Win2000 SP4

Liebe Freunde im Forum,
vielleicht kann mir jemand bei diesem Problem helfen:
Irgendwo habe ich mir den Trojaner ISTbar eingefangen. Mit dem Spyware Doctor habe ich alles entfernt, was mit ISTbar zu tun hat, auch folgenden Registry-Eintrag:

HKLM - Software - Microsoft - Windows - CurrentVersion - run - IST Service

Bei jedem Neustart des Rechners ist aber der Eintrag wieder da. Von wo wird IST Service immer wieder gestartet? Jeder Hinweis ist willkommen.

Es grüßt, Heinrich aus München.

Hallo,

hast du Spybot Search&Destroy und Ad-Aware schon probiert?

Ein HijackThis-Logfile wäre für uns ebenfalls sehr nützlich.

Ansonsten kannst du dir auch mal die hier aufgeführten Seiten anschauen, dort findest du ebenfalls Anleitungen zum entfernen.

Hallo, Freunde,

Danke für das mit der Antwort gezeigte Interesse.
Hier ist das mit HijackThis erzeugte Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:21:07, on 27.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\DATEV\SYSTEM\PSNTSERV.EXE
D:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dcmanag.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
D:\jetsuite\jsdaemon.exe
D:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
D:\WINNT\system32\nvsvc32.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\Ahead\InCD\InCD.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\jetsuite\DLLCMD32.EXE
D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\Gasteiger\EigeneProgramme\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iTouch] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - Startup: Adobe Gamma.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DllCmd32.lnk = D:\jetsuite\DLLCMD32.EXE
O4 - Global Startup: Verknüpfung mit Ad-Watch.exe.lnk = D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
O8 - Extra context menu item: PDF in Word öffnen - res://D:\Programme\ScanSoft\PDF Converter\IEShellExt.dll /500
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - D:\WINNT\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: http://*.datevstadt.de
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - D:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: DATEV DFÜ-System Dienst (Dcmanag) - DATEV eG - D:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dcmanag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: jsdaemon - JetFax, Inc. - D:\jetsuite\jsdaemon.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - D:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE
O23 - Service: Norton Ghost - Symantec Corporation - D:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe

Den Eintrag ISTsvc.exe in HKLM/..../run habe ich schon mehrfach gelöscht, auch manuell, ohne Erfolg.

Vielen dank für die Hilfe.

Heinrich

Hallo,
schau mal unter Systemsteuerung>>Software nach ob dort ein Eintrag von Istbar ist, wenn ja deinstallieren.
Dann in den abgesicherten Modus(F8 beim hochfahren) und dort diesen Eintrag fixen:
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
und diesen Ordner löschen:
D:\Programme\ISTsvc
Dann läßt du am besten noch die Programme Adaware und Spybot über dein System laufen, dann sollte das Problem eigentlich behoben sein.


Grüße Wildone

Hallo, zunächst herzlichen Dank für alle Euere Bemühungen.
Ich habe die Anweisungen gewissenhaft ausgeführt, leider erscheint der Eintrag HKLM-Software-Microsoft-Windows-CurrentVersion-run-istsvc.exe immer wieder. Erstaunlich: nach dem manuellen Löschen ist der Eintrag wieder da, wenn man in ein anderes Verzeichnis der registry geht und dann zurück nach run. Weiter ist erstaunlich, dass istsvc geladen wird, ohne dass D:\Programme\ISTsvc\istsvc.exe überhaupt vorhanden ist. In der msconfig/Startup ist der Programmort und der Registry-Eintrag, der auf den Programmort zeigt, enthalten. Das Kästchen davor ist angehakt. Beim Hochfahren gibt es keinerlei Fehlermeldung.
Es muss m.E. noch ein File geben oder einen Eintrag in einem File, das den Registry-Eintrag immer wieder aktiviert.
Übrigens: Im TaskManager/Prozesse ist kein Prozess verzeichnet, der auf ISTsvc hindeutet.

Vielleicht hat jemand noch eine Idee.

Grüße aus München, Heinrich.

Mache einen escan genau nach Cidres Anleitung und poste dann das mit der find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492

Liebe Freunde,
liebe Haui45, Wildone, Felix1,
erstmal riesigen Dank für Euer Engagement im Trojaner-Board. Im folgenden das mit find.bat aus der MWAV.log erzeugte File. Vielleicht gelingt es mit Hilfe dieses Files, das in der Registry immer wieder auftauchende istsvc.exe zu entfernen und gleich anderes Ungeziefer ebenfalls. KazaaLite möchte ich gerne funktionsfähig erhalten. Mein System ist geschützt durch ZoneAlarmPro und AdAware SE Professional. Datev ist eine verbreitete professionelle Steuerberater-Software.
Wie gesagt, nochmals herzlichen Dank, mit Grüßen aus München,
Heinrich.



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 16:58:38 2005 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Mon Aug 29 16:58:39 2005 => System found infected with mybar Spyware/Adware ({0494D0D1-F8E0-41ad-92A3-14154ECE70AC})! Action taken: No Action Taken.
Mon Aug 29 16:58:39 2005 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Mon Aug 29 16:58:39 2005 => System found infected with mybar Spyware/Adware ({0494d0d9-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken.
Mon Aug 29 16:58:42 2005 => System found infected with MyWay Spyware/Adware ({0494d0d4-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken.
Mon Aug 29 18:50:02 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\12952EE0.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:02 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\1D0B7B31.tmp infected by "Email-Worm.Win32.Swen" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:02 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\1E256ADF.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:03 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\1FC64F21.exe infected by "Backdoor.Win32.Agent.ec" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:04 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\26E7458C.tmp infected by "Email-Worm.Win32.Swen" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:04 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\27395F32.tmp infected by "Email-Worm.Win32.Swen" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:04 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\33464575.tmp infected by "Email-Worm.Win32.Swen" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:04 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\3D36520B.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:04 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\3E982AF8.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:04 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\3E9B54F5.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:04 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\3E9F7EF1.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:05 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\3EA228ED.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:05 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\3EA552EA.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:05 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\417E5AB4.exe infected by "Trojan-Downloader.Win32.Small.aaq" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:05 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\4CCD50E1.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:05 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\585D0CDF.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:05 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\65806162.exe infected by "P2P-Worm.Win32.SpyBot.fj" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:05 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\683321A5.tmp infected by "Email-Worm.Win32.Swen" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:05 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\6B594D34.tmp infected by "Email-Worm.Win32.Swen" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:06 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\6B70731B.tmp infected by "Email-Worm.Win32.Swen" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:06 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\717F5CBB.dat infected by "P2P-Worm.Win32.Tanked.14" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:06 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\78A24074.dat infected by "Email-Worm.Win32.Kindal" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:07 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\7988253A.tmp infected by "Email-Worm.Win32.Swen" Virus! Action Taken: No Action Taken.
Mon Aug 29 18:50:07 2005 => File D:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\7A7728DD.exe infected by "P2P-Worm.Win32.Tanked.14" Virus! Action Taken: No Action Taken.
Mon Aug 29 19:35:48 2005 => File G:\PDFPasswordRemover\cfppwr22.zip infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken.
Mon Aug 29 19:35:51 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 18:22:58 2005 => File D:\DATEV\SYSTEM\EGGCEngine.dll tagged as "not-a-virus:AdWare.Gator.6051". Action Taken: No Action Taken.
Mon Aug 29 18:22:58 2005 => File D:\DATEV\SYSTEM\EGIEProcess.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken.
Mon Aug 29 18:22:58 2005 => File D:\DATEV\SYSTEM\EGNSEngine.dll tagged as "not-a-virus:AdWare.Gator.5017". Action Taken: No Action Taken.
Mon Aug 29 18:28:12 2005 => File D:\Program Files\Altnet\Download Manager\asmps.dll tagged as "not-a-virus:AdWare.Altnet.b". Action Taken: No Action Taken.
Mon Aug 29 18:38:35 2005 => File D:\Programme\Gemeinsame Dateien\Fujitsu\COBOL 5.0 Runtime\EGGCEngine.dll tagged as "not-a-virus:AdWare.Gator.6051". Action Taken: No Action Taken.
Mon Aug 29 18:38:35 2005 => File D:\Programme\Gemeinsame Dateien\Fujitsu\COBOL 5.0 Runtime\EGIEProcess.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken.
Mon Aug 29 18:38:35 2005 => File D:\Programme\Gemeinsame Dateien\Fujitsu\COBOL 5.0 Runtime\EGNSEngine.dll tagged as "not-a-virus:AdWare.Gator.5017". Action Taken: No Action Taken.
Mon Aug 29 18:38:38 2005 => File D:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as "not-a-virus:AdWare.Gator.6051". Action Taken: No Action Taken.
Mon Aug 29 18:38:39 2005 => File D:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken.
Mon Aug 29 18:38:39 2005 => File D:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as "not-a-virus:AdWare.Gator.5017". Action Taken: No Action Taken.
Mon Aug 29 18:38:39 2005 => File D:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken.
Mon Aug 29 18:38:39 2005 => File D:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe tagged as "not-a-virus:AdWare.Gator.6034". Action Taken: No Action Taken.
Mon Aug 29 18:38:39 2005 => File D:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil tagged as "not-a-virus:AdWare.Gator.a". Action Taken: No Action Taken.
Mon Aug 29 18:48:05 2005 => File D:\Programme\Microsoft SQL Server\80\Tools\Binn\EGGCEngine.dll tagged as "not-a-virus:AdWare.Gator.6051". Action Taken: No Action Taken.
Mon Aug 29 18:48:06 2005 => File D:\Programme\Microsoft SQL Server\80\Tools\Binn\EGIEProcess.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken.
Mon Aug 29 18:48:06 2005 => File D:\Programme\Microsoft SQL Server\80\Tools\Binn\EGNSEngine.dll tagged as "not-a-virus:AdWare.Gator.5017". Action Taken: No Action Taken.
Mon Aug 29 18:51:55 2005 => File D:\Programme\SearchRelevant\SearchRelevant.dll tagged as "not-a-virus:AdWare.Relevance.c". Action Taken: No Action Taken.
Mon Aug 29 19:07:16 2005 => File D:\WINNT\system\EGGCEngine.dll tagged as "not-a-virus:AdWare.Gator.6051". Action Taken: No Action Taken.
Mon Aug 29 19:07:16 2005 => File D:\WINNT\system\EGIEProcess.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken.
Mon Aug 29 19:07:16 2005 => File D:\WINNT\system\EGNSEngine.dll tagged as "not-a-virus:AdWare.Gator.5017". Action Taken: No Action Taken.
Mon Aug 29 19:11:41 2005 => File D:\WINNT\system32\wbem\EGGCEngine.dll tagged as "not-a-virus:AdWare.Gator.6051". Action Taken: No Action Taken.
Mon Aug 29 19:11:41 2005 => File D:\WINNT\system32\wbem\EGIEProcess.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken.
Mon Aug 29 19:11:42 2005 => File D:\WINNT\system32\wbem\EGNSEngine.dll tagged as "not-a-virus:AdWare.Gator.5017". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 16:59:57 2005 => Offending Folder found: D:\PROGRA~1\kazaa
Mon Aug 29 19:35:51 2005 => Total Virus(es) Found: 57
Mon Aug 29 19:35:51 2005 => Total Errors: 279
Mon Aug 29 19:35:51 2005 => Time Elapsed: 02:37:36
Mon Aug 29 19:35:51 2005 => Total Objects Scanned: 129560
Mon Aug 29 16:46:54 2005 => Virus Database Date: 2005/08/24
Mon Aug 29 16:56:52 2005 => Virus Database Date: 2005/08/24
Mon Aug 29 19:35:51 2005 => Virus Database Date: 2005/08/24
Mon Aug 29 21:11:23 2005 => Virus Database Date: 2005/08/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Hallo,
eigentlich hoffe ich immer noch auf eine Antwort um bei meinem Problem weiterzukommen.
Ich würde mich wirklich sehr freuen.
Danke im voraus.

Heinrich.

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/
Lösche den Quarantäne-Ordner von Norton.
Lösche die im Ordner C:\bases_x befindliche Datei mwav.log
Danach neuer scan sowie neues HJT-Log .

Win2000 SP4


Liebe Freunde im Forum,

bei meiner Suche nach Lösungen bin ich auf den Spyware-Scanner XoftSpy 4.15 gestoßen. Der hat meiner Meinung nach den Vorteil, dass er die gefundenen Einträge zwar nicht eliminiert, aber immerhin Angaben zum Ort der gefundenen Mistviecher macht. Xoftspy sucht nach Malware, Adware, Data Miners, BHOs und Toolbars. Das sieht z.B. so aus:
Vendor: DyFuCA
Type: Registry Key
Category: Malware
Object: HKLM\software\microsoft\windows\currentversion\policies\ameopt
Threat: Threat
Mit den Angaben unter 'Object' lassen sich die Objekte aufspüren und können eliminiert werden. Nicht zu vergessen ist eine vorherige Sicherung der Registry. Xoftspy sucht unter den Typen nach Registry Keys, Registry Values, Files und Folders. Der bei mir durchgeführte Scan hat 22 Einträge ergeben, die ich alle eliminert habe.
Leider nützt bei einem Eintrag das Löschen nichts:
Registry Value HKLM\software\microsoft\windows\run\IST Service. Dieser Eintrag weist auf D:\Programme\ISTsvc\istsvc.exe. Den Ordner ISTsvc habe ich längst samt der exe-Datei darin gelöscht. Den Registry-Eintrag werde ich einfach nicht los. Von irgendwoher wird der Eintrag immer wieder aktiviert. Wenn ich ihn in der Registry händisch lösche, dann in irgendeinen
anderen Ordner der Registry gehe, dann zurück ins Verzeichnis 'run', siehe, der Eintrag ist wieder da. Wahrscheinlich ist der Eintrag völlig ungefährlich.
Nach dem Scan mit Xoftspy und der manuellen Bereinigung habe einen Scan mit EScan durchgeführt. Hier das Ergebnis (Inhalt der Datei eScan_neu.txt):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Sep 05 18:59:34 2005 => Total Number of Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Sep 05 17:59:40 2005 => File D:\Dokumente und

Einstellungen\Gasteiger\EigeneProgramme\hijackthis\backups\backup-20050904-145116-772.dll tagged as

not-a-virus:AdWare.ToolBar.MyWay.g. No Action Taken.
Mon Sep 05 18:33:25 2005 => File D:\Programme\SearchRelevant\SearchRelevant.dll tagged as not-a-virus:AdWare.Relevance.c. No

Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Sep 05 18:59:34 2005 => Total Number of Virus(es) Found: 2
Mon Sep 05 18:59:34 2005 => Total Number of Errors: 3
Mon Sep 05 18:59:34 2005 => Time Elapsed: 01:47:26
Mon Sep 05 18:59:34 2005 => Total Number of Files Scanned: 58305
Mon Sep 05 17:11:11 2005 => Virus Database Date: 2005/08/28
Mon Sep 05 18:59:34 2005 => Virus Database Date: 2005/08/28
Mon Sep 05 22:10:20 2005 => Virus Database Date: 2005/08/28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Den Ordner backups habe ich geleert und das Programm SearchRelevant (auch so eine Kotzware!) mit dem im Ordner SeachRelevant enthaltenen Deinstaller deinstalliert. In der Registry findet sich nichts, was auf SearchRelevant hinweist.

Im Anschluß daran habe ich das System mit Spybot gescannt. Hier die Ergebnisse:

ISearchTech.Slotch: Autorun-Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IST Service

MyWay.MyBar: Netscape hook (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1844237615-839522115-854245398-1001\Software\Netscape\Netscape Navigator\Automation Shutdown\MyWayToolBar.NetscapeShutdown.1

MyWay.MyBar: Netscape hook (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1844237615-839522115-854245398-1001\Software\Netscape\Netscape Navigator\Automation Startup\MyWayToolBar.NetscapeStartup.1

MyWay.MyBar: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Way Speedbar Uninstall

MyWay.MyBar: IE-Toolbar (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1844237615-839522115-854245398-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}

Alexa Related: Verknüpfung (Datei austauschen, nothing done)
D:\WINNT\Web\RELATED.HTM


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-09-05 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2005-04-26 Includes\Cookies.sbi (*)
2005-08-26 Includes\Dialer.sbi (*)
2005-09-01 Includes\Hijackers.sbi (*)
2005-08-16 Includes\Keyloggers.sbi (*)
2005-09-01 Includes\Malware.sbi (*)
2005-08-12 Includes\PUPS.sbi (*)
2005-04-27 Includes\Revision.sbi (*)
2005-08-25 Includes\Security.sbi (*)
2005-09-01 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2005-09-01 Includes\Trojans.sbi (*)


Die vier MyWay-Einträge habe ich daraufhin aus der Registry entfernt, ebenso die Datei RELATED.HTM. Der nicht loszukriegende IST Service - Eintrag ist auch wieder da.
Aus meiner Sicht ist damit das System soweit wie möglich sauber. Das ganze hat eine Menge Zeit gekostet. Vielleicht hilft die oben beschriebene Prozedur dem einen oder anderen Forumsnutzer. Über Kommentare oder Ergänzungen, besonders zum IST Service, würde ich mich freuen.
Den Spezialisten im Forum, die sich für mein Problem interessiert haben, sei herzlicher Dank ausgesprochen.

Grüße aus München, Heinrich.