Hallo zusammen,

habe Probleme bei einem Rechner, der von der 1&1-Mail befallen wurde.

Hallo truelife,

habe nen Beitrag von dir im Forum auf www.antispam.de gelesen, wo du Hilfe gepostet hattest. Ich habe effektiv fast das gleich Problem. Hab durch nen dummen Zufall die Version vom 09.01.2007 (89,99Euro Mail) drauf bekommen. Noch vor dem ersten Neustart des Rechners hatte ich manuell erstmal die Mail und den Anhang gelöscht, sowie zum versagten NIS2006 noch Antivir installiert+aktuallisiert und damit alle weiteren files löschen lassen. Anschließend hatte sich Norton zur ohnehin schon aktuellen Virendefinition (09.01.) mit einer Security-Komponente aktuallisiert und wollte unbedingt einen Neustart. Zuvor hatte ich noch die Registry überprüft (Run/RunOnce/...), aber ohne Spuren zu finden. Nach dem Neustart lief das System scheinbar sauber, es waren zunächst keine ungewöhnlichen Dinge festzustellen und auch ein kompletter Online-Scan mit Kaspersky verlief ohne weiteren Virusfund. Allerdings bin ich vorhin ins Stutzen gekommen, als ich bei Amazon etwas kaufen wollte. Der Shop selbst lief ohne Probleme, erst als ich im Warenkorb war und auf "Zur Kasse" geklickt habe, um auf die nächste Seite zu kommen, wo ich mein Passwort eingeben muss, dauerte der Ladevorgang der Seite ungewöhnlich lang und dann gab es kurz eine Fehlermeldung von AcrobatReader8 (weiß leider nicht mehr welche). Danach kann ich nun exakt feststellen, mittels Taskmanager, dass AcroRd32.exe nicht aufgelistet wird, solange ich unter Windows irgendetwas mache oder bei Amazon bis zum Warenkorb gehe, in dem Moment, wo ich zur Kasse möchte, startet sich sofort der Reader (hab auch schon deinstalliert + manuell Reste löschen und neuinstalliert ohne Änderung) und der Ladevorgang dauert jetzt immer so 1-2sek statt sofort. Habe auch schon mit HijackThis gesucht (alles ok) und lasse gerade RootkitRevealer drüber laufen (keine nennenswerten Ergebnisse seit 2h).

Hast du vielleicht eine Idee, was ich noch versuchen kann? Das gesamte System neumachen wäre eventuell auch problematisch, wenn der Trojaner mehr als nur Laufwerk C betrifft. Habe meine System-Platte aufgeteilt in C und E (auf C ist das eigentliche Betriebssystem, auf E ist nen Development/Testsystem). Dazu habe ich 2 Festplatten noch als Mirror-Raid auf Laufwerk D, wo 150GB an wichtigen Daten liegen, die sich schwer sichern lassen und deshalb dort gespiegelt sind, falls eine Platte ausfällt. Wie gesagt war der Virus/Trojaner durch nen dummen Zufall draufgekommen und mein System ist nicht auf sowas, sondern nur auf Festplatten-Crashs ausgelegt (einige Ereignis in den letzten 3 Jahren). Wenn da also irgendwo noch Reste von dem Teil existieren, dann würde nen System neumachen nur helfen, wenn nichts auf D gelandet ist, weil ich die Platten nicht formatieren kann.

Da ich den Rechner leider täglich für Studium/Arbeit brauche, arbeite ich derzeit mit dem ansich optimal eingerichteten System weiter und verzichte auf weitere Passworteingaben (eines habe ich leider schon eingegeben bevor ich das bei Amazon bemerkte :-( ). Ich wäre somit sehr dankbar für jedliche Hinweise, auch wenn es nur die sichere Bestätigung ist, dass nach nem Neumachen des Rechners (C, E) alles weg ist.
[...]
habe mich dann in der Nacht doch noch dazu entschieden das System auf gut Glück neuzumachen. Habe dabei gleich mal auf NIS2007 aktualisiert und damit, sowie mit AntiVir und Kaspersky-OnlineScan auf dem frischen System + "alte" Datenfestplatte gesucht. Ist angeblich alles sauber, wie ja auch nicht anders zu erwarten war, da schon vorher nix mehr gefunden wurde. Habe dann die weitere übliche Software (auch AdobeReader8) und Treiber installiert, sowie das SP2 sämtliche Updates dazu. Habe dann gezielt auf allen Seiten mit Passwort-Abfragen geschaut, ob dort wieder etwas ähnliches passiert (ebay, eplus, freenet, hotmail, sparkasse, ...) und der AdobeReader blieb im Taskmanager diesmal aus (zuvor war neben amazon allerdings eplus der einzige Test, wo nun nichts mehr kam). Dann kam ich zu Amazon und es trat wieder das selbe Phänomen auf (Ladeverzögerung der Seite mit Passwortabfrage und Start von AcroRd32.exe im Taskmanager). Da ist mir eingefallen, dass ich noch nen zweiten Rechner für Notfälle habe, der zwar schon nen paar Wochen nicht an war, aber zumindest virenfrei sein müsste. Den habe ich einfach gestartet und mit installiertem Adobe7 statt 8 ebenfalls Amazon angesurft. Auch hier gab es eine kurze Verzögerung und dann ne Meldung wegen nem Adobe (PlugIn, ActiveX oder sowas), was ich installieren lies. Die Datei AcroRd32.exe wurde auch dort gestartet dann. Die Meldung kam allerdings nur beim ersten ansurfen und die Ladeverzögerung gibt es nur, wenn der Reader das erste mal nach Systemstart geladen wird. Aufgrund dessen, dass der zweite Rechner clean sein müsste und die gleichen Ereignisse dort bei Amazon geschehen, gehe ich davon aus, dass es in dem Fall an der Website liegt, was aber noch nicht erklärt, warum gestern bei eplus das gleiche geschah und heute mit neuem System nicht. (der zweite Rechner war zuvor noch nie bei Amazon einkaufen, also musste die Meldung für den neu sein)
Hat jemand ne Idee? Vielen Dank und Grüße

truelife