|
Plagegeister aller Art und deren Bekämpfung: 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.01.2005, 22:48 | #1 |
| 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem! Hallo auch, nach dem Schnupfen jetzt auch noch die Trojaner. Bin neu und unbedarft, habe mich ein bisschen umgesehen und hoffe auf Eure Hilfe. Hier mein Logfile: Logfile of HijackThis v1.99.0 Scan saved at 22:21:53, on 05.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\DATEV\SYSTEM\PSNTSERV.EXE C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dcmanag.exe C:\WINNT\System32\svchost.exe C:\Programme\KEN!\KENCLI.EXE C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\DATEV\PROGRAMM\DFUEWS\mnantb\mnantb.exe C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe C:\DATEV\PROGRAMM\B0000301\MP\MP.exe C:\DATEV\PROGRAMM\B0000301\NC\NC.exe C:\DATEV\PROGRAMM\B0000301\NF\NF.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\DATEV\PROGRAMM\VIWAS\ViwaServ.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\SCANJET\PrecisionScanPro\HPLamp.exe C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\WINNT\system32\systime.exe C:\WINNT\system32\internat.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\system32\systime.exe C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe C:\WINNT\Downloaded Program Files\eBayTBar.exe C:\Programme\Caere\PageKeeper30\system\PKJobs.exe C:\WINNT\system32\RZPJWTCH.EXE C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE C:\Programme\Caere\PageKeeper30\SYSTEM\PKSlapi.exe C:\Programme\Caere\PageKeeper30\SYSTEM\PKTOPASS.EXE C:\WINNT\msagent\AgentSvr.exe C:\WINNT\System32\svchost.exe C:\Programme\Microsoft ActiveSync\WCESMgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\Morsbach\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.5.2:3128 O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINNT\Downloaded Program Files\eBayBand.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINNT\Downloaded Program Files\eBayBand.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [HP Lamp] C:\SCANJET\PrecisionScanPro\HPLamp.exe O4 - HKLM\..\Run: [DATEV Updateservice] C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe O4 - Startup: Microsoft Outlook starten.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE O4 - Global Startup: DFÜ-Manager.lnk = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe O4 - Global Startup: eBay Toolbar.LNK = C:\WINNT\Downloaded Program Files\eBayTBar.exe O4 - Global Startup: Login V.2.2.lnk = C:\DATEV\SYSTEM\Nuko\NKWLOGIN.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PageKeeper - Aufträge.lnk = C:\Programme\Caere\PageKeeper30\system\PKJobs.exe O4 - Global Startup: RZPJWTCH.LNK = C:\WINNT\system32\RZPJWTCH.EXE O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\eBayBand.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\eBayBand.dll O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://iframedollars.biz/dl/adv478/x.chm::/load.exe O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://agenda-online.webex.com/clie...ex/ieatgpc.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MB.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MB.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MB.local O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DATEV Druckservice - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE O23 - Service: DATEV DFÜ-System Dienst - DATEV eG - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dcmanag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: AVM KEN Klient - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe O23 - Service: VIWAS Updatedienst - DATEV eG - C:\DATEV\PROGRAMM\VIWAS\ViwaServ.EXE Diverse Reinigungsläufe hatten z. Teil Erfolg. Nur dieser Trojaner ist stets wieder da, wenn ich den Rechner hochfahre. Vielen Dank im Voraus für Euren Sachverstand. Gruß seeker |
05.01.2005, 23:08 | #2 |
| 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem! @seeker
__________________gebe HJT bitte einen eigenen ordner wechsle in den abgesicherten modus und fixe mit HJT(häkchen setzen und Fix Checked klicken) O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINNT\Downloaded Program Files\eBayBand.dll O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINNT\Downloaded Program Files\eBayBand.dll O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\eBayBand.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\Downloaded Program Files\eBayBand.dll O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://iframedollars.biz/dl/adv478/x.chm::/load.exe lösche danach manuell C:\WINNT\system32\systime.exe C:\WINNT\Downloaded Program Files\eBayTBar.exe C:\WINNT\Downloaded Program Files\eBayBand.dll danach neu starten und ein neues HJT logfile hier posten wie du siehst empfehle ich dir den ebay toolbar zu deinstallieren, der toolbar phones home, wie es auf amisites geschrieben wird, ist also klassische spyware. ich weis nicht ob du dein rechner beruflich nützt, wenn ja, dann hat der ebaytoolbar imho erst recht nichst zu suchen. spyware auf beruflich genützte rechner ist sehr ungut. zum surfen lieber den firefox einsetzen chaosman
__________________ Geändert von chaosman (05.01.2005 um 23:16 Uhr) |
05.01.2005, 23:13 | #3 |
| 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem! Scanne anschließend dein System bitte noch mit eScan im abgesicherten Modus und poste was gefunden wird (Anleitung genau befolgen!). Am einfachsten machst du das so:
__________________Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren. Ich schätze mal, dass da auch noch einiges gefunden wird. |
06.01.2005, 01:26 | #4 |
| 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem! Hallo zusammen, Dank erst einmal für die schnellen Hilfen. Hat etwas gedauert, bin leider nicht so schnell. Hier zunächst das Ergebnis von eScan: File C:\WINNT\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. File C:\WINNT\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. File C:\WINNT\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken. File C:\WINNT\mstasks2.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken. File C:\WINNT\mstasks3.exe infected by "Trojan-Downloader.Win32.Small.lx" Virus. Action Taken: No Action Taken. File C:\WINNT\A infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\srpcsrv32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\txfdb32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\Temp\backups\backup-20050105-235836-892.dll infected by "not-a-virus:AdWare.WebEx" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\Temp\saB1.tmp.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\8RABCDWX\mstasks3[1].txt infected by "Trojan-Downloader.Win32.Small.lx" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\IJK3M5O7\load[1].exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\IJK3M5O7\runsvc32[1].exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\IJK3M5O7\systime[1].txt infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\IJK3M5O7\x[1].chm infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\STYBSHMJ\124840[3].exe tagged as not-a-virus:Porn-Downloader.Win32.TibSystems. No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\STYBSHMJ\msload1[1].exe infected by "Trojan-Downloader.Win32.Monurl.e" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Morsbach\LOKALE~1\TEMPOR~1\Content.IE5\STYBSHMJ\mstasks2[1].txt infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken. Was (t=n?)un sprach Zeuss? Weiterhin Danke seeker |
06.01.2005, 01:35 | #5 | |
| 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem!Zitat:
Ich bin mir nicht 100%ig sicher, was die Malware kann (es gibt sehr viele Trojaner die sich Samll.xyz nennen und ihre Funktionalität reicht vom Downloader bis zur Backdoor) Möglichkeit 1: Leere deine Temp-Files und TIF's mit Clearprog Lösche die übrige Malware im abgesicherten Modus: Möglichkeit 2 (dazu würde ich raten): Setz dein System neu auf Lutz über Datensicherung (auf ausführbare Dateien solltest du jedoch ganz verzichten) Pflichtlektüre Über die Entfernung von Schädlingen Grund: http://www.sophos.de/virusinfo/analy...ojsmallby.html (bei dem ich eben nicht sicher bin) Wie gesagt, das musst du selbst wissen. Wenn du deinem System in Zukunft vertrauen willst, wähle Möglichkeit 2. mfg Haui |
06.01.2005, 02:23 | #6 |
| 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem! Hallo und nochmals herzlichen Dank. Werde mir das System jetzt noch einmal genauer ansehen mit den verschiedenen Programmen, die hier genannt wurden. Mal sehn was Zeuss dann sagt. Melde mich ggf. zu einem späteren Zeitpunkt i. L. d. Woche nochmal und berichte. Einstweilen gute Nacht seeker |
07.01.2005, 12:36 | #7 |
| 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem! Hallo haui45, hallo chaosman, nachdem ich all Eure Hinweise befolgt habe und insbesondere eScan wohl am tiefsten nachgespürt hat habe ich die Scanläufe mehrfach im abgesicherten Modus wiederholt und siehe da: ich glaube es hat sich austrojanert. Nochmals Dank für die Tips. Habe jetzt etwas mehr respekt. Herzliche Grüße seeker |
07.01.2005, 12:38 | #8 |
| 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem! @seeker Habe jetzt etwas mehr respekt. für wenn? für trojaner chaosman
__________________ Bonus vir semper tiro |
Themen zu 124840.exe dktibs.exe - Trojaner: Houston, habe ein Problem! |
.exe, adobe, antivir, antivir update, bho, confused, dateien, ebay, explorer, helper, hijack, hijackthis, internet, internet explorer, logfile, microsoft, mssql, neu, object, problem, programme, server, software, system, system32, tcpip, temp, trojaner, windows |