Hallo auch,

nach dem Schnupfen jetzt auch noch die Trojaner.

Bin neu und unbedarft, habe mich ein bisschen umgesehen und hoffe auf Eure Hilfe.

Hier mein Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 22:21:53, on 05.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dcmanag.exe
C:\WINNT\System32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\DATEV\PROGRAMM\DFUEWS\mnantb\mnantb.exe
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\DATEV\PROGRAMM\B0000301\MP\MP.exe
C:\DATEV\PROGRAMM\B0000301\NC\NC.exe
C:\DATEV\PROGRAMM\B0000301\NF\NF.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\DATEV\PROGRAMM\VIWAS\ViwaServ.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\SCANJET\PrecisionScanPro\HPLamp.exe
C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\system32\systime.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\system32\systime.exe
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe
C:\WINNT\Downloaded Program Files\eBayTBar.exe
C:\Programme\Caere\PageKeeper30\system\PKJobs.exe
C:\WINNT\system32\RZPJWTCH.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Caere\PageKeeper30\SYSTEM\PKSlapi.exe
C:\Programme\Caere\PageKeeper30\SYSTEM\PKTOPASS.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Morsbach\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.5.2:3128
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Lamp] C:\SCANJET\PrecisionScanPro\HPLamp.exe
O4 - HKLM\..\Run: [DATEV Updateservice] C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - Startup: Microsoft Outlook starten.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Global Startup: DFÜ-Manager.lnk = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe
O4 - Global Startup: eBay Toolbar.LNK = C:\WINNT\Downloaded Program Files\eBayTBar.exe
O4 - Global Startup: Login V.2.2.lnk = C:\DATEV\SYSTEM\Nuko\NKWLOGIN.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PageKeeper - Aufträge.lnk = C:\Programme\Caere\PageKeeper30\system\PKJobs.exe
O4 - Global Startup: RZPJWTCH.LNK = C:\WINNT\system32\RZPJWTCH.EXE
O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://iframedollars.biz/dl/adv478/x.chm::/load.exe
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://agenda-online.webex.com/clie...ex/ieatgpc.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MB.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MB.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MB.local
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DATEV Druckservice - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: DATEV DFÜ-System Dienst - DATEV eG - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dcmanag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN Klient - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: VIWAS Updatedienst - DATEV eG - C:\DATEV\PROGRAMM\VIWAS\ViwaServ.EXE

Diverse Reinigungsläufe hatten z. Teil Erfolg. Nur dieser Trojaner ist stets wieder da, wenn ich den Rechner hochfahre.

Vielen Dank im Voraus für Euren Sachverstand.

Gruß seeker

@seeker
gebe HJT bitte einen eigenen ordner
wechsle in den abgesicherten modus und fixe mit HJT(häkchen setzen und Fix Checked klicken)
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://iframedollars.biz/dl/adv478/x.chm::/load.exe
lösche danach manuell
C:\WINNT\system32\systime.exe
C:\WINNT\Downloaded Program Files\eBayTBar.exe
C:\WINNT\Downloaded Program Files\eBayBand.dll
danach neu starten und ein neues HJT logfile hier posten

wie du siehst empfehle ich dir den ebay toolbar zu deinstallieren, der toolbar phones home, wie es auf amisites geschrieben wird, ist also klassische spyware.
ich weis nicht ob du dein rechner beruflich nützt, wenn ja, dann hat der ebaytoolbar imho erst recht nichst zu suchen.
spyware auf beruflich genützte rechner ist sehr ungut.
zum surfen lieber den firefox einsetzen
chaosman

Scanne anschließend dein System bitte noch mit eScan im abgesicherten Modus und poste was gefunden wird (Anleitung genau befolgen!). Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.
Ich schätze mal, dass da auch noch einiges gefunden wird.

Hallo zusammen, Dank erst einmal für die schnellen Hilfen.

Hat etwas gedauert, bin leider nicht so schnell.

Hier zunächst das Ergebnis von eScan:
File C:\WINNT\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.
File C:\WINNT\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.
File C:\WINNT\mstasks2.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.
File C:\WINNT\mstasks3.exe infected by "Trojan-Downloader.Win32.Small.lx" Virus. Action Taken: No Action Taken.
File C:\WINNT\A infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\srpcsrv32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\txfdb32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\Temp\backups\backup-20050105-235836-892.dll infected by "not-a-virus:AdWare.WebEx" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\Temp\saB1.tmp.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\8RABCDWX\mstasks3[1].txt infected by "Trojan-Downloader.Win32.Small.lx" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\IJK3M5O7\load[1].exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\IJK3M5O7\runsvc32[1].exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\IJK3M5O7\systime[1].txt infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\IJK3M5O7\x[1].chm infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\STYBSHMJ\124840[3].exe tagged as not-a-virus:Porn-Downloader.Win32.TibSystems. No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\STYBSHMJ\msload1[1].exe infected by "Trojan-Downloader.Win32.Monurl.e" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\STYBSHMJ\mstasks2[1].txt infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.

Was (t=n?)un sprach Zeuss?

Weiterhin Danke

seeker

Zitat:

Was (t=n?)un sprach Zeuss?

Das ist eine gute Frage:
Ich bin mir nicht 100%ig sicher, was die Malware kann (es gibt sehr viele Trojaner die sich Samll.xyz nennen und ihre Funktionalität reicht vom Downloader bis zur Backdoor)

Möglichkeit 1:
Leere deine Temp-Files und TIF's mit Clearprog
Lösche die übrige Malware im abgesicherten Modus:

Möglichkeit 2 (dazu würde ich raten):
Setz dein System neu auf
Lutz über Datensicherung (auf ausführbare Dateien solltest du jedoch ganz verzichten)
Pflichtlektüre
Über die Entfernung von Schädlingen

Grund: http://www.sophos.de/virusinfo/analy...ojsmallby.html (bei dem ich eben nicht sicher bin)

Wie gesagt, das musst du selbst wissen. Wenn du deinem System in Zukunft vertrauen willst, wähle Möglichkeit 2.
mfg Haui

Hallo und nochmals herzlichen Dank.

Werde mir das System jetzt noch einmal genauer ansehen mit den verschiedenen Programmen, die hier genannt wurden.

Mal sehn was Zeuss dann sagt.

Melde mich ggf. zu einem späteren Zeitpunkt i. L. d. Woche nochmal und berichte.

Einstweilen gute Nacht

seeker

Hallo haui45, hallo chaosman,

nachdem ich all Eure Hinweise befolgt habe und insbesondere eScan wohl am tiefsten nachgespürt hat habe ich die Scanläufe mehrfach im abgesicherten Modus wiederholt und siehe da: ich glaube es hat sich austrojanert.

Nochmals Dank für die Tips. Habe jetzt etwas mehr respekt.

Herzliche Grüße

seeker

@seeker
Habe jetzt etwas mehr respekt.

für wenn?
für trojaner

chaosman