 => Specherüberprüfung: Aktiviert
Sun Aug 26 12:04:58 2007 => Registry Überprüfung: Aktiviert
Sun Aug 26 12:04:58 2007 => System-Ordner Überprüfung: Aktiviert
Sun Aug 26 12:04:58 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Aug 26 12:04:58 2007 => Überprüfung der Dienste: Aktiviert
Sun Aug 26 12:04:58 2007 => Überprüfung der Festplatten: Deaktiviert
Sun Aug 26 12:04:58 2007 => Überprüfung aller Festplatten :Aktiviert




Logfile of HijackThis v1.99.1
Scan saved at 13:36:33, on 26.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Torsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\Video_deluxe_2007_PLUS\TrayServer.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20060912/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://193.27.44.33//activex/AMC.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe



Bitte helft mir, bin schon am verzweifeln!!!!!!!



:

Halli hallo. Der Link zum VorThread wäre super. Habe keine Lust mir den immer zu selber raus zu suchen..

Wenn du einen BackDoor auf dem Rechner hast musst du NEUAUFSETZTEN!

PS: Kopiere bitte dei Kaspersky-Meldung ab und poste sie hier. Setzte dann alle Kav Parameter auf "höchste Sicherheitsstufe". Update Kav und wechsel in den abgesicherten Modus (F8 beim Hochfahren). Dort machst du einen RootkitScan. Kopiere die Funde ab und poste sie hier. Das gleiche machst du danach bitte im Normalen Modus.


Gruß

Undoreal

Hier noch der Bericht von Spybot Scan

Win32.Agent.bgy: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-3718517748-432830464-1963946546-1005\Software\FirstRRRun


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-08-25 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-07-31 Tools.dll (2.1.2.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-08-22 Includes\Cookies.sbi (*)
2007-07-25 Includes\Dialer.sbi (*)
2007-08-22 Includes\DialerC.sbi (*)
2007-07-11 Includes\Hijackers.sbi (*)
2007-08-22 Includes\HijackersC.sbi (*)
2007-07-25 Includes\Keyloggers.sbi (*)
2007-08-22 Includes\KeyloggersC.sbi (*)
2007-08-01 Includes\Malware.sbi (*)
2007-08-22 Includes\MalwareC.sbi (*)
2007-08-22 Includes\PUPS.sbi (*)
2007-08-22 Includes\PUPSC.sbi (*)
2007-08-22 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-08-22 Includes\SecurityC.sbi (*)
2007-08-01 Includes\Spybots.sbi (*)
2007-08-22 Includes\SpybotsC.sbi (*)
2007-08-21 Includes\Tracks.uti
2007-08-01 Includes\Trojans.sbi (*)
2007-08-22 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll




Und der Link zum ersten Thread

http://www.trojaner-board.de/42606-hilfe-virus-win32-delf-ak-und-andere-plagegeister.html

Wie kann ich den Kaspersky abkopieren, nur per Bildanhang????

Sorry, aber weiß es leider nicht.

Zitat:

Sorry, aber weiß es leider nicht.

macht nichts!

Datenverwaltung->Berichte->RootkitSuche->Gefunden. Dann auf Aktionen und "Speichern unter"


PS: Warum hast du nicht im anderen Thread weiter gewartet?

Gruß

Undoreal

Ich dachte es würde jetzt eher hier hin gehören, sorry wenn das verkehrt war.

Habe aber noch ein Problem, komme einfach nicht in den Abgesicherten Modus.

Folgendes Problem:

Nach der Auswahl des abgesicherten Modus Startet er diesen, bis unten auf dem Monitor die Meldung auftaucht

"Press Esc to cancel loading d346bus.sys"

habe schon beide Varianten ausprobiert, mit ESC und ohne, jedesmal erfolgt danach ein BlueScreen, das System wurde aus Sicherheitsgründen.... bla bla bla...

Mit der Fehlermeldung ***STOP 0x0000007B (0xF7A7A528, 0x00000034, 0x00000000, 0x00000000)


Ich hoffe man kann das noch irgendwie retten. Habe so viele für mich wichtige Daten hier drauf.


So, hier der Bericht von Kaspersky, Rootkit suche läuft im normalen Modus:


6.08.2007 13:21:10 Der Versuch von Prozess mit PID 2644 Zugriff auf den Prozess Kaspersky Anti-Virus mit PID 1720 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
26.08.2007 13:21:10 Der Versuch von Prozess mit PID 2644 Zugriff auf den Prozess Kaspersky Anti-Virus mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
26.08.2007 13:24:16 Das Update wurde erfolgreich abgeschlossen
26.08.2007 13:24:16 Quarantäne: Datei C:\Programme\Analog Devices\SoundMAX\SMTray.exe//PE_Patch, gefunden: Virus 'Email-Worm.Win32.Bagle.jc'.
26.08.2007 13:24:23 Quarantäne: Datei C:\Programme\Analog Devices\SoundMAX\SMTray.exe wurde gelöscht.
26.08.2007 13:24:39 Quarantäne: Datei C:\Programme\eMule\Incoming\MicroWorld.eScan.Pro.v8.0.671.1.Multilingual.Incl.Keymaker-CORE.rar/MicroWorld.eScan.Pro.v8.0.671.1.Multilingual.Incl.Keymaker-CORE\es_hwne.exe//file0151//PE_Patch.UPX, gefunden: Virus 'Heur.Trojan.Generic' (Modifikation).
26.08.2007 13:47:32 Der Versuch von Prozess mit PID 3248 Zugriff auf den Prozess Kaspersky Anti-Virus mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
26.08.2007 13:47:32 Der Versuch von Prozess mit PID 3248 Zugriff auf den Prozess Kaspersky Anti-Virus mit PID 1720 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
26.08.2007 14:05:14 Das Update wurde erfolgreich abgeschlossen
26.08.2007 14:05:57 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren.
26.08.2007 14:07:52 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.
26.08.2007 14:07:52 Schutz des Computers ist aktiv.
26.08.2007 14:08:57 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren.
26.08.2007 14:12:13 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.
26.08.2007 14:12:13 Schutz des Computers ist aktiv.
26.08.2007 14:12:46 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren.
26.08.2007 14:21:13 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.
26.08.2007 14:21:13 Schutz des Computers ist aktiv.


Berichte
--------
Komponente Status Start Ende Größe
---------- ------ ----- ---- -----
Proaktiver Schutz aktiv 26.08.2007 14:21:13 0 Bytes
Datei-Anti-Virus aktiv 26.08.2007 14:21:13 468,9 KB
Mail-Anti-Virus aktiv 26.08.2007 14:21:13 0 Bytes
Web-Anti-Virus aktiv 26.08.2007 14:21:13 32,7 KB
Autostart-Objekte untersuchen abgeschlossen 26.08.2007 14:23:13 26.08.2007 14:24:59 1,2 MB
Rootkit-Suche aktiv 26.08.2007 14:28:25 860,7 KB


Quarantäne
----------
Status Objekt Größe Hinzugefügt
------ ------ ----- -----------
Verdächtig: potentiell gefährliche Software Trojan.cryptor C:\Programme\Ulead Systems\Ulead VideoStudio 10.0\uvPL.exe 36 KB 24.08.2007 23:05:17
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Programme\eMule\Incoming\MicroWorld.eScan.Pro.v8.0.671.1.Multilingual.Incl.Keymaker-CORE.rar/MicroWorld.eScan.Pro.v8.0.671.1.Multilingual.Incl.Keymaker-CORE\es_hwne.exe 36 MB 25.08.2007 20:12:49


Backup
------
Status Objekt Größe
------ ------ -----
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Volksbanken Raiffeisenbanken][Subject:Die wichtige Mitteilung [Sun, 13 Nov 2005 10:56:22 +0100]][Time:2005/11/13 11:57:22]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Volksbanken Raiffeisenbanken][Subject:DIE WICHTIGE INFORMATION [Wed, 26 Oct 2005 07:05:08 -0600]][Time:2005/10/26 15:05:08]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:VOLKSBANKEN RAIFFEISENBANKEN][Subject:Volksbanken Raiffeisenbanken Online-Banking][Time:2005/10/22 03:14:36]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Volksbanken Raiffeisenbanken][Subject:VOLKSBANKEN RAIFFEISENBANKEN INTERNET-BANKING][Time:2005/10/20 09:21:22]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Volksbanken Raiffeisenbanken AG][Subject:DIE WICHTIGE INFORMATION [Sat, 12 Nov 2005 07:19:10 -0200]][Time:2005/11/12 11:17:10]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bayfraud.hn Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:eBay][Subject:Identity theft solutions from eBay][Time:2005/09/15 06:06:16]/RichBody 1,7 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Volksbanken Raiffeisenbanken AG][Subject:Volksbanken Raiffeisenbanken Banking [Fri, 11 Nov 2005 23:39:19 -0200]][Time:2005/11/12 03:38:19]/RichBody 1,7 KB
Infiziert: Virus Email-Worm.Win32.Bagle.jc C:\Programme\Analog Devices\SoundMAX\SMTray.exe 322,5 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kl Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:DEUTSCHE POSTBANK AG][Subject:Die wichtige Mitteilung][Time:2005/11/27 21:34:41]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.li Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Deutsche Bank AG][Subject:DEUTSCHE BANK BANKING [Sat, 03 Dec 2005 19:04:46 +0500]][Time:2005/12/03 15:58:46]/RichBody 1,7 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Volksbanken Raiffeisenbanken][Subject:VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING [Sat, 19 Nov 2005 18:56:08 -0600]][Time:2005/11/20 02:59:08]/RichBody 1,7 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.km Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:DEUTSCHE POSTBANK AG][Subject:POSTBANK ONLINE-BANKING [Tue, 27 Sep 2005 08:02:32 +0400]][Time:2005/09/27 06:02:32]/RichBody 1,6 KB
Infiziert: Adware not-a-virus:AdWare.Win32.SaveNow.v C:\Dokumente und Einstellungen\Torsten\Eigene Dateien\Download\netpumper-1[1].20.1-setup.exe 4,4 MB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bayfraud.hn Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:eBay Inc][Subject:URGENT SECURITY NOTICE [Sun, 09 Oct 2005 01:49:23 +0100]][Time:2005/10/09 02:48:23]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bayfraud.hn Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:eBay Inc][Subject:Important account notice from eBay Inc [Tue, 21 Jan 2003 06:50:59 +0100]][Time:2003/01/21 07:49:59]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:VOLKSBANKEN RAIFFEISENBANKEN][Subject:Volksbanken Raiffeisenbanken Internet Banking [Mon, 21 Nov 2005 02:21:07 +0500]][Time:2005/11/20 23:25:07]/RichBody 1,7 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.ld Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Deutsche Bank AG][Subject:Die wichtige Mitteilung][Time:2005/12/05 20:17:15]/RichBody 1,6 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Programme\eMule\Incoming\MicroWorld.eScan.Pro.v8.0.671.1.Multilingual.Incl.Keymaker-CORE.rar 36,6 MB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.ky Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Deutsche Bank AG][Subject:DEUTSCHE BANK INTERNET BANKING [Fri, 02 Dec 2005 09:23:08 +0600]][Time:2005/12/02 05:23:08]/RichBody 1,7 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Volksbanken Raiffeisenbanken AG][Subject:Volksbanken Raiffeisenbanken Internet-Banking [Sun, 13 Nov 2005 10:57:55 -0700]][Time:2005/11/13 20:06:55]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.li Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:DEUTSCHE BANK AG][Subject:Die wichtige Information][Time:2005/12/09 22:59:45]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:VOLKSBANKEN RAIFFEISENBANKEN][Subject:VOLKSBANKEN RAIFFEISENBANKEN BANKING [Sat, 19 Nov 2005 08:09:07 +0200]][Time:2005/11/19 08:02:07]/RichBody 1,7 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.km Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Deutsche Postbank AG][Subject:DIE WICHTIGE MITTEILUNG][Time:2005/11/26 23:18:09]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Volksbanken Raiffeisenbanken][Subject:Volksbanken Raiffeisenbanken Internet-Banking [Fri, 11 Nov 2005 21:35:07 +0400]][Time:2005/11/11 19:39:07]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bankfraud.kd Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Volksbanken Raiffeisenbanken][Subject:ES IST WICHTIG! [Thu, 17 Nov 2005 14:29:23 -0600]][Time:2005/11/17 22:33:23]/RichBody 1,6 KB
Infiziert: trojanisches Programm Trojan-Spy.HTML.Bayfraud.hn Outlook\Archivordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:eBay][Subject:eBay Inc EmaiI Verification - [%To_Email]][Time:2005/09/19 19:06:06]/RichBody 1,7 KB



Habe nur das Ende eingefügt, in dem rest stehen ja alle vorgänge.

Zitat:

Ich hoffe man kann das noch irgendwie retten.

da muss ich dich leider entäuschen.

Du musst deinen Rechner NEUAUFSETZTEN ! Das habe ich dir oben auch schon gepostet.. Meine Ansätze waren reine Neugier.. und wenn du noch nicht einmal mehr in den Abg. kommst dann kann mal alles vergessen..

Gruß

Undoreal

Wie kann ich denn dann meine persönlichen Daten und Programme retten?

Habe meine Platte auch nicht unterteilt. Wollte sowieso eine neue Platte kaufen, kann ich die dann einbauen und die wichtigen Programme rüberziehen? Oder sind diese dann auch gleich wieder infiziert? Wo versteckt sich den der Trojaner?

Zitat:

Wie kann ich denn dann meine persönlichen Daten und Programme retten?

brennen oder externe festplatte bzw. Laptop. Allerdings solltest du höllisch aufpassen was du sicherst. Keine ausführbaren Dateien wie .exe oder .com oder .dll Dateien! Und alle anderen nur wenn du sie def. kennst und auch dann solltest du sie vorher mit eScan scannen bevor sie auf den neuen Rechner kommen..

mfg

Undoreal

Also die Rootkit suche hat nichts gefunden, alles sauber.

Kann ich den Archive gefahrlos sichern? Wenn ich keine Ausführenden Dateien sichern darf, wie soll ich dann manche Programme sichern???

Zitat:

Kann ich den Archive gefahrlos sichern?

nope

Zitat:

Wenn ich keine Ausführenden Dateien sichern darf, wie soll ich dann manche Programme sichern???

am besten garnicht.

mfg

Habe die Nacht noch mal Kaspersky Virenscan laufen lassen, im normalen Modus, negativ, Rootkitsuche negativ, ebenso Adaware, auch negativ, Spybot auch Negativ, nur Escan findet halt diesen Shangxin Backdoor.

Habe mir jetzt eine Externe Festplatte besorgt, werde dann mal Anfangen zu sichern. Wenn ich diese dann mit allen Scannern durchlaufen lasse, kann ich mir dann sicher sein das dort nichts drauf ist? Oder bleibt der Virus eine zeitlang inaktiv um dann zuzuschlagen?

Schon mal Danke für deine Hilfe bis da hin!!!