WCM Forum - Hab mir da was schlimmes eingetreten!!!

WCM Forum (http://www.wcm.at/forum/index.php)

- Software (http://www.wcm.at/forum/forumdisplay.php?f=5)

- - Hab mir da was schlimmes eingetreten!!! (http://www.wcm.at/forum/showthread.php?t=146742)

Hab mir da was schlimmes eingetreten!!!

hallo zusammen!

hab mir gestern beim surfen im netz(suchte einen liedertext, nicht was ihr schon wieder denkt) was schlimmes geholt. antivir meldete einige funde und ab da hängte sich der pc ständig auf.

trennte ihn also vom netz und ließ antivir suchen.

Meldung:TR/Dldr.IstBar.PT

und dass in den eigenen dateien/.../... usw. das hier gefunden wurde:

006_adult[1].cab

alles andere, noch zwei weitere sachen, löschte oder reparierte antivir.

gibt es da ein tool um das zeug loszuwerden. googeln erbrachte mir höchst aufwändige vorschläge mit "highjack this" und sonstigem.

bitte um tips.

gruss W4tl

Abgesichert hochfahren und dann antivir/hijackthis laufen lassen. Eventuell hat der Virus Systemdateien befallen und Antivir hat das gelöscht. Dadurch ev. die Abstürze.

is ein trojaner http://www.trojaner-board.de/showthr...3867#post73867
da wird dir geholfen

Wie funktioniert das mit hijackthis?

was ist gemeint mit fixen?

und die datei die angeführt ist, soll ich die einfach rauslöschen?

du lädst hijackthis runter und machst einen scan, das logfile speicherst du und fügst es mit copy&paste in den aut. hijack-auswerter ein, welcher dir dann zeigt welche sachen du fixen (löschen) solltest.
lies aber vorher die anleitung dazu durch http://www.trojaner-board.de/showthread.php?t=6144

Und als nächsten Schritt erstellst du ein Benutzerkonto und surfst nur noch darüber.

hi,
was für ein "schlechtes" virusprogramm hast du?
das vp sollte ja vorher schon die dateien blockieren???

istbar ist/läuft als ein IE plugin, da kann auch kein Virusprogramm so schnell zupacken....

1. Abgesichert hochfahren
2. Antivirus laufen lassen (Option: Alle Dateien scannen, bitte prüfen!!!)
3. Ad-aware laufen lassen (cookies !!!)
4. RegEdit starten, nach "istbar" suchen, und ausnahmslos ohne Gnade alles rausschmeissen!!!!!
4a. Autostart Ordner prüfen!!
4b. Internetoptionen prüfen!!
5. Normal booten
6. nochmal Antivir inkl. update zum scannen schicken, sollte keine Funde mehr haben!!

jetzt isser wech !!

Zitat:

Original geschrieben von DCS
istbar ist/läuft als ein IE plugin, da kann auch kein Virusprogramm so schnell zupacken....

1. Abgesichert hochfahren
2. Antivirus laufen lassen (Option: Alle Dateien scannen, bitte prüfen!!!)
3. Ad-aware laufen lassen (cookies !!!)
4. RegEdit starten, nach "istbar" suchen, und ausnahmslos ohne Gnade alles rausschmeissen!!!!!
4a. Autostart Ordner prüfen!!
4b. Internetoptionen prüfen!!
5. Normal booten
6. nochmal Antivir inkl. update zum scannen schicken, sollte keine Funde mehr haben!!

jetzt isser wech !!

Genauso wirst das Ding los.

Ich hatte mir das Ding (nachdem ich hirnlos eine AV-Warnung ignoriert hatte) auch eingefangen.

Ich hab nur statt Ad-aware halt Spybot und den CW Shredder verwendet.

@DCS

das reicht, wenn ich das mach?
brauche also nicht die hijackthis prozedur machen?

ja, das sollte reichen, aber das ist auch schon "schwer" genug, für einen einfachen "Virus"
aber denk bitte auch einmal noch zusätzlich daran, per "suchen" nach einer Datei zu suchen, die "Istbar" im Namen hat, zum beispiel auch Ordner löschen (Ordner werden bekannterweise nicht von antiviren-proggis gelöscht), und das bitte am besten auch im Abgesicherten modus....

Mfg, DCS

nehme mal an ich muss bei "Suche nach Dateien und Ordner" den Hund einsetzen, oder?

ps: danke für die hilfe

@DCS

hab ich gemacht, antivir hat das zeug wieder gefunden und wieder nicht gelöscht.

regedit: keine treffer
sonstige suche: keine treffer

was kann ich tun?

muss ich mich wirklich mit diesem hijackthis auseinandersetzen?

Ja.

Eine andere Lösung wäre "format c: /y". Ein Datenbackup hast du ja hoffentlich.

wenn du das im abgesicherten Modus nicht entfernen konntest, wundert mich das schon....von wo hast du denn dieses "vieh" ??? will den auch mal haben, dann kann ich genauestens schauen, wo's her kommt und weggeht....

Du musst beim starten f8 drücken, dann abgesichert ohne (!!) Netzwerktreiber, dann sollte die Prozedur funktionieren....

edit:
XXXToolbar variant:
Open the registry editor (click Start > Run and enter 'regedit').
Find the key HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run. Delete the 'IST Service' entry, if it is there. (Some early releases of XXXToolbar did not include this.)
Delete the registry keys HKEY_CURRENT_USER\Software\ISTbar and HKEY_CLASSES_ROOT\Pugi.PugiObj (and .1)
Open a DOS command prompt window (Start->Programs->Accessories) and enter the following commands:
cd "%WinDir%\System"
regsvr32 /u "\Program Files\ISTbar\istbar.dll"
Restart the computer.
Delete the 'ISTbar' folder inside Program Files, and the 'istsvc.exe' file inside the Windows folder.
Restore your normal search settings (Internet Options->Programs->Reset Web Settings).

von: http://www.spyany.com/program/articl...rm_ISTbar.html

hab ich gemacht wie aufgetragen:)

dein edit prüf ich nochmal.

wie gesagt im abgesicherten modus gefunden aber nicht entfernt.

hab ich gemacht wie aufgetragen:)

dein edit prüf ich nochmal.

wie gesagt im abgesicherten modus gefunden aber nicht entfernt.

áber das zeug haben mehrere, wenn man mit google sucht gibts einige betroffene. nur is halt immer mit hijackthis beschrieben und da kenn ich mich nicht so aus. ich brauch da halt immer eine "step by step" anleitung für dummies:(

hier mein logfile, kann mir jemand jetzt schritt für schritt erklären was ich machen soll?

Logfile of HijackThis v1.98.2
Scan saved at 22:05:42, on 10.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe
D:\Programme\Browser mouse\1.3\mouse32a.exe
D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Programme\Real\RealPlayer\RealPlay.exe
D:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
D:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Palm\hotsync.exe
D:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe
D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOKUME~1\SILVER~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wcm.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O1 - Hosts: 198.65.164.168 00hq.com
O1 - Hosts: 198.65.164.168 8ad.com
O1 - Hosts: 198.65.164.168 searchv.com
O1 - Hosts: 198.65.164.168 www.searchv.com
O1 - Hosts: 198.65.164.168 008k.com
O1 - Hosts: 198.65.164.168 www.008k.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] D:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] D:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PE2CKFNT] D:\Programme\Ulead Systems\Ulead Photo Express 2\ChkFont.exe
O4 - HKLM\..\Run: [RealTray] D:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "D:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "D:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "D:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Palm\hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Express Calendar Checker.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

mach einmal hier eine autom. logfileauswertung: http://www.hijackthis.de/index.php

(der ie is veraltet, xp ohne, solltest updaten).

da http://www.trojaner-info.de/anleitun...gtutorial.html gibts noch eine erklärung dazu.
soweit ich sehe, is nix böses drin.

danke fredf, hab die auswertung machen lassen und hinweise bekommen, aber wie entferne ich die "bösen" jetzt?

glaube habs schon herausgefunden.

werde morgen mal nachtesten

danke erstmal

pech gehabt, krieg die meldung von antivir noch immer.

hab spybot laufen lassen und alles entfernt, ad-aware ebenfalls, hijackthis auswerten lassen und alles böse entfernt und trotzdem.

sollte ich das ganze im abgesicherten modus nochmal probieren?

hat noch jemand einen tip:heul:

Hallo W4tl mein alter Freund :)

Ich weiss das willst jetzt nicht hören, aber wenn ich sowas habe dann setzte ich grundsätzlich neu auf, wenn ich den Trojaner bzw. Virus nicht wegbekomme... ärgere mich nicht gerne lange :D ...

Hast auch schon adaware versucht?

mfg Gothic

Zitat:

hab spybot laufen lassen und alles entfernt, ad-aware ebenfalls, hijackthis auswerten lassen und alles böse entfernt und trotzdem.

:( :heul:

schau dir mal auf der seite Trojaner.de das an

vielleicht findest was, da habe ich auch schon öfter was nachgelesen...

danke für deine mühe mein freund!, aber 1. hab ich das schon selbst entdeckt und gemacht, 2. haben mich schon andere im beitrag darauf aufmerksam gemacht.

jetzt hab ich noch zwei andere proggies im petto und wenn es dann auch nichts wird schicke ich ihn in die ewigen jagdgründe, ins land "wo die schoschonen schön wohnen":mad:

PS: du wirst es nicht glauben, aber mich juckt es schon wieder mir einen neuen/teilweise neuen pc zuzulegen (nachdem ich letzte woche 3 rep. hab); vielleicht kann ich mich ja diesmal dazu hinreißen lassen.

für deine vorschläge bin ich schon mal dankbar. kennst ja meine kriterien.

gruss zum tag

Ups da habe ich wohl was überlesen :D...

Trotzdem schaue ich auf der Seite auch öfters, vor allem für andere ;)

Werde dir mal was schicken, was du kaufen könntest :) oder wir telefonieren mal wieder alter Kumpel ... event. mal wieder treffen wennst im Lande bist... du weisst ja wo meine Burg steht :D

mfg Gothic

klar, die mit der, noch vorhandenen:D , "für meine kraftkammer" satschüssel

freu mich schon auf deine vorschläge;)

Zitat:

Original geschrieben von W4tl
klar, die mit der, noch vorhandenen:D , "für meine kraftkammer" satschüssel

hab die Sat-Schüssel noch nicht installiert :D ... keine Chance ... habe dir ne PN geschickt ...

gelesen und pn an dich

mich wunderts nur, das du den nicht wegbekommst...

1) abgesichert starten (ohne Netzwerk!!!)
1a) Antivir, ad-aware
1b) Regedit <F3> "ist" eingegeben, und alles mit verdächtigem Inhalt löschen ("IstBar")
1c) <Start> - <Suchen> nach "Ist*"
1d) <start> - <systemsteuerung> - <Internetoptionen> - alles "istbar" bezogenes entfernen, "Dateien löschen" ausführen (Auch Offline-Dateien) - Verlauf besuchter Webseiten Löschen - Startseite zurücksetzen
1e) Autostart - ordner ???? Prüfen !!!!

Neustart....

@DCS

da mein sys (IE) nicht auf dem neuersten stand ist, hat sich irgend so ein *doom zeug eingenistet gehabt. mittlerweile bin ich wieder clean.

danke für die hilfe