Hallo erstmal,

ich bin ganz neu hier, und bevor ich mein Problem schildere, will ich erstma sagen wie froh ich bin, euch gefunden zu haben.

Ich hatte mir irgendwo diese ISTToolbar eingefangen. PANDA PLATINUM INTERNET SECURITY meldete sich jedesmal, wenn ich aus dem Internet wieder raus bin mit einer Spywarewarnung in "Lokale Einstellungen\Temporary Internet Files\content.ie5\05uv8hmv\006_mp3[1].cab[ISTactivex.dll]".

Entfernen konnte PANDA das leider nicht, genausowenig wie SPYBOT S&D. AD-AWARE stellte irgenwas in der Regy fest, konnte diese Toolbar aber auch nicht löschen.

Der Tip mit ESCAN war schonmal super, damit wurden 4 Filez der Toolbar deletet.

Jetzt wüßt ich aber auch noch gern:

-Komisch, weshalb wurde dieses Verzeichnis gar nicht auf meinem Rechner angezeigt.
-Wie schädlich ist den diese Toolbar, ich hab bis jetzt nirgends was drüber gefunden.
-Sind damit auch PW fürs Onlinebanking irgendwie weitergegeben worden, oder ist damit"nur" mein Surfverhalten weitergegeben worden ?
- Ist es riskant hier ein Logfile öffentlich zu posten? KLingt viel. blöd, aber ich versteh nicht so ganz was da alles mitgeteilt wird (Installationspfade, auch Seriennummern ? oder Paßwörter?) Einfach: Ist es riskant das hier zu posten, ich würd das auch gern mal von jmd. hier anschauen lassen.

Hoffe, ihr könnt mir helfen,
Gott

Soweit ich es herausfinden konnte, handelt es sich hier um eine Toolbar, die neben dem Hijacken auch Downloadfunktionen für Trojaner "anbietet" und wie es aussieht, dazu auch active-x ausnutzt.

http://www.pestpatrol.com/PestInfo/t..._istbar_eo.asp



Hast du E-Scan wie beschrieben im abgesicherten Modus ausgeführt?
Manche Verzeichnisse werden nicht automatisch angezeigt, du musst erst in Extras/Ansicht/Ordneroptionen festlegen, dass auch Systemordner und versteckte Dateien angezeigt werden.

Mit der Toolbar selbst dürften keine entsprechenden Daten weitergegeben sein, sie fungiert aber wahrscheinlich als Downloader und lädt dann Sachen aus dem Netz nach, was genau, lässt sich aber nicht pauschal sagen, es ist aber durchaus möglich, dass Programme mit Backdoorfunktionen und Keylogger darunter sind.

Was das Logfile betrifft, du siehst es ja selbst, wenn du es erstellst oder kannst dir die ganzen threads hier anschauen und überprüfen, was weitergegeben wird. Seriennummern oder Passworte auf keinen Fall, lediglich die Versionsnummern von Betriebssystem und Browser und das ist auch sehr wichtig, um zu erkennen, ob sie gepatched sind oder nicht. Es lässt sich nicht feststellen, ob die Programme legal oder illegal sind, es sei denn, man hat sie in einem Order C:\illegalesdownloadzeug\Norton Antivirus oder so installiert. Die Installationspfade sieht man tatsächlich, ist aber ebenso wichtig und per se ja kein Hinweis auf den legalen oder illegalen Erwerb.

Hallo karel gott,

den Inhalt der Temporary Internet Files\content.ie5\05uv8hmv\006_mp3[1].cab[ISTactivex.dll] kannst Du löschen, am besten den gesamten Inhalt der "Temporary Internet Files". In den "Temporary Internet Files" werden alle Daten bewahrt, die Dein System erhält, wenn Du Dich im Netz bewegst. Es empfiehlt sich diesen Datenmüll ab und an zu leeren, täglich oder wöchentlich.

ISTbar ist ein IE toolbar, homepage und search hijacker. Hier findest Du Hintergrundinformation zum Browser-Hijacking.

Zitat:

Der Tip mit ESCAN war schonmal super, damit wurden 4 Filez der Toolbar deletet.

Wie hast Du den eScan laufen lassen? Normal oder im abgesicherten Modus? Welche Viren wurden gefunden, welche wurden umbenannt? Gib uns bitte etwas mehr Information dazu.

PW fürs Onlinebanking können von bestimmten Trojanern (Backdoor) weitergegeben werden. Laut Sophos sind Troj/Istbar-.. Downloader/Installer-Trojaner für die Istbar-Adware-Software.

Wenn Du willst, dass wir Dir helfen, solltest Du Dir Hijack This runterladen und ein Logfile entprechend der bebilderten Anleitung posten: http://www.trojaner-board.de/51130-a...ijackthis.html. Da wir nur das eigentliche Logfile mit der System-Information Deines Computers erhalten, ist es - meines Wissens - nicht riskant. Das Logfile beginnt mit der Information "Logfile of HijackThis v1.98.2".

SD

thx mountainking für den schnellen reply.

Zitat:

Zitat von MountainKing

...
Hast du E-Scan wie beschrieben im abgesicherten Modus ausgeführt?
Manche Verzeichnisse werden nicht automatisch angezeigt, du musst erst in Extras/Ansicht/Ordneroptionen festlegen, dass auch Systemordner und versteckte Dateien angezeigt werden.

versteckte dateien und systemordner waren schon auf sichtbar, ich hatte den pfad trotzdem nicht manuell gefunden.

escan lief im abgesicxherten modus. sieht im moment auch so aus, als ob ichs jetzt endlich los bin.

Zitat:

Zitat von MountainKing

...
Die Installationspfade sieht man tatsächlich, ist aber ebenso wichtig und per se ja kein Hinweis auf den legalen oder illegalen Erwerb.

war jetzt gar nicht so sehr auf legal oder illegal bezogen , mehr darauf ob "irgendwas die sicherheit beeinträchtigendes" drinsteht.

ich hab jetzt so ein logfile:

Logfile of HijackThis v1.98.2
Scan saved at 16:53:03, on 09.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\TGTSoft\StyleXP\StyleXPService.exe
E:\Sygate Personal Firewall Platinum\smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Autodesk\Autodesk Network License Manager\Lmgrd.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
E:\NORTON~3\GHOSTS~2.EXE
E:\Borland\INTERB~1\Bin\IBGuard.EXE
E:\Autodesk\Autodesk Network License Manager\adskflex.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Panda Platinum Internet Security\passrv.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
E:\Panda Platinum Internet Security\pavsrv51.exe
C:\WINDOWS\System32\PGPsdkServ.exe
E:\Panda Platinum Internet Security\psimsvc.exe
E:\Panda Platinum Internet Security\AVENGINE.EXE
C:\WINDOWS\System32\wuauclt.exe
E:\Borland\INTERB~1\Bin\ibserver.exe
E:\Panda Platinum Internet Security\apvxdwin.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
E:\iTouch\iTouch\iTouch.exe
E:\RedLine\Taskbar.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Norton Ghost 2003\GhostStartTrayApp.exe
E:\Panda Platinum Internet Security\SRVLOAD.EXE
E:\Mouseware\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
E:\Symantec\LiveUpdate\AUpdate.exe
E:\Winamp5\winampa.exe
E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Distillr\acrotray.exe
E:\redline\gameutil.exe
E:\PGP for Windows XP\PGPtray.exe
E:\Panda Platinum Internet Security\WebProxy.exe
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - E:\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\iTouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [RedLine Taskbar] E:\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] E:\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Corel Graphics Suite 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=091104 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [MOD] E:\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [WinampAgent] "E:\Winamp5\winampa.exe"
O4 - HKLM\..\Run: [SCANINICIO] "E:\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "E:\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [STYLEXP] E:\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: gameutil.lnk = ?
O4 - Global Startup: PGPtray.lnk = ?
O4 - Global Startup: Quicken 2004 Zahlungserinnerung.lnk = E:\Quicken DELUXE 2004\billmind.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://e:\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - E:\GetRight5\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\GetRight5\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://e:\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://e:\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - E:\SMARTW~1\swiehlp.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093527139062
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1

sieht das sauber aus ??

Kannst du das hier zuordnen (leider nicht komplett lesbar):

O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - E:\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll

Ansonsten sehe ich da eigentlich nur ein paar unnötige Sachen, aber nichts Gefährliches.

Zitat:

Zitat von Shadowdance

Wie hast Du den eScan laufen lassen? Normal oder im abgesicherten Modus? Welche Viren wurden gefunden, welche wurden umbenannt? Gib uns bitte etwas mehr Information dazu.

PW fürs Onlinebanking können von bestimmten Trojanern (Backdoor) weitergegeben werden. Laut Sophos sind Troj/Istbar-.. Downloader/Installer-Trojaner für die Istbar-Adware-Software.

Wenn Du willst, dass wir Dir helfen, solltest Du Dir Hijack This runterladen und ein Logfile entprechend der bebilderten Anleitung posten: http://www.trojaner-board.de/51130-a...ijackthis.html. Da wir nur das eigentliche Logfile mit der System-Information Deines Computers erhalten, ist es - meines Wissens - nicht riskant. Das Logfile beginnt mit der Information "Logfile of HijackThis v1.98.2".

SD

hi Shadowdance,

log von escan:

Thu Sep 09 14:57:02 2004 => ***** Scanning complete. *****

Thu Sep 09 14:57:02 2004 => Total Number of Files Scanned: 143096
Thu Sep 09 14:57:03 2004 => Total Number of Virus(es) Found: 30
Thu Sep 09 14:57:03 2004 => Total Number of Disinfected Files: 0
Thu Sep 09 14:57:03 2004 => Total Number of Files Renamed: 0
Thu Sep 09 14:57:03 2004 => Total Number of Deleted Files: 5
Thu Sep 09 14:57:03 2004 => Total Number of Errors: 3
Thu Sep 09 14:57:03 2004 => Time Elapsed: 01:19:54
Thu Sep 09 14:57:03 2004 => Virus Database Date: 2004/09/08
Thu Sep 09 14:57:03 2004 => Virus Database Count: 103467

lief im abgesicherten modus mit aktuellen signaturen. deletet wurde:

Thu Sep 09 13:42:56 2004 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9M3G5IV\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.

Thu Sep 09 13:42:56 2004 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CD2ZCHMB\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.

Thu Sep 09 13:42:56 2004 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8PQ7CHQJ\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.

Thu Sep 09 13:42:55 2004 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\05UV8HMV\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.

Thu Sep 09 14:56:58 2004 => File H:\crack.zip infected by "TrojanDownloader.Win32.Small.na" Virus. Action Taken: File Deleted.

umbenannt wurde nix, die restlichen 25 wurden als "tagged as not-a-virus" gekennzeichnet.


hab das hijackthis-log mal durch die automatische auswertung gejagt:

2 "böse sachen":
quicken billmind.exe und symantec AUpdate.exe

soll ich die jetzt einfach löschen ??

tomy

//edit

Zitat:

Zitat von Mountainking

Kannst du das hier zuordnen (leider nicht komplett lesbar):

O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - E:\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll

Das ist die Langenscheidt Übersetzunssoftware T1

Dachte schon, dass es was von Langenscheidt ist.
Die beiden Programme brauchst du IMO nicht zu löschen, die automatische Auswertung wird zwar immer besser, hat aber trotzdem noch Schwächen. Wahrscheinlich sind sie unnötig, aber nicht böse, um dein System zu entschlacken, kannst du sie also löschen, HJT erstellt ja sowieso ein backup, wenn du es in einen eigenen Ordner entpackt hast, falls also irgendwas nicht mehr gehen sollte, kannst du es damit rückgängig machen. Die anderen als unnötig gekennzeichneten Prozesse kannst du ja mal per google auskundschaften und dann entscheiden, ob sie wirklich beim Start geladen werden müssen. Je weniger da steht, umso besser.

Prinzipieller Tip: teste mal alternative Browser wie opera, firefox, mozilla. Sie sind meist nicht nur besser und schneller, sondern auch sicherer, zum Beispiel unterstützen sie kein active-x, das man am besten eh nur zum Windowsupdate (zusammen mit dem IE) verwenden sollte.

klasse !

ihr habt mir echt super geholfen. klasse, das es dieses forum gibt.

k. gott