|
TR/Dldr.IstBar.PT Trojaner! HILFE! Hi, ich habe schon gesehen ich bin nicht der erste mit diesem Problem. Mein Antivir meldet mir: C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTSV8F8R 0006_adult[1].cab ArchiveType: CAB (Microsoft) --> istactivex.dll [FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.PT Da ich absolut nicht weiß wie ich das beheben kann, hoffe ich das mir jemand weiterhelfen kann. Ich habe mal mit Hijackthis einen logfile erstellt. Logfile of HijackThis v1.98.2 Scan saved at 09:20:12, on 10.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\SOUNDMAN.EXE C:\HP\KBD\KBD.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\DOKUMENTE UND EINSTELLUNGEN\MARC-INGO MROZ\EIGENE DATEIEN\EIGENE PROGRAMME\Quicktime\qttask.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Eigene Dateien\Eigene Programme\AntiVir\AVWUPSRV.EXE C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Eigene Dateien\Eigene Programme\AntiVir\AVGUARD.EXE C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Eigene Dateien\Eigene Programme\AntiVir\AVGNT.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\notepad.exe C:\DOKUME~1\MARC-I~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.com/b1redirect R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\DOKUMENTE UND EINSTELLUNGEN\MARC-INGO MROZ\EIGENE DATEIEN\EIGENE PROGRAMME\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Eigene Dateien\Eigene Programme\AntiVir\AVGNT.EXE" /min O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: PowerReg Scheduler V3.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{5B0ACC3F-04F3-489C-90D0-6FA4D6D265E9}: NameServer = 217.237.150.225 217.237.150.141 So weiter weiter weiss ich erstmal nicht! |
Lade Clear Prog und lösche damit deine TIF. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html Das Log-File sieht soweit sauber aus. |
JUHUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU! Habe alles gemacht wie Du sagtest und es muß geklappt haben. Bin diesen Drecks-Trojaner wohl los :daumenhoc . Mein Antivir hat nichts mehr gemeldet beim erneuten durchlauf. Da sage ich vielen dank!!! :) |
Dies solltest du jedoch noch fixen: O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe |
Mach ich mal, denke mal du hast da mehr Ahnung als ich. :) Vielen dank! |
Habe fast das gleiche wie Super-Ong. Meiner heißt Istbar.dl und bei mir wird ebenfalls im TIF "Content" angezeigt. Habs gelöscht und seh es nicht mehr, aber der Virenscanner findet es immer noch. Wo versteckt der sich. War sowieso irre. Neuinstallation, 1x ins Internet für ein Virenupdate und schon hatte Rbot in allen Varianten und noch ein paar andere. Habe alle wegbekommen ausser Istbar.dl Helft mir mal bitte. Wenn wir dabei sind, welcher Browser ist sicherer? Mozilla? Gibt es noch andere empfehlenswerte? |
Hallo josama, - zum sicheren Neuaufsetzen eines Betriebssystems - zur Frage sicherer alternativer Browser zitiere ich Cidre: formatieren+neuaufsetzen Zitat:
SD |
War noch mal im Internet, aber mit Mozilla, trotzdem gehen IE-Seiten auf. Hab wieder neue Viren, Rbot, Mediaticket und eben Istbar. Logfile of HijackThis v1.98.2 Scan saved at 16:43:53, on 12.10.2009 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINNT\System32\svchost.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\Explorer.exe D:\Programme\AVPersonal\AVGNT.EXE D:\WINNT\System32\wapdljv.exe D:\WINNT\System32\Compliant.exe D:\WINNT\System32\internat.exe D:\WINNT\System32\taskmrg.exe D:\Programme\Mozilla1.7.3\Mozilla.exe D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\retn.exe C:\InstProgs\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINNT\localNRD.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Programme\SideFind\sfbho.dll (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [candy] command32.exe O4 - HKLM\..\Run: [Start Upping] taskmrg.exe O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [kzvlgertbnsfn] D:\WINNT\System32\wapdljv.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [Compliant] Compliant.exe O4 - HKLM\..\RunServices: [candy] command32.exe O4 - HKLM\..\RunServices: [Start Upping] taskmrg.exe O4 - HKLM\..\RunServices: [Compliant] Compliant.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Start Upping] taskmrg.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "D:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo O4 - HKCU\..\Run: [Rseu] D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\retn.exe O4 - HKCU\..\Run: [Compliant] Compliant.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...39302c61fb4d2c O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab |
Ich weiss nicht ob es dir bewusst ist, aber dieser mickrige Browser Hijacker ist dein kleinstes Problem. Zitat:
btw: Du irrst, dieser Backdoor Rbot.gen ist immer noch aktiv, siehe http://www3.ca.com/securityadvisor/v....aspx?id=39437 |
Ich weiss, dass der Rbot noch drauf ist. Ich hab nur ein Problem damit, mich diesem Wurm geschlagen zu geben, denn das wäre das formatieren. Kann auch mein WIN98 (auf der selben HDD) befallen sein? |
Ich sollte noch etwas wissen: Mein Computer war bei einem Klick auf den IE-Explorer stehen geblieben. Von da an liess er sich nicht mehr starten, nicht einmal mit der Bootdiskette. Da ich an einen Hardwaredefekt glaubte, habe ich die HDD in einen anderen Computer eingebaut. Nach 2 Bootvorgängen war es auch mit dem vorbei. Bei meinem dritten Computer habe ich nur die Netzwerkarten aus dem 1.PC eingebaut, und wieder kein Bootvorgang, nicht einmal ein Signal von der Grafikkarte an den Monitor. Kann das durch z.B. Rbot passiert sein? |
Ein grundsätzliches Problem ist, dass dein System überhaupt nicht gepatched ist (für Win 2000 gibts meines Wissens inzwischen Service Pack 4 bei dir ist noch gar keins drauf). Daher existieren seit langem gefixte Sicherheitslücken weiterhin an der Basis des Betriebssystems und dagegen helfen auch alternative Browser herzlich wenig (es sei denn, es sind Lücken im IE). Es genügt dann, dass du einfach nur mit dem Internet verbunden bist, um angreifbar zu sein. Deine anderen Probleme dürften damit eher nichts zu tun haben, zumindest wüsste ich nicht, wie ein Virus eine Netzwerkkarte derart beschädigen sollte, dass sie die Grafikkarte eines Rechners beeinträchtigt usw. Auch wenn man mit Rbot alles mögliche auf einem Rechner machen kann von Außen, das ist einfach technisch nicht möglich. Es ist nachträglich kaum oder nur mit höherem Aufwand für Experten möglich, nachzuvollziehen, was ein Angreifer alles gemacht haben könnte, während er durch rbot Zugang zu deinem System hatte. Daher ist der einfachste Weg eine Neuformatierung und -installation. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:42 Uhr. |
Copyright ©2000-2024, Trojaner-Board