|
Argg!!! Ich brauch eure Hilfe. Ok, ich hab nun schon ne ganze Menge versucht und jetzt erst ein Virenprogram durchlaufen lassen und so weiter und so fort..... Tja, aber dieses Ding das sich istbar oder istsvc nennt kommt immer und immer wieder. Also, schaut euch das doch bitte einfach mal an. Logfile of HijackThis v1.99.1 Scan saved at 17:25:31, on 30.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe d:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\ati2evxx.exe d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cidaemon.exe C:\Programme\Apoint\Apoint.exe C:\WINDOWS\system32\Atiptaxx.exe C:\WINDOWS\StartupMonitor.exe D:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Apoint\Apntex.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Wireless\IEEE802.11b WLAN USB Adapter v2.5\WLUSBCFG.exe C:\Programme\NETGEAR\WG111T Configuration Utility\wlan111t.exe C:\Programme\Maven\mavenUpdater.exe D:\Programme\AVPersonal\AVWIN.EXE D:\Programme\Spybot - Search & Destroy\SpybotSD.exe D:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5226476C-DCDB-F424-A5C5-856DD44FB79C} - C:\WINDOWS\system32\xrmoca.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: IEEE802.11b WLAN USB Adapter Utility.lnk = C:\Programme\Wireless\IEEE802.11b WLAN USB Adapter v2.5\WLUSBCFG.exe O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download all by Free Download Manager - file://d:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download by Free Download Manager - file://d:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Download selected by Free Download Manager - file://d:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download web site by Free Download Manager - file://d:\Programme\Free Download Manager\dlpage.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - d:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109119121190 O16 - DPF: {6EE39BFC-2FB6-4B69-9D05-CFC10E4F5B3E} (MavenBootInstallerAXControl Class) - http://client.maven.net/client/mavenBootInstaller.cab O18 - Protocol: mavencache - {DB47FDC2-8C38-4413-9C78-D1A68BF24EED} - C:\Programme\Maven\protocolHandlers.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe PS: beim letzten Check hat AntiVir 12 Trojaner/Viren und andere schöne Dinge gefunden!!! :kloppen: :kloppen: _____________ Anm. Aktive Links editiert! Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis. LG Cidre S-Mod TB |
Hallo, schau mal hier: http://search.symantec.com/custom/us/query.html gib ISTBAR in die Suchleiste ein, da wird erklärt was ISTBAR ist was es macht und wie Du es weg bekommst. Kannst auch mal ADAWARE downloaden ist Freeware.Danach Adaware updaten und im abgesicherten Windows Modus durchlaufen lassen. Prog hier: www.lavasoftusa.com/software/adaware/ Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER) :teufel3: |
@Weltensegler lasse diese datei überprüfen C:\WINDOWS\system32\xrmoca.dll und zwar hier http://virusscan.jotti.org/de/ poste das ergebnis wechsle danach in den abgesicherten modus und fixe mit HJT O2 - BHO: (no name) - {5226476C-DCDB-F424-A5C5-856DD44FB79C} - C:\WINDOWS\system32\xrmoca.dll lösche danach manuell C:\WINDOWS\system32\xrmoca.dll neu booten und ein neues HJT logfile posten PS: beim letzten Check hat AntiVir 12 Trojaner/Viren und andere schöne Dinge gefunden!! poste doch mal die ergebnisse und pfade chaosman |
Hier ist das Ergebnis von dem Link den du mir gegeben hast chaosman: Datei: xrmoca.dll Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Trojan.Dropper.Purityscan.I gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus not-a-virus:AdWare.PurityScan.ak gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden PS: Wie wechsel ich bei XP in den abgesicherten Modus? |
@Weltensegler abgesicherten modus diese datei in abgesichrten modus löschen C:\WINDOWS\system32\xrmoca.dll chaosman |
Ok, die Datei C:\WINDOWS\system32\xrmoca.dll wurde erfolgreich gelöscht. Hier ist noch die Liste der Viren, die AntiVir gefunden hat. Mein System ist XP +SP2 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005 Hauptptogramm 6.30.00.17 vom 07.03.2005 VDF-Datei 6.30.0.211 (0) vom 30.05.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temp bb.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Adload.A WURDE GELÖSCHT! optimize.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds WURDE GELÖSCHT! C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ3ST6J cmctl[1].dll [FUND!] Ist das Trojanische Pferd TR/IstBar.AQ.2 WURDE GELÖSCHT! C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PG9U3WF istrecover[1].exe [FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.IJ.1 WURDE GELÖSCHT! nem220[1].dll [FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.BH.1 WURDE GELÖSCHT! sfbho13[1].dll [FUND!] Ist das Trojanische Pferd TR/Spy.Likesurf.1 WURDE GELÖSCHT! C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2DMJK12B istbarcm[1].dll [FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.IK WURDE GELÖSCHT! optimize[1].exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds WURDE GELÖSCHT! C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MVU7CLE9 bb[1].exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Adload.A WURDE GELÖSCHT! ncase_new[1].exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Istbar.BY.3 WURDE GELÖSCHT! power_remove[1].exe [FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.gi.1 WURDE GELÖSCHT! C:\Programme\SideFind bbb_tobedeleted [FUND!] Ist das Trojanische Pferd TR/Spy.Likesurf.1 WURDE GELÖSCHT! Ende des Suchlaufs: Montag, 30. Mai 2005 16:38 Benötigte Zeit: 98:55 min 5554 Verzeichnisse wurden durchsucht 105128 Dateien wurden geprüft 50 Warnungen wurden ausgegeben 12 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 12 Viren bzw. unerwünschte Programme wurden gefunden Könnt ihr mir irgendwas dazu sagen? Gruß Welti. |
|
Beißt sich escan nicht mit AntiVir? Ich habe gehört, daß mehrere Antivirenprogramme auf einem Rechner nicht zusammen installiert weden sollten. |
Zuerst eine kleine Definition: Zitat:
Man sollte nur nie 2 oder mehr "On-Access-Scanner" nebeneinander laufen lassen. Hier bei allen bis auf einem Scanner den Hintergrundwächter deaktivieren. |
Hier das Logfile von escan: Wed Jun 01 12:04:15 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken. Wed Jun 01 12:04:15 2005 => Object "XXXToolbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Jun 01 12:04:23 2005 => System found infected with eZula Spyware/Adware (exclean.exe)! Action taken: No Action Taken. Wed Jun 01 12:04:23 2005 => Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Jun 01 12:39:10 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken. Wed Jun 01 12:39:10 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Jun 01 12:39:10 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken. Wed Jun 01 12:39:10 2005 => Object "XXXToolbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Jun 01 12:39:44 2005 => System found infected with eZula Spyware/Adware (exclean.exe)! Action taken: No Action Taken. Wed Jun 01 12:39:44 2005 => Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Jun 01 12:39:54 2005 => System found infected with ISearchTech Spyware/Adware (istactivex.dll)! Action taken: No Action Taken. Wed Jun 01 12:39:54 2005 => Object "ISearchTech Spyware/Adware" found in File System! Action Taken: No Action Taken. So, was jetzt? Bevor ich mein system zerschieße, was muß ich genau tun? Die Dateien manuell im abgesicherten Modus löschen? Und wo genau finde ich eiggentlcih die Registry Einträge und muß ich da was bestimmtes beachten beim löschen? Ein Freund hat mir den RegSeeker und auch ein Programm namens RegAnalyzer auf meinem Rechner installiert, aber er kam noch nicht dazu mir die funktionen genau zu erklären und ich seh ihn nun win welchen nicht. Kennt ihr die? Was kann ich mit denen genau machen? Kennt ihr euch da aus? Grüßle Welti |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board