Tach auch!
Folgendes Problem:
Mein Antiviren-Programm sagt mir ständig ich hätte in C:\Dokumente und Einstellungen\JS\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HOL2ROX
MaConnect[1].cab einen Trojaner. MaConnect.dll ist der Trojaner Istbar.S. Das Programm weigert sich allerdings den Trojaner zu löschen, sagt mir stattdessen "Archiv enthält eine oder mehrere infizierte Dateien! Infizierte Dateien in Archiven werden nicht repariert oder gelöscht." Wie krieg ich denn das Ding jetzt wieder los? Mein HiJack-Log sieht wie folgt aus:

Logfile of HijackThis v1.97.7
Scan saved at 10:32:37, on 30.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Outlook Express\msimn.exe
Z:\SQLHANDEL\handel97.exe
c:\programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\JS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/25dc3f1f4a4c830...dxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Wäre super dankbar wenn mir jemand helfen könnte den Trojaner zu beseitigen, bin mit meinem Latein am Ende, außerdem wäre es auch interessant zu wissen was Istbar.S genau anrichtet. Für Antworten schon mal jetzt vielen Dank!

Hi,
grundsätzlich, um Trojaner zu entfernen sollten zunächst folgende Schritte durchgeführt werden:
1) Systemwiederherstellung abschalten (sonst haste den Trojaner eventuell wieder drauf)
2) Trojanerprozess finden und beenden (leider weiß ich nicht, welcher in der langen Liste der Trojanerprozess ist, aber jemand wird es schon wissen [img]smile.gif[/img] )
3) IE Cache leeren
4) infizierte Dateien löschen (meist sind die Dateien, die als infiziert gemeldet werden, der Trojaner/Virus selbst, so dass man nichts reparieren kann...denke ich zumindest)

Edit:Hier gibts Infos

[ 30. Januar 2004, 11:19: Beitrag editiert von: I_wanna_know ]

Danke für die Antwort, hilft mir bedingt weiter! Punkt 1) ist klar, Punkt 2) ist ein Ratespiel für mich. Wie krieg ich denn den betroffenen Prozess raus? Die hören sich alle so an als ob sie mir nix gutes wollen, aber nach Gefühl zu gehen ist hier wohl nicht angebracht. Kann mir jemand sagen wie ich rauskriege welcher Prozess das ist und wie´s dann weitergeht???

Danke schon jetzt...

Hallo
die Prozesse sehen sauber aus

Das einzige was mich noch stört ist das
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/25dc3f1f4a4c830...dxIE601_de.cab

Wenn du kein Programm nahmens NetZip benutzt Fixe mal den EIntrag

C:\Dokumente und Einstellungen\JS\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HOL2ROX\MaConnect[1].cab

Das ist ein Dialer-Archiv in den Temporary Internet Files.
Als "JS" anmelden, dann
Start -> Sytemsteuerung -> Internetoptionen -> Allgemein -> Temporäre Internetdateien -> Dateien löschen -> OK

Wie immer, auch hier der Hinweis, daß der IE ein unsicherer Browser ist, der, je nach Konfiguration und Patchlewvel, auch gerne mal etwas ungefragt herunterlädt und ausführt.

Sichere Browser: Mozilla, Firebird, K-Meleon, Opera

Vielen vielen Dank für Eure Hilfe. Hab mal beides durchgeführt, den "netzip"-Eintrag gefixed und die Temporären Dateien gelöscht, jetzt scheint mein Problem behoben, zumindest schreit mein Virenscanner nicht mehr. Mozilla ist auch schon installiert. Also nochmal Danke schön für Eure Hilfe!!!