Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   HILFE!! TR/Dldr.IstBar.FY2 (https://www.trojaner-board.de/9552-hilfe-tr-dldr-istbar-fy2.html)

viv66 13.11.2004 18:29
HILFE!! TR/Dldr.IstBar.FY2
 
Wer kann mir helfen? TR/Dldr.IstBar.FY2 Was ist das für ein Trojaner, den da mein Antivirenprogramm gefunden hat? Was muß ich jetzt tun?
1000 Dank.

*Christian* 13.11.2004 18:58
Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/

viv66 13.11.2004 19:25
Logfile of HijackThis v1.98.2
Scan saved at 19:21:12, on 13.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Schmaili\Schmaili.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\PowerISDNMonitor\pisdnmon.exe
C:\Programme\ScanPanel\ScnPanel.exe
C:\Programme\TurboNote\tbnote.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\ICQ\Icq.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_5_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_5_0.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [GSDesk32] C:\Programme\PC Safety Kid XP\GSDesk32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Schmaili] C:\Programme\Schmaili\Schmaili.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Startup: TurboNote+.lnk = C:\Programme\TurboNote\tbnote.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: PowerISDNMonitor (Autostart).lnk = C:\Programme\PowerISDNMonitor\pisdnmon.exe
O4 - Global Startup: ScanPanel.lnk = C:\Programme\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0550bfc4...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/instal...sinstaller.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C00B70A-13C3-44F4-900A-F9884E0DD25D}: NameServer = 212.62.64.34 212.62.68.34
O17 - HKLM\System\CCS\Services\Tcpip\..\{E82E28FF-F57F-426C-A616-EE5E8376C73D}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C00B70A-13C3-44F4-900A-F9884E0DD25D}: NameServer = 212.62.64.34 212.62.68.34

viv66 13.11.2004 19:29
Und jetzt?

cacatoa 13.11.2004 20:25
Das hier im abgesicherteN Modus bei deaktivierter Systemwiederherstellung fixen:
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Hat Dein Antivir sonst noch was gefunden? Ich denke er hat Deinen IST-bar-Installer schon gekillt.
Lade Dir mal AdAware SE runter und laß es laufen. Alles löschen, was er findet. Poste dann ein neues Logfile

viv66 13.11.2004 21:09
Habe escan laufen lassen, zwar nicht im abgesicherten Modus aber das ist das Ergebnis: Was bedeutet das?

Sat Nov 13 19:58:40 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
C:\Programme\AVPersonal\INFECTED\SPEZIAL_030806.EXE.VIR
C:\Programme\AVPersonal\INFECTED\SPEZIAL_030806.EXE.VIR: Scanning Failure!!!
Sat Nov 13 20:01:27 2004 => C:\Programme\AVPersonal\INFECTED\SPEZIAL_030806.EXE.VIR
Sat Nov 13 20:01:27 2004 => C:\Programme\AVPersonal\INFECTED\SPEZIAL_030806.EXE.VIR possibly infected and removed by background antivirus package!
C:\Programme\AVPersonal\INFECTED\SPEZIAL_030806.EXE.VIR infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

viv66 13.11.2004 21:20
hallo cacatoa,

der link geht leider nicht.

cacatoa 13.11.2004 21:21
Das bedeutet, daß Antivir ein paar Sachen gefunden und abgelegt hat. diese abgelegten Sachen aht nun eScan im Antivir-Ordner (logisch) gefunden. Leere die Quarantäne-Ordner im antivir.
Und der hier: BkCln.Unknown ist ein Hoax.

cacatoa 13.11.2004 21:22
Du sollst den Link zu lavasoft AdAware SE anclicken; der geht, hab ich soeben selber probiert.
Der andere kommt aus Deinem Logfile. ;)

viv66 13.11.2004 21:28
Aha, und wo finde ich den Quarantäne Ordner, ich habe einen Ordner gefunden der heißt infected under AVPersonal aber da ist nichts drin.

Und bezüglich des Hoax. Das würde dieses Programm auch finden, was ich da runterladen soll?

viv66 13.11.2004 21:33
so das lavasoft Programm läuft *schwitz*

cacatoa 13.11.2004 21:33
Also, der INFECTED Ordner muß was enthalten, sonst hätte eScan dort nichsts gefunden.
Und AdAware SE auf dem Rechner zu haben ist NIE verkehrt. Den Hoax sollte es wohl erkennen.
Poste mal rein, wieviele Problemchen AdAware gefunden hat (und wie gesagt, alle gefundenen gleich löschen lassen).

viv66 13.11.2004 22:02
So er hat 27 gefunden. Hab alles gelöscht.

Muss jetzt nur noch dieses machen: Das hier im abgesicherteN Modus bei deaktivierter Systemwiederherstellung fixen:
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE}
Was heißt denn fixen??

Danke.

chaosman 13.11.2004 22:13
@viv66
fixen heißt, in abgesicherten modus mit HJT ein scan machen, häkchen setzen und dann auf Fix Checked clicken.
http://www.trojaner-board.de/63335-w...s-starten.html

chaosman

viv66 14.11.2004 09:50
Ich danke Euch! Habe alles so gemacht. Ich hoffe, dass jetzt alles wieder in Ordnung ist. Aber kann man da sicher sein?
Nochmals DAnke.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19