| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Viren/troj_istbar.aj/troj_djfuca.eyWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.02.2005, 14:25
| #1 |
 |  Viren/troj_istbar.aj/troj_djfuca.ey hallo!! habe diese beiden viren drauf und bekomm die einfach nicht weg zumindest nicht den troj_istbar.aj!!!!hier mal mein logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:22:51, on 17.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Programme\Winamp\winampa.exe E:\Programme\Trend Micro\PC-cillin 2003\pccguide.exe E:\Programme\Trend Micro\PC-cillin 2003\PCCClient.exe E:\Programme\Trend Micro\PC-cillin 2003\Pop3trap.exe C:\WINDOWS\kmflbukd.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe E:\Programme\Skype\Phone\Skype.exe E:\Programme\Trend Micro\PC-cillin 2003\Tmntsrv.exe E:\Programme\Trend Micro\PC-cillin 2003\tmproxy.exe C:\WINDOWS\system32\wuauclt.exe E:\Programme\Trend Micro\PC-cillin 2003\PccPfw.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Mo\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\programme\ICQToolbar\toolbaru.dll O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\programme\ICQToolbar\toolbaru.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file) O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SysService32] C:\WINDOWS\systask32l.exe O4 - HKLM\..\Run: [pccguide.exe] "E:\Programme\Trend Micro\PC-cillin 2003\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "E:\Programme\Trend Micro\PC-cillin 2003\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "E:\Programme\Trend Micro\PC-cillin 2003\Pop3trap.exe" O4 - HKLM\..\Run: [sG9a] C:\WINDOWS\kmflbukd.exe O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [gdsr] C:\WINDOWS\gdsr.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...ridge-c338.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108570264359 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{78916F1D-9570-4AAA-83D9-E7A1355889C9}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PC-cillin Personal Firewall (PccPfw) - Trend Micro Incorporated. - E:\Programme\Trend Micro\PC-cillin 2003\PccPfw.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - E:\Programme\Trend Micro\PC-cillin 2003\Tmntsrv.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - E:\Programme\Trend Micro\PC-cillin 2003\tmproxy.exe habt ihr sonst noch ideen?????wäre nett wenn mir jemand helfen koennte!! mfg moreno111 |
|
17.02.2005, 15:44
| #2 |
   | Viren/troj_istbar.aj/troj_djfuca.ey Hi,
__________________bei Dir ist ja einiges drauf unter anderem der hier scanne Dein System erst mal mit Escan mal sehen was noch so erscheint. Anleitung siehe unten. Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) 
__________________ |
|
17.02.2005, 16:47
| #3 |
| | Viren/troj_istbar.aj/troj_djfuca.ey hi!!
__________________das sieht wohl nicht so gut aus dabei habe ich doch erst xp neu installiert!! Thu Feb 17 16:35:07 2005 => Total Files Scanned: 38400 Thu Feb 17 16:35:08 2005 => Total Virus(es) Found: 35 Thu Feb 17 16:35:08 2005 => Total Disinfected Files: 0 Namen der viren:das sind alle varianten,wo bei bei meinem virenprogramm noch der rest in quaritine ist! File C:\WINDOWS\nem220.dll infected by "Trojan-Downloader.Win32.Dyfuca.gen" Virus File C:\Programme\SideFind\sfbho.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" File C:\WINDOWS\kmflbukd.exe infected by "Trojan-Downloader.Win32.IstBar.go File C:\WINDOWS\kmflbukd.exe infected by "Trojan-Downloader.Win32.IstBar.go File C:\WINDOWS\kmflbukd.exe infected by "Trojan-Downloader.Win32.IstBar.go File C:\DOKUME~1\Mo\LOKALE~1\Temp\sidefind.exe infected by "Trojan-Downloader.Win32.IstBar.gen File C:\DOKUME~1\Mo\LOKALE~1\Temp\fkFDddF.exe infected by "Trojan-Downloader.Win32.IstBar.gen File C:\DOKUME~1\Mo\LOKALE~1\Temp\istbar.dll infected by "Trojan-Downloader.Win32.IstBar.gj File C:\WINDOWS\Downloaded Program Files\AdToolsX.dll infected by "not-a-virus:AdWare.WinAD.x" Virus File E:\programme\Trend Micro\PC-cillin 2003\QUARANTINE\1.tmp infected by "Trojan-Downloader.Win32.IstBar.gn |
|
17.02.2005, 17:58
| #4 |
| | Viren/troj_istbar.aj/troj_djfuca.ey --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung fixe folgende Einträge: O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file) O4 - HKLM\..\Run: [SysService32] C:\WINDOWS\systask32l.exe O4 - HKLM\..\Run: [sG9a] C:\WINDOWS\kmflbukd.exe O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [gdsr] C:\WINDOWS\gdsr.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/D...bridge-c338.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab lösche von Hand folgende Dateien: C:\WINDOWS\nem220.dll C:\Programme\SideFind\sfbho.dll C:\WINDOWS\systask32l.exe C:\WINDOWS\kmflbukd.exe c:\programme\180solutions\sais.exe C:\WINDOWS\gdsr.exe C:\Programme\SideFind\sidefind.dll ausserdem alle von eScan gefundenen Dateien löschen es sind schon welche s.o. dabei also nicht wundern wenn Du die dann nicht mehr findest Danach mit eScan neu scannen wichtig Haken überall rein und Scan ALL Files auswählen Ergebnis mit einem neuen HJT aus dem normalen Modus Sysdemwiederherstellung aktiviert hier rein posten  |
|
17.02.2005, 19:12
| #5 |
| | Viren/troj_istbar.aj/troj_djfuca.ey hi!! ich glaub es hat alles geklappt!!!danke!!!!! Logfile of HijackThis v1.99.1 Scan saved at 19:34:06, on 17.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE E:\programme\ICQLite\ICQLite.exe E:\programme\Skype\Phone\Skype.exe E:\Six-steam\Steam\Steam.exe E:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Mo\LOKALE~1\Temp\Rar$EX01.875\HijackThis.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\RunOnce: [ICQ Lite] E:\programme\ICQLite\ICQLite.exe -trayboot O17 - HKLM\System\CCS\Services\Tcpip\..\{78916F1D-9570-4AAA-83D9-E7A1355889C9}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe habe den scan hier im normalem modus durchgeführt! mfg moreno111 Geändert von moreno111 (17.02.2005 um 19:34 Uhr) |
|
17.02.2005, 19:27
| #6 | |
| | Viren/troj_istbar.aj/troj_djfuca.eyZitat:
__________________ --> Viren/troj_istbar.aj/troj_djfuca.ey |
|
| Themen zu Viren/troj_istbar.aj/troj_djfuca.ey |
| antivirus, antivirus scan, bho, boot, computer, explorer, firewall, helfen, hijack, hijackthis, hotkey, icqtoolbar, internet, internet explorer, logfile, messenger, micro, microsoft, nvidia, programme, software, symantec, system, system32, temp, trend micro, urlsearchhook, viren, windows, windows messenger, windows xp |
