Trojaner-Board - TR Istbar.A

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR Istbar.A (https://www.trojaner-board.de/13241-tr-istbar-a.html)

Hallo liebe Helfer,
ich dachte, es wäre geschafft, aber ich werde diesen TR nicht los.
Wer liest das bitte mal aus:

Logfile of HijackThis v1.99.0
Scan saved at 18:37:29, on 03.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\SPOOL32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\MSTASK.EXE
C:\TOOLS\SYGATE\SPF\SMC.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
C:\WIN98\SYSTEM\RNAAPP.EXE
C:\WIN98\SYSTEM\TAPISRV.EXE
C:\WIN98\TASKMON.EXE
C:\WIN98\SYSTEM\SYSTRAY.EXE
C:\TOOLS\WINAMP\WINAMPA.EXE
C:\TOOLS\AVPERSONAL\AVGCTRL.EXE
C:\TOOLS\AVPERSONAL\AVSCHED32.EXE
C:\WIN98\SYSTEM\E_S4I0S2.EXE
C:\TOOLS\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\TOOLS\NOPOPUP 2003\NOPOPUP.EXE
C:\WIN98\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\TOOLS\TOTALCMD\TOTALCMD.EXE
C:\WIN98\SYSTEM\DDHELP.EXE
C:\TOOLS\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stern.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ewetel.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = EWE TEL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN98\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinampAgent] "C:\TOOLS\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\WIN98\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\TOOLS\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\TOOLS\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WIN98\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O7 "EPUSB1:" /M "Stylus C66"
O4 - HKLM\..\Run: [mdac_runonce] C:\WIN98\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [SmcService] C:\TOOLS\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [CreateCD] C:\TOOLS\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\TOOLS\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [NoPopUp] C:\TOOLS\NOPOPUP 2003\NOPOPUP.EXE /autorun
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

Jetzt schon dank

@SweetKim
lade dir escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

mit Verspätung - sorry - die gefundenen Einträge (hoffe, alles richtig gemacht zu haben)

File C:\WIN98\TEMPOR~1\CONTENT.IE5\IFKVW9E7\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

File C:\WIN98\TEMPOR~1\CONTENT.IE5\IFKVW9E7\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken

File C:\WIN98\TEMPOR~1\CONTENT.IE5\IFKVW9E7\prompt[2].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

File C:\WIN98\TEMPOR~1\CONTENT.IE5\SDK7CGMB\PROMPT[1].PHP.VIR infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken

File C:\WIN98\TEMPOR~1\Content.IE5\IFKVW9E7\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

File C:\WIN98\TEMPOR~1\Content.IE5\IFKVW9E7\prompt[2].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

File C:\WIN98\TEMPOR~1\Content.IE5\SDK7CGMB\PROMPT[1].PHP.VIR infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken

File C:\WIN98\Temporary Internet Files\Content.IE5\IFKVW9E7\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action

File C:\WIN98\Temporary Internet Files\Content.IE5\IFKVW9E7\prompt[2].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken

File C:\WIN98\Temporary Internet Files\Content.IE5\SDK7CGMB\PROMPT[1].PHP.VIR infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action

Scanning Folder: C:\Tools\AVPersonal\INFECTED\*.*

Leere den TIF Ordner mit Hilfe von Clearprog.

- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Poste danach ein neues HJT Log-File.

Hallo Cidre, erstmal danke, hab es gelöscht, hier das neue hjt

Logfile of HijackThis v1.99.0
Scan saved at 19:11:23, on 04.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\SYSTEM\MSTASK.EXE
C:\TOOLS\SYGATE\SPF\SMC.EXE
C:\WIN98\EXPLORER.EXE
C:\WIN98\SYSTEM\RNAAPP.EXE
C:\WIN98\SYSTEM\TAPISRV.EXE
C:\WIN98\TASKMON.EXE
C:\WIN98\SYSTEM\SYSTRAY.EXE
C:\TOOLS\WINAMP\WINAMPA.EXE
C:\TOOLS\AVPERSONAL\AVGCTRL.EXE
C:\TOOLS\AVPERSONAL\AVSCHED32.EXE
C:\WIN98\SYSTEM\E_S4I0S2.EXE
C:\WIN98\SYSTEM\SPOOL32.EXE
C:\TOOLS\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\TOOLS\NOPOPUP 2003\NOPOPUP.EXE
C:\WIN98\SYSTEM\WMIEXE.EXE
C:\WIN98\SYSTEM\PSTORES.EXE
C:\WIN98\SYSTEM\DDHELP.EXE
C:\TOOLS\TOTALCMD\TOTALCMD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\TOOLS\WINMX\WINMX.EXE
C:\TOOLS\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stern.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ewetel.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = EWE TEL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN98\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinampAgent] "C:\TOOLS\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\WIN98\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\TOOLS\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\TOOLS\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WIN98\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O7 "EPUSB1:" /M "Stylus C66"
O4 - HKLM\..\Run: [mdac_runonce] C:\WIN98\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [SmcService] C:\TOOLS\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [CreateCD] C:\TOOLS\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\TOOLS\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [NoPopUp] C:\TOOLS\NOPOPUP 2003\NOPOPUP.EXE /autorun
O4 - HKCU\..\RunServices: [NoPopUp] C:\TOOLS\NOPOPUP 2003\NOPOPUP.EXE /autorun
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

Dein Log-File sieht wieder sauber aus.
Ist dein Problem jetzt behoben?

Les dir auch mal diese Links durch:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

Hi Cidre, es sieht gut aus, kein Plagegeist mehr
Ich bedanke mich, und werde mir deinen Ratschlag durch den Kopf gehn lassen wg. firefox
find ich toll das einem so geholfen wird

@SweetKim
und werde mir deinen Ratschlag durch den Kopf gehn lassen wg. firefox

nicht durch den kopf gehen lassen ( :confused: ), sondern installieren und benützen. :D

chaosman

ay käptn :-) wird morgen früh gemacht, nachmals thx :daumenhoc

hallo
habe gerade den thread gelesen, weiss allerdings nicht was ich bei mir davon machen soll.
habe den oben genannten virenscanner(der die dateien nicht selbst löscht) durchlaufen lassen und der hat ne menge sachen gefunden...

ausserdem habe ich ad-aware drauf der findet jedesmal sachen löscht sie und nach einem neustart sind sie wieder da(habe es auch schon im abgesicherten modus versucht)
ein weiteres problem ist das ich keine firewall(auch das programm antivir) installieren kann so dass ich wie auch jetzt ungeschütz im internet bin und ich immer sehr viele mehr viren drauf bekomme... nur manche bleiben nach dem durchlauf von ad-aware und spyware immer drauf

das ist der log von escan

File C:\WINDOWS\System32\reginv.dll infected by "Backdoor.Win32.Prorat.19" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\winkey.dll infected by "Backdoor.Win32.Prorat.19" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\services.exe infected by "Backdoor.Win32.Prorat.b" Virus. Action Taken: No Action Taken.
Sat Feb 12 12:51:38 2005 => File C:\WINDOWS\system\sservice.exe infected by "Backdoor.Win32.Prorat.

Sat Feb 12 12:51:38 2005 => File C:\WINDOWS\system32\fservice.exe infected by "Backdoor.Win32.Prorat.b" Virus. Action Taken: No Action Taken.b" Virus. Action Taken: No Action Taken.

Sat Feb 12 12:51:41 2005 => File C:\WINDOWS\system32\mcafee32.exe infected by "Backdoor.Win32.SdBot.lt" Virus. Action Taken: No Action Taken.

Sat Feb 12 12:51:42 2005 => File C:\windows\system32\elitetbm32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.

Sat Feb 12 12:51:42 2005 => File C:\WINDOWS\avjeg.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:21:16 2005 => File C:\WINDOWS\msnmsgq.exe infected by "Trojan-Downloader.Win32.Agent.is" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:21:16 2005 => File C:\WINDOWS\msexploren.exe infected by "Backdoor.Win32.Webdor.p" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:21:16 2005 => File C:\WINDOWS\system32\crcss.exe infected by "Backdoor.Win32.Rbot.hj" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:21:18 2005 => File C:\WINDOWS\system32\MSTASK.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:21:27 2005 => File C:\WINDOWS\services.exe infected by "Backdoor.Win32.Prorat.b" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:21:30 2005 => File C:\WINDOWS\pxnbui.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:22:46 2005 => File C:\WINDOWS\System32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:23:09 2005 => File C:\WINDOWS\System32\eliteozi32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:23:09 2005 => File C:\WINDOWS\System32\eliteneo32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:23:10 2005 => File C:\WINDOWS\System32\elitenzh32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:30:34 2005 => File C:\DOCUME~1\admin\LOCALS~1\Temp\temp.frFEBD infected by "not-a-virus:AdWare.WinAD.k" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:30:34 2005 => File C:\DOCUME~1\admin\LOCALS~1\Temp\temp.fr2375\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gm" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:30:34 2005 => File C:\DOCUME~1\admin\LOCALS~1\Temp\temp.frDF52\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gm" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:30:35 2005 => File C:\DOCUME~1\admin\LOCALS~1\Temp\temp.frA289\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gm" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:30:35 2005 => File C:\DOCUME~1\admin\LOCALS~1\Temp\3aU7UA.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:30:35 2005 => File C:\DOCUME~1\admin\LOCALS~1\Temp\gGnCbB.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:30:37 2005 => File C:\DOCUME~1\admin\LOCALS~1\Temp\6iImWx.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:30:37 2005 => File C:\DOCUME~1\admin\LOCALS~1\Temp\xRfBEf.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: No Action Taken.

Sat Feb 12 14:30:38 2005 => File C:\DOCUME~1\admin\LOCALS~1\Temp\dJ1dIw.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: No Action Taken.

.
wäre cool wenn mir wer helfen kann..
gruss raphael

@ nulpe

Dein System ist mit den verschiedensten Backdoors durchseucht. Einzige Lösung um wieder einen vertrauenswürdigen Zustand herzustellen, ist ein Neuaufsetzen deines System, siehe den Link in meiner Sig.

da werd ich wohl nich drum rumm kommen...
danke für die auskunft!
kanns du mir vielleicht noch sagen wie ich am besten und schnellsten formatiere weil ich es zwar schonmal gemacht habe... aber es ewig lange gedauert hat!

danke

Siehe Cidre's Signatur!

Hier wird jeder Schritt beschrieben!