Hallo zusamen,

bin echt platt, nu bin ich vorher auf ne normale Inet Seite gesurft u prompt zeigt mir AntiVir ein Virus an: TR/DLdr.ISTBar.A , der wurde "angeblich" auch von Antivir gelöscht, und nun wird bei nem Systemcheck auch nix mehr gefunden, aber das wars doch kaum, oder!? Folgendes steht in der Reportdatei:
09.12.2004 18:59:48: Die Datei "C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\U08IUPD8\PROMPT[2].PHP" ist infiziert mit dem Virus "TR/Dldr.IstBar.A"
09.12.2004 19:00:06: Die Datei wurde gel”scht.
09.12.2004 19:00:06: Die Datei "C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\U08IUPD8\PROMPT[2].PHP" ist infiziert mit dem Virus "TR/Dldr.IstBar.A"
09.12.2004 19:00:10: Die Datei konnte nicht gel”scht werden.

Habe auch Spyboot installiert.

Was richtet der Virus/Wurm an? Ist er noch auf dem System?
Hier die ....

Logfile of HijackThis v1.98.2
Scan saved at 19:37:05, on 09.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\T-COM\SINUS 154 DATA II\PRISMSVR.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\T-COM\SINUS 154 DATA II\TS154USB.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

Könnt ihr was erkennen?
Bitdefender konnt ich leider nicht mehr installieren, wurde nach der Installation einfach nicht geladen!

Hoff jemand weiss was...

Erst mal lädst du Dir clearprog 1.4.0 final runter, machst alle Häkchen bei IE und Windows und clickst auf löschen, wenn fertig auf beenden. damit sind alle temp und temporary internet files weg.
Aber du hast noch ein größeres Problem, für das ich noch brauche, um dich nicht falsch zu beraten.

Damit ich sicher sein kann, bitte folgende Datei bei Jotti online scannen:
C:\WINDOWS\RUNDLL32.EXE
Bitte berichte über das Ergebnis.

hallo,

und erstmal danke, hab die Datei gescannt
sorry wenns nu etwas lang wird

File: RUNDLL32.EXE
Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

AntiVir
No viruses found (0.27 seconds taken)
Avast
No viruses found (3.11 seconds taken)
BitDefender
No viruses found (1.20 seconds taken)
ClamAV
No viruses found (0.32 seconds taken)
Dr.Web
No viruses found (0.46 seconds taken)
F-Prot Antivirus
No viruses found (0.05 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.57 seconds taken)
mks_vir
No viruses found (0.19 seconds taken)
NOD32
No viruses found (0.34 seconds taken)
Norman Virus Control
No viruses found (0.35 seconds taken)

Statistics
Last piece of malware found was Linux/Blitz in dica.tgz, detected by:

Scanner Malware name Time taken
AntiVir BDS/RootkitLnx.40.B 0.31 seconds
Avast ELF:Malware 3.01 seconds
BitDefender Trojan.Linux.RootKit.40 1.01 seconds
ClamAV Troj.Linux.Rootkit-A 0.48 seconds
Dr.Web Linux.Trojan.Rootkit.40 0.89 seconds
F-Prot Antivirus Unix/Rootkit 0.37 seconds
Kaspersky Anti-Virus Trojan.Linux.Rootkit.40 1.18 seconds
mks_vir Trojan.Linux.Rootkit.40 0.77 seconds
NOD32 Linux/Rootkit.C 0.48 seconds
Norman Virus Control Linux/Blitz 0.77 seconds


Service statistics:

18097 files (12868 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge.
3748 of those 12868 files contained a virus or any other form of malware.
This page has been visited 41296 times in this time period.
This service managed to spot 197 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 1741 suspicious files without any help from scanner results.
However, 158 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 98.77% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.
Most popular malware:

Rank Malware name Uploaded Last known filename
1 behaveslike:trojan.downloader 228 times ied_s7m.cab
2 backdoor.sdbot.gen 211 times Dsmsn.exe
3 backdoor.agobot.3.gen 167 times woopie.exe
4 tr/drop.delf.fd.1 152 times keygen_winamp.exe
5 backdoor.rbot.gen 107 times rb8.exe
6 bds/beastdoor.205.d 87 times cat3.dll
7 tr/spam.avafx 85 times vbsys.dll_old
8 win32:trojan-gen. {other} 62 times SQLCL.exe
9 tr/dldr.inservice.i 57 times Kaspersky_Antivirus_AVP_Personal_Pro_v4.5.zip
10 backdoor.win32.agobot.gen 52 times agobot9.exe
11 win32.p2p.spybot.gen 49 times NvEdit.exe
12 win32:spybot-gen 44 times test44.exe
13 win32:trojan-gen. 41 times winrootkit.rar
14 behaveslike:win32.av-killer 40 times test1.dll
15 behaveslike:win32.explorerhijack 39 times sada.exe


Kannst du mir nun mehr sagen!?

Wäre echt super

Du hast ja ME, damit ist das was ich überprüfen wolltem normal. die Datei ist sauber.
Kennst Du die:
O4 - Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe

Wenn ja, dann ist alles o.k. (sofern du clearprog benutzt hast; das ist übrigens nach jeder Internetsitzung zu empfehlen!)

@clooney83
falls du ein Sinus 154 data II hast, dann nichts machen.
habe auch so ein gerät

chaosman

viiiielen dank, aber was ist mit deinem vermuteten schweren Problem!?

Das clear Programm hab ich mit Windows/InetExplorer ausgeführt, also alle Häckchen gesetzt.

Benutze ja noch Firefox, ist es da auch notwendig nen check durchzuführen?

Ist nun echt alles weg!? Was war mit dem Protokoll von Anti Vir, da konnte ja nur 1 Datei gelöscht werden...

ja, benutze ein Sinus 154 data II ... (Mein WLan Adapter) denke mal die Datei ist ok!?

@clooney83
viiiielen dank, aber was ist mit deinem vermuteten schweren Problem!?
manchmal schleicht sich ein trojaner unter falsche flagge ein, deswegen lassen wir immer wieder dateien überprüfen wenn wir etwas vermuten.
wenn dann nichts gefunden wird, ist es gut.

Benutze ja noch Firefox, ist es da auch notwendig nen check durchzuführen?
welchen check meinst du?

IE nur zum windows update verwenden, mit firefox surfen.

ja, benutze ein Sinus 154 data II
ich auch

chaosman

also eigentlich verwende ich auch nur firefox, bin vorher nur kurz mit IE auf folgende Seite www.desktopgirls.com oder wars de, dann kam was mit Active X Elementen u schon kam der Anti vir Hinweis, weiss nimma. Bin sonst nie auf sollen Seiten, wobei des ja keine schlimme ist

meinte den check mit clearProg, also auch firefox überprüfen lassen... Ists notwendig?
Ist ne Antivir als Vir Prog eigentlich heutzutage noch ausreichend?

Grüße

AntiVir reicht aus, wenn Du brain 1.0 einschaltest!
Du kannst clearprog natürlich auch für firefox nutzen (Profile netscape/mozilla) mache ich auch; ebenso mit opera.
Daß Du doch kein Problem hast, habe ich in meinem Post von 21.23 Uhr beschrieben.
Also, bis denn!

sorry aber was ist brain 1.0

nun hab ich Anti vir aktualisiert u nach dem Scan kam folgende "fehlermeldung"
Ts154usb hat in TS 154USB.exe einen Fehler verursacht. Wenn das Problem häufiger besteht, bitte neu starten.
Hab so eine Meldung noch nie bekommen!?

Danke

Die USB-Meldung sollte IMO nicht tragisch sein.
brain 1.0 = (Übersetzung) "Hirn einschalten!"
Grüße cacatoa