Trojan.Downloader.ISTBarAE.1

Dieses Thema Trojan.Downloader.ISTBarAE.1 im Forum "Windows XP Forum" wurde erstellt von wuschtkopp, 7. Apr. 2005.

Thema: Trojan.Downloader.ISTBarAE.1 Tag. Hab mir nen Trojaner eingefangen. TR/Dldr.IstBar.AE.1 Antivir kann Dateien zwar finden und löschen, aber ich...

  1. Tag.

    Hab mir nen Trojaner eingefangen.

    TR/Dldr.IstBar.AE.1

    Antivir kann Dateien zwar finden und löschen, aber ich erhalte immer wieder neue Meldungen...TR/Dldr.IstBar......

    Hab mal HiJacker laufen lassen, Log folgt:


    Logfile of HijackThis v1.99.1
    Scan saved at 18:20:31, on 07.04.2005
    Platform: Windows 98 Gold (Win9x 4.10.1998)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
    C:\WINDOWS\SYSTEM\USBMONIT.EXE
    C:\PROGRAMME\TELEDAT\IWATCH.EXE
    C:\PROGRAMME\MUSTEK 1200 UB PLUS\DRIVER\WATCH.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\TEMP\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.x-start.de
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.x-start.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.x-start.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R3 - Default URLSearchHook is missing
    O2 - BHO: SMSButton Class - {E0000C3F-8DE9-4FCB-9294-22FC06851B37} - C:\WINDOWS\SYSTEM\SMARTSMS.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
    O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\PROGRAMME\ISTBAR\ISTBARCM.DLL (file missing)
    O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [Gene USB Monitor] c:\windows\SYSTEM\USBMonit.exe
    O4 - HKLM\..\Run: [switp] C:\WINDOWS\SWITPA.EXE
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
    O4 - Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: SMS - {F08E1604-39FA-48b0-AE59-DF5BCD1646FA} - C:\WINDOWS\SYSTEM\SMARTSMS.DLL
    O9 - Extra->Tools' menuitem: SMS versenden... - {F08E1604-39FA-48b0-AE59-DF5BCD1646FA} - C:\WINDOWS\SYSTEM\SMARTSMS.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
    O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
    O12 - Plugin for .: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
    O12 - Plugin for .exe: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
    O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted Zone: *.flingstone.com (HKLM)
    O15 - Trusted Zone: *.mt-download.com (HKLM)
    O15 - Trusted Zone: *.blazefind.com (HKLM)
    O15 - Trusted Zone: *.clickspring.net (HKLM)
    O15 - Trusted Zone: *.topconverting.com (HKLM)
    O15 - Trusted Zone: *.crazywinnings.com (HKLM)
    O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
    O15 - Trusted IP range: 69.50.161.82 (HKLM)
    O15 - ProtocolDefaults:->http' protocol is in Trusted Zone, should be Internet Zone
    O15 - ProtocolDefaults:->https' protocol is in Trusted Zone, should be Internet Zone
    O15 - ProtocolDefaults:->http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
    O15 - ProtocolDefaults:->https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c2.cab
    O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253


    Was fixen, was nicht?????

    keine Ahnung was ich tun soll, bitte helft mir!!
     
  2. Bitte im abgesicherten Modus die folgenden Einträge fixen, dazu muss der Internet Explorer geschlossen sein und anschließend die Dateien an ihrem Speicherort löschen.

    http://www.wintotal.de/Spyware/index.php
    http://research.sunbelt-software.com/threat_display.cfm?name=OfferAgent

    Lade Dir die Datei DelDomains.inf von der folgenden Seite herunter.
    http://mvps.org/winhelp2002/restricted.htm

    Damit werden die Einträge in der Trusted Zone gelöscht.


    Ausserdem ist dein IE nicht aktuell, Du solltest Dir die Updates über die Update-Seite von Microsoft installieren und zusätzlich über einen Browserwechsel nachdenken ;)

    Edit: Hier noch die Auswertung von deinem Logfile
    http://hijackthis.de/logfiles/50579e64ab8da2596669db071ddb5728.html