Hallo Grüße ans Forum,

habe heute seit Monaten (Gott sei Dank eine Trojaner Meldung von meinem Kasparski Virus Scanner bekommen:

Trojan-Spy.html.Fraud.gen - Dieser Trojaner kam 8 mal und zwar immer über einen/verschiedene ? E-Bay User bei dem ich etwas gekauft hatte.

Habt Ihr eine Idee was das ein könnte ?

Habe eine professionelle Firewall + aktuellem Kaspaerski + A Adware + Spy Bot + Pest Patrol hier laufen.

Danke Euch und eine virefreie Zeit.

Steffen H.

@SteffH1000
poste ein logfile mit HJT hier im board
http://www.hijackthis.de/

chaosman

hi hab das selbe problem.
es kommt definitiv von ebay.de.
teste: zu ebay surfen mit virenscanner auf höchste stufe bei echtzeit.
bei mir mozilla und opera mit kaspersky.
nach 30 sek und bissl klicky auf die kategorien geht alarm los.
habs auf mehreren pc's getestet

hier noch hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 23:22:59, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RAIDCore\noproc\bc_service.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\programme\ASUS\Probe\AsusProb.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\War-ftpd\war-ftpd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\RAIDCore\noproc\bc_winraid.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\dandan\Desktop\hijackthis_198\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [ASUS Probe] c:\programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{810A25B6-3300-42AA-8614-F4AD711DDC10}: NameServer = 192.168.6.1

PS: ebay ignoriert die sache und leugnet das sie was damit zu tuhen haben. siehe ebay forum.
bye danarb

Eventuell hängt das hiermit zusammen:

http://www.heise.de/newsticker/meldung/53536

was auch bedeutet, dass nicht Ebay direkt daran Schuld hat und es für Benutzer alternativer Browser bzw. System auf aktuellem Patchstand ungefährlich ist. Daher wie immer die Empfehlung regelmäßiger Updates, Ausstieg aus dem IE, sichere Konfiguration (keine Cookies von Drittanbietern, aktive Inhalte deaktivieren).

ich benutze kein ie. sondern opera 7.54
anderer rechner von freund nutzt firefox 1.0
beide waren fast täglich auf ebay.de.
aber erst seit heute springt der kaspersky an.
entweder ist der adware server wieder gehackt worden oder ich ich war irgendwann doch mal per ie auf ebay, was eigentlich nicht sein kann.
bye danarb

Ich habe schon gesehen, dass du Opera benutzt, es ging nur darum, dass dieser Schädling wohl eine IE-Schwachstelle verwendet und daher zwar bei Nutzern anderer Browser heruntergeladen wirtd bzw. im Cache auftaucht (bei mir auch, habs getestet) aber nichts anrichten kann.

seit heute morgen ist das problem weg.
scheinbar hat ebay gestern abend am 29.11 wieder diese trojaner versendet.

aber komisch ist das die nachdem der werbeserver falk einmal gehackt immer noch den benutzen.

und noch schlimmer ist das der falk werbeserver gestern, nach dem er wiegesagt am 22.11 gehackt wurde, scheinbar nochmals gehackt wurde.

ebay sollte sich echt mal seine werbe partner genauer anschauen ist ja echt ein armutszeugnis.