Ok, ich hab nun schon ne ganze Menge versucht und jetzt erst ein Virenprogram durchlaufen lassen und so weiter und so fort.....

Tja, aber dieses Ding das sich istbar oder istsvc nennt kommt immer und immer wieder. Also, schaut euch das doch bitte einfach mal an.



Logfile of HijackThis v1.99.1
Scan saved at 17:25:31, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\ati2evxx.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\Atiptaxx.exe
C:\WINDOWS\StartupMonitor.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Wireless\IEEE802.11b WLAN USB Adapter v2.5\WLUSBCFG.exe
C:\Programme\NETGEAR\WG111T Configuration Utility\wlan111t.exe
C:\Programme\Maven\mavenUpdater.exe
D:\Programme\AVPersonal\AVWIN.EXE
D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5226476C-DCDB-F424-A5C5-856DD44FB79C} - C:\WINDOWS\system32\xrmoca.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: IEEE802.11b WLAN USB Adapter Utility.lnk = C:\Programme\Wireless\IEEE802.11b WLAN USB Adapter v2.5\WLUSBCFG.exe
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download all by Free Download Manager - file://d:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://d:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://d:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://d:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - d:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109119121190
O16 - DPF: {6EE39BFC-2FB6-4B69-9D05-CFC10E4F5B3E} (MavenBootInstallerAXControl Class) - http://client.maven.net/client/mavenBootInstaller.cab
O18 - Protocol: mavencache - {DB47FDC2-8C38-4413-9C78-D1A68BF24EED} - C:\Programme\Maven\protocolHandlers.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

PS: beim letzten Check hat AntiVir 12 Trojaner/Viren und andere schöne Dinge gefunden!!!
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Hallo,
schau mal hier:
http://search.symantec.com/custom/us/query.html
gib ISTBAR in die Suchleiste ein, da wird erklärt was ISTBAR ist was es macht und wie Du es weg bekommst.
Kannst auch mal ADAWARE downloaden ist Freeware.Danach Adaware updaten und im abgesicherten Windows Modus durchlaufen lassen.
Prog hier:
www.lavasoftusa.com/software/adaware/



Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER)

@Weltensegler
lasse diese datei überprüfen
C:\WINDOWS\system32\xrmoca.dll
und zwar hier http://virusscan.jotti.org/de/

poste das ergebnis
wechsle danach in den abgesicherten modus und fixe mit HJT
O2 - BHO: (no name) - {5226476C-DCDB-F424-A5C5-856DD44FB79C} - C:\WINDOWS\system32\xrmoca.dll

lösche danach manuell
C:\WINDOWS\system32\xrmoca.dll

neu booten und ein neues HJT logfile posten

PS: beim letzten Check hat AntiVir 12 Trojaner/Viren und andere schöne Dinge gefunden!!
poste doch mal die ergebnisse und pfade
chaosman

Hier ist das Ergebnis von dem Link den du mir gegeben hast chaosman:




Datei: xrmoca.dll
Status:
INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.Dropper.Purityscan.I gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.PurityScan.ak gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden



PS: Wie wechsel ich bei XP in den abgesicherten Modus?

@Weltensegler

abgesicherten modus
diese datei in abgesichrten modus löschen
C:\WINDOWS\system32\xrmoca.dll

chaosman

Ok, die Datei C:\WINDOWS\system32\xrmoca.dll wurde erfolgreich gelöscht.



Hier ist noch die Liste der Viren, die AntiVir gefunden hat. Mein System ist XP +SP2


AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005
Hauptptogramm 6.30.00.17 vom 07.03.2005
VDF-Datei 6.30.0.211 (0) vom 30.05.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.



C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temp
bb.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Adload.A
WURDE GELÖSCHT!
optimize.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds
WURDE GELÖSCHT!


C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DQ3ST6J
cmctl[1].dll
[FUND!] Ist das Trojanische Pferd TR/IstBar.AQ.2
WURDE GELÖSCHT!


C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PG9U3WF
istrecover[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.IJ.1
WURDE GELÖSCHT!
nem220[1].dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.BH.1
WURDE GELÖSCHT!
sfbho13[1].dll
[FUND!] Ist das Trojanische Pferd TR/Spy.Likesurf.1
WURDE GELÖSCHT!


C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2DMJK12B
istbarcm[1].dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.IK
WURDE GELÖSCHT!
optimize[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Dyfuca.ds
WURDE GELÖSCHT!


C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MVU7CLE9
bb[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Adload.A
WURDE GELÖSCHT!
ncase_new[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Istbar.BY.3
WURDE GELÖSCHT!
power_remove[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.gi.1
WURDE GELÖSCHT!


C:\Programme\SideFind
bbb_tobedeleted
[FUND!] Ist das Trojanische Pferd TR/Spy.Likesurf.1
WURDE GELÖSCHT!


Ende des Suchlaufs: Montag, 30. Mai 2005 16:38
Benötigte Zeit: 98:55 min


5554 Verzeichnisse wurden durchsucht
105128 Dateien wurden geprüft
50 Warnungen wurden ausgegeben
12 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
12 Viren bzw. unerwünschte Programme wurden gefunden



Könnt ihr mir irgendwas dazu sagen?

Gruß Welti.

@Weltensegler
ich würde, um sicher zu gehen, noch mal mit escan
das system scannen.
chaosman

Beißt sich escan nicht mit AntiVir? Ich habe gehört, daß mehrere Antivirenprogramme auf einem Rechner nicht zusammen installiert weden sollten.

Zuerst eine kleine Definition:

Zitat:

On-access Scanner Ein On-access-Scanner ist ein Scanprogramm, welches im Hintergrund agiert und (gemäss dessen Konfiguration) laufend diejenigen Dateien überprüft, auf die der Computer zugreift.

On-demand Scanner Ein On-demand-Scanner ist ein Scanprogramm, welches manuell vom Benutzer gestartet wird, um bestimmte Dateien, Verzeichnisse, Speichermedien oder Computer auf Virenbefall zu untersuchen.

Quelle:http://www.id.unizh.ch/software/antivirus/glossar/

Da Escan in der kostenlosen Version "nur" ein On-Demand-Scanner ist, beißen sie sich nicht.
Man sollte nur nie 2 oder mehr "On-Access-Scanner" nebeneinander laufen lassen. Hier bei allen bis auf einem Scanner den Hintergrundwächter deaktivieren.

Hier das Logfile von escan:


Wed Jun 01 12:04:15 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken.
Wed Jun 01 12:04:15 2005 => Object "XXXToolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 01 12:04:23 2005 => System found infected with eZula Spyware/Adware (exclean.exe)! Action taken: No Action Taken.
Wed Jun 01 12:04:23 2005 => Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 01 12:39:10 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.
Wed Jun 01 12:39:10 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 01 12:39:10 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken.
Wed Jun 01 12:39:10 2005 => Object "XXXToolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 01 12:39:44 2005 => System found infected with eZula Spyware/Adware (exclean.exe)! Action taken: No Action Taken.
Wed Jun 01 12:39:44 2005 => Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 01 12:39:54 2005 => System found infected with ISearchTech Spyware/Adware (istactivex.dll)! Action taken: No Action Taken.
Wed Jun 01 12:39:54 2005 => Object "ISearchTech Spyware/Adware" found in File System! Action Taken: No Action Taken.








So, was jetzt? Bevor ich mein system zerschieße, was muß ich genau tun? Die Dateien manuell im abgesicherten Modus löschen? Und wo genau finde ich eiggentlcih die Registry Einträge und muß ich da was bestimmtes beachten beim löschen? Ein Freund hat mir den RegSeeker und auch ein Programm namens RegAnalyzer auf meinem Rechner installiert, aber er kam noch nicht dazu mir die funktionen genau zu erklären und ich seh ihn nun win welchen nicht. Kennt ihr die? Was kann ich mit denen genau machen? Kennt ihr euch da aus?

Grüßle Welti