Hallo,

ich hoffe, jemand kann mir weiterhelfen.
Mit KasperskyAV wurde das Doppelpack TrojanDownloader.Win32 .istBar.s und TrojanDropper.Win32 .Dialex gefunden und gelöscht.
Das Problem hatte Christian am 10.01. hier im Forum wohl auch. Allerdings kann ich auf die Aussicht auf "neu formatieren" eher verzichten - wenn es sich vermeiden läßt.

Ich habe bisher keine Beschreibungen finden können (Symantec, Sophos, Kaspersky), wo in System, Registry etc. man nach welchen Komponenten suchen sollte, um den Kram endgültig loszuwerden. Hat jemand einen Tipp, wo man am ehesten nach der Beschreibung des "workload" suchen könnte?

Zusätzlich wurde unter c:/programme/ ein Folder eingerichtet mit der Bezeichnung Johlee - wie lösche ich das am besten? Wohl eher nicht mit der mitgelieferten uninstall.exe?

Für Hinweise wäre ich dankbar.
Beste Grüße,

Signora Cl

Es handelt sich um eine Kombination von Adware, Hijacker und Downloader:
http://www.doxdesk.com/parasite/ISTbar.html

In diesem Johlee-Ordner dürfte sich dieses befinden:
http://www.johlee.com/deskmate.php
Kann sein, daß dieser Müll mit ISTbar zusammenhägt, d.h. durch ISTbar heruntergeladen und installiert wurde, kann aber auch genau umgekehrt sein.

Bei der Entfernung würde ich folgendermaßen vorgehen:
1) Den Jolee-Uninstaller anwenden und ggf. Reste dieses Ordners manuell löschen.
2) Spybot S&D anwenden - www.safer-networking.org
Vor der Anwendung updaten.
3) HijackThis-Log erstellen und zur Kontrolle hier posten - http://www.trojaner-board.de/51130-a...ijackthis.html

Das Wichtigste vergessen:

</font><blockquote>Zitat:</font><hr /> Distribution
Installed by ActiveX drive-by download on affiliate sites; typically porn in the case of XXXToolbar, from April 2003. An 'aggressive' downloader is usually used: if you refuse the download, a JavaScript alert complains that it won't take no for an answer and opens the download window again.
</font>[/QUOTE]Der Mist wurde per ActiveX durch den Unsicherheitsbrowser IE heruntergeladen und installiert, deshalb klare Empfehlung für sichere Browser, die ActiveX nicht kennen:
Mozilla, Firebird, K-Meleon, Opera.

Ad-aware und Spybot sind dagegen machtlos.
Auch in Hijack-This wurde nichts auffallendes festgestellt.

Wie ja alle wissen, nutze ich den IE nicht.
Aber da auch noch meine Familie den PC nutzt und diese verdammt nochmal den IE benutzen, kann noch so ein gut konfigurites System befallen werden. [img]graemlins/koch.gif[/img]

Dialex lässt sich über Kaspersky entfernen.
Bei IstBar dagegen musst du die .dll-Datei löschen.

Ich konnte zwar die Malware löschen, hab aber mein System trotzdem neu aufgesetzt.
Man kann nie garantieren, ob alles sauber entfernt wurde.

</font><blockquote>Zitat:</font><hr /> Ad-aware und Spybot sind dagegen machtlos. </font>[/QUOTE]Abwarten.
Die Erfahrung aus dem Chip-Forum (ist dort leider Tagesgeschäft) sagt mir was anderes.
Eigene Erfahrung hab ich allerdings nicht mit dem Kram.

Dieser Thread war gemeint ?
http://www.trojaner-board.de/forum/u...c;f=6;t=004729

Da find ich aber nix über die erfolglose Anwendung von Spybot S&D.

Manuelle Entfernung (oder auch Entfernung mit einem AV-Programm) halte ich aufgrund der zahlreichen Komponenten für wenig aussichtsreich.

Ich kann dir ja mal die Dinger schicken.
Du startest sie und lässt Spybot und Ad-aware drüber laufen.
Dann kannst du's sehen, dass Spybot und Ad-aware nichts ausrichten können.

Hallo,

vielen Dank an spaCeLoRdd und Christian. Bei mir sieht der Fall ähnlich aus - ich predige, wie man sich bei Emaildownload etc. verhalten soll, bin selbst Netscape und Opera-Fan, verwende Pegasus und halte alle, die mit Outlook arbeiten, eher für Leute, die bewusst nach Ärger suchen - aber es ist halt bequemer, die "gängigen" Programme zu verwenden (lass die Alte doch reden - die macht eben gerne Überstunden wegen PC-Problemen...).


Ich mache mich mal über die "Restposten" auf der Festplatte her, und melde mich ggf. wieder, wenn es weitere Trouble gibt.

Grüße,

Signora Cl

Vielleicht befallen ja dieser Trojaner nur sicherheitsbewusste Bayern. [img]graemlins/crazy.gif[/img]

Sind keine Trojaner, sondern eine Downloader- und eine Dialer/Dropper-Komponente, beide Teile des Hijacker/Adware-Pakets "ISTbar".

Wahrscheinlich die neueste Variante "Slotch":
http://www.safer-networking.de/index...ats&detail=586

Hier liegt auch das Problem begründet, das Virenscanner mit solchen Hijackern haben: Sie können immer nur einzelne Komponenten erkennen, nie aber das komplette Paket.
Spybot S&D hingegen untersucht nicht einzelne Dateien anhand von Signaturen, sondern bestimmte Bereiche des Systems nach Produktgruppen.

Aber bitte nicht falsch verstehen: Spybot S&D ist kein Trojanerscanner, erkennt keine (oder nur wenige) "echte" Trojaner, aber solche liegen hier auch nicht vor.

Die einzelnen Dateien nützen mir wenig, aber ich werde deine Anregung aufgreifen, und mir mal auf meinem Testrechner ISTbar installieren. *g*

@Christian
naja - sicherheitsbewusste Bayern - den Quatsch ausgelöst hat eine etwas unbedarfte Userin (jetzt etwas geknickt und hoffentlich nicht mehr ganz so unbedarft), die - an Pegasus vorbei - und zeitgleich mit der Meldung von KAV doch noch ein Bild aus einer Mail aufgerufen hat - und dann gab's wohl kein halten mehr. Begründung: "Ich kenne doch den, der mir das geschickt hat"

Es wurde dann noch ein Programm installiert, das auf Johlee Webseiten verweist (?) - anscheinend Hentai Porn, (macht sich gut auf dem Firmenrechner...).
was mich schlussendlich dazu bewogen hat, die Partition neu zu formatieren, war die Tatsache, dass der Arbeitsspeicher lahm gelegt wurde - und ich (leider) nicht so viel Zeit hatte, weitere Ursachenforschung zu betreiben. Jetzt geht's wieder...

Der Hinweis auf Spybot ist sicher auch wertvoll - auf dem Privatrechner benutze ich das Programm auch regelmäßig, und werd es wohl auch auf den Rechnern in meinem Arbeitsbereich installieren.

Nochmals Danke für die Tipps und Grüße,

Signora Cl