Folge dieser http://www.trojaner-board.de/12154-a...sicherung.html

Zitat:

Zitat von cosinus

Folge dieser http://www.trojaner-board.de/12154-a...sicherung.html

Na wunderbar. Ich hab es schon befürchtet.
Muß ich wirklich alle Festplatten des Rechners löschen ??
Ich habe mein B-System auf Laufwerk I: und der Virus wurde auf Laufwerk L: ausgeführt. Auf Laufwerk C: sind meine Acronis Backups. Sind diese nun auch "verseucht" ? Dann sind alle meine Daten weg !!! Das geht gar nicht

Kann ich nicht erst mal versuchen Laufwerk I: und L: komplett zu löschen und BS neu zu installieren ?

Meine Passwörter für Onlinebanking u.s.w. sind in einer KeePass Datei gesichert. Sollte ich alles sperren lassen ? Ferner habe nach der Aktivierung des Virus im Internet mit Kreditkarte eingekauft ( als ich noch nix von dem Virus wußte) Alle Kreditkarten sperren lassen ?

Habe den Rechner jetzt komplett vom Netz genommen.

Noch nie bin ich auf solche Mails reingefallen. Ich könnte platzen vor Wut

IdR reicht es, nur die Systempartition zu löschen, also die auf der das kompromittierte Betriebssystem drauf ist.

Zitat:

Auf Laufwerk C: sind meine Acronis Backups. Sind diese nun auch "verseucht" ? Dann sind alle meine Daten weg !!!

Unwahrscheinlich. Du solltest Images aber auch mal irgendwie extern sichern, denn bei nem Plattenausfall wären die dann ja auch mit weg.

Zitat:

Meine Passwörter für Onlinebanking u.s.w. sind in einer KeePass Datei gesichert.

Die KeePass Database Datei, die die Passwörter beinhaltet, ist doch nochmal extra durch ein Masterkennwort gesichert. Insofern glaube ich nicht wirklich daran, dass dort jmd. an alle Passwörter kommt. Und die Keepass Datei musste ja auch erstmal drankommen.
Aber da der Trojaner aktiv war während du Transaktionen vorgenommen hattest...
Heikel das ganze, wenn du auf Nummer sicher gehen willst, musst die die Karten sperren und sätmliche Passwörter ändern lassen.

Zitat:

Ich habe mein B-System auf Laufwerk I: und der Virus wurde auf Laufwerk L: ausgeführt.

Was meinst du mit B-System? Zeites bzw. parallel installiertes Betriebssystem?
Jedenfalls im System auf Laufwerk I: steckt auf jedenfall was:

O4 - HKCU\..\Run: [WinUpdate] I:\WINDOWS\system32\acleditf.exe

Zitat:

Kann ich nicht erst mal versuchen Laufwerk I: und L: komplett zu löschen und BS neu zu installieren ?

Das dürfte imho ausreichen. Was ist denn auf den anderen Partitionen drauf?

@ cosinus´
Danke

Auf i: war mein Betriebssystem (nur eins auf dem Rechner) und auf L: hatte ich Games und Download. Darum war dort der Trojaner. Die PDF.EXE wurde auf L: gespeichert und ausgeführt. Auf den anderen Laufwerken sind nur Daten.

Laufwerk I: und L: gelöscht.

Betriebssystem neu installiert. Ist jetzt auf Laufwerk C:

Kaspersky auf allen Laufwerken laufen lassen. Wird nix mehr gefunden, bis auf einen Hinweis:

potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\cmosble\Lokale Einstellungen\Temp\_is8A.exe

Das ist aber nicht der Trojaner ??

Hier das aktuelle HIJack. Ist da noch was verdächtig ?

Logfile of HijackThis v1.99.1
Scan saved at 09:05:42, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.go***e/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Zitat:

Die PDF.EXE wurde auf L: gespeichert und ausgeführt. Auf den anderen Laufwerken sind nur Daten.

Naja, wo der Schädling liegt (also gespeichert ist) ist irrelevant, er versucht zumindest das aktuell laufende Betriebssystem zu infizieren.

Zitat:

C:\Dokumente und Einstellungen\cmosble\Lokale Einstellungen\Temp\_is8A.exe

Als welchen erkennt Kaspersky diese Datei? Check die notfalls nochmal bei Virustotal oder Jotti.

C:\WINDOWS\CTHELPER.EXE

Auf dem ersten Blick könnte man meinen, diese Datei gehört zu Creative. Lt. Hijackthis.de-Datenbank liegt die aber im System-Ordner...
Lad die bitte sicherheitshalber auch bei Virustotal oder Jotti hoch und poste Infos zu Dateigrößen und Prüfsummen (auch von der anderen Datei).

Habe beide Dateien mit Jotti gescannt. Alles o.k.

Größe:

_is8A : 444KB (Hersteller:Macrovision)
CT Helper: 17,5KB (Hersteller: Creative)

Wo finde ich die Prüfsumme ?

Kriegt man eigebtlich irgendwann raus was genau dieser 1&1 Trojaner bewirkt bzw. anstellt. Alle Foren sind voll davon. Hat echt viele getroffen.

Zitat:

_is8A : 444KB (Hersteller:Macrovision)
CT Helper: 17,5KB (Hersteller: Creative)

Okay das dürfte dann i.O. gehen mit dem System, was du jetzt durch das Image wieder hast.

Zitat:

Wo finde ich die Prüfsumme ?

Wenn du die Dateien bei Jotti oder Virustotal auswertest, spucken diese Dienste auch die md5 und sha1-Prüfsumme (nur bei Virustotal) aus. Kannst du dir quasi als Fingerabdruck einer Datei vorstellen. Mit Prüfsummen stellt man die Unversehrtheit einer Datei fest oder etwa ob die sich von einer anderen unterscheidet.

Zitat:

Kriegt man eigebtlich irgendwann raus was genau dieser 1&1 Trojaner bewirkt bzw. anstellt. Alle Foren sind voll davon. Hat echt viele getroffen.

Was die genau im einzelnen machen weiß ich nicht. Aber dieser Trojaner ermöglicht u.a. Dritten den unbefugten Zugriff auf den PC, siehe auch hier => heise Security - News - 1&1 warnt Kunden vor gefälschten Rechnungen