Hi und Hallo,

habe leider einen ungebetenen Gast auf meinem Laptop entdeckt. Doch dieser lässt sich leider nicht beseitigen. Mit ad-aware findet man immer wieder ,istbar.’ Trotz entfernen taucht er immer wieder auf. Ad-aware gibt dazu folgende Informationen:

Category:Malware
Object Type:Regkey
Size:48 Bytes
Location:S-1-5-21-790525478-1580436667-1957994488-1004\software\ist\
Last Activity:16.12.2004
Risk Level:Low
TAC index:6
Comment:
Description:Browser Hijacker. Opens pop up ads. Auto updates. Installs other items without notice.

Mein Hjt logfile lautet:

Logfile of HijackThis v1.97.7
Scan saved at 18:36:59, on 16.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\objcmhi.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Viren&Co\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Viren&Co\hjt.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [addep32.exe] C:\WINDOWS\system32\addep32.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [ImbiK] C:\WINDOWS\objcmhi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com


Unbekannt ist mir zum Beispiel 015. Taucht immer wieder auf.

Vielen Dank für Eure Hilfe.

Lese bitte mal, die 15 bekommst du damit weg.

http://www.trojaner-board.de/showthr...9&page=4&pp=10

LG, Charlie

Und das löschen:

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe

Und dann sehen wir weiter

Vielen Dank für Deine Hilfe.

Aber leider ist das Problem damit noch nicht behoben.

Folgender Eintrag bei hjt lässt sich zwar löschen, ist aber sofort wieder da.
C:\Programme\ISTsvc\istsvc.exe

Ad-Aware macht genau diese als Hauptproblem aus.

Für weitere Hilfen bin ich sehr dankbar!!!!!

@ Pater,

erstelle bitte ein aktuelles Hijack This Logfile und poste es mittels copy&paste: www.hijackthis.de.

Wenn Du unter Windows XP Einträge/Dateien löscht, dann bitte im abgesicherten Modus, bei deaktivierter Systemwiederherstellung.

Lade ausserdem den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Ok, hier die aktuellen Files:

Logfile of HijackThis v1.97.7
Scan saved at 11:56:22, on 18.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\objcmhi.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\DOKUME~1\HFB83~1.LAN\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\HFB83~1.LAN\LOKALE~1\Temp\kavss.exe
C:\Programme\Viren&Co\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Viren&Co\hjt.exe

Mit escan:

Sat Dec 18 11:50:57 2004 => File C:\Programme\ISTsvc\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gm" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\msxmidi.exe infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\package8032_SIAC.exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\sysni32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\agmtl.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\d3xy32.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\worhr.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\xbjaw.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\HFB83~1.LAN\LOKALE~1\Temp\1E.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken.

Hoffe, Du kannst mir helfen!

Viele Grüße
Pater

Lösche die infizierten Dateien manuell im abg. Modus.

Danach poste ein Log der aktuellen Version 1.99 von HijackThis.

Ok, habe erst eScan laufen lassen und dann die verseuchten Dateien gelöscht. Doch nicht bei allen war dieses möglich. Die Folgenden Dateien sind nicht zu finden, auch nicht bei den ‚versteckten Dateien’:

File C:\WINDOWS\sysni32.exe infected by "Trojan-Downloader.Win32.Agent.bq”
File C:\WINDOWS\System32\agmtl.dll infected by “TrojanDownloader.Win32.WinShow.ak"
File C:\WINDOWS\System32\worhr.dll infected by "TrojanDownloader.Win32.WinShow.ak"
File C:\WINDOWS\System32\xbjaw.dll infected by "TrojanDownloader.Win32.WinShow.ak"

Außerdem kann ich mit folgendes nicht zuordnen:

File C:\System Volume Information\_restore{62A83EB7-77F0-45E5-AE98-9ECB206BBE05}\RP74\A0019980.dll infected by "Trojan-Downloader.Win32.Agent.an"
File C:\System Volume Information\_restore{62A83EB7-77F0-45E5-AE98-9ECB206BBE05}\RP74\A0019991.exe infected by "Trojan-Downloader.Win32.IstBar.gm"
Davon gibt es noch einige weitere (ca. 20)

Folgende Datei ist, wenn sie auftaucht, nicht zu löschen, da sie „verwendet“ wird.

File C:\Programme\ISTsvc\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gm"

Mein akteuller hjt:

Logfile of HijackThis v1.99.0
Scan saved at 19:38:33, on 19.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\objcmhi.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Viren&Co\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ImbiK] C:\WINDOWS\objcmhi.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\objcmhi.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Photo Express 4.0 SE\CalCheck.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\d3oc32.exe (file missing)

Führe das im abgesicherten Modus durch:
http://www.trojaner-board.de/showpos...93&postcount=8

Zusätzlich:

Fixen:
O4 - HKLM\..\Run: [ImbiK] C:\WINDOWS\objcmhi.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\objcmhi.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\d3oc32.exe (file missing)

Diese Dateien löschen:
C:\WINDOWS\objcmhi.exe
Ordner C:\Programme\ISTsvc

Zitat:

C:\WINDOWS\sysni32.exe infected by "Trojan-Downloader.Win32.Agent.bq”
File C:\WINDOWS\System32\agmtl.dll infected by “TrojanDownloader.Win32.WinShow.ak"
File C:\WINDOWS\System32\worhr.dll infected by "TrojanDownloader.Win32.WinShow.ak"
File C:\WINDOWS\System32\xbjaw.dll

Bei diesen Dateien folgendes durchführen:
HJT öffnen -> Config -> Misc Tools -> Delete a File on reboot -> navigiere dann zur besagten Datei -> Öffnen -> nächste Frage mit JA beantworten.

Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren