Hallo,
hatte mich kürzlich schon einmal gemeldet, weil ich folgende Viecher bei mir im System hatte:
- JS/Dldr.IstBar
- JS.Trojan.Downloader.Istbar.en
- JS.Trojan.Downloader.Istbar.fa
- TR/Winad.A
- SPR.TMKSoft.Adw.1
- TR/Click.Libie.C
- TR/Small.EP.2

Gefunden hatte ich sie u.a. mit Antivir/OnlineSymantec. Dort auf der Webseiten und bei Goggle konnte ich nichts über die Teile herausfinden. Nachdem ich alle typischen Proggies (Ewido, Antivir, Spybot, Ad-Aware) z.T. im abges. Modus ausgeführt hatte (bis auf Bitdefender und Ewido, die funktionierten in diesem Modus nicht), kommt im normalen Modus folgende HijackThis.txt heraus:
Logfile of HijackThis v1.99.1
Scan saved at 23:24:38, on 10.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Backup\TrueImage\TrueImageMonitor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\dvd43\dvd43_tray.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
I:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Idoswin Pro\IdoswinPro.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Backup\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: ZoneAlarm Pro.lnk = I:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - I:\Programme\OnlineCounter 2000\OCHangUp.exe (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Idoswin Pro ist dabei ein Explorerklon. Habe jetzt nichts finden können.
Das muß aber nicht heissen, dass mein System absolut sauber ist oder?
Mit dem Proggi Msconfig habe ich auch Prozesse gefunden, die scheinbar vorher aktiviert waren. Diese waren:
c:\printerspooler.pif
c:\securityconnect.exe
c:\wintask.exe
Die Dateien sind nicht auffindbar. Es spricht alles dafür, dass es Reste vom TR/Click.Libie.C sind. Weitere Hinweise zu diesem Trojaner habe ich aber nicht finden können. Wie gefährlich ist das Viech?
Ist mein System jetzt clean? Muß/Sollte ich mein System neu aufsetzen?

Über sachdienliche Hinweise wäre ich sehr dankbar!

Gruß

hallo,

also ich kann nun direkt nix auffälliges in deinem log erkennen.
aber ich würde sagen führe doch mal bitte einen Escan durch und teile das ergebniss der find.bat hier mit.
aber bitte les dir die anleitung vorher in ruhe durch und halte dich punkt für punkt daran.

Hi,
danke für die Antwort. Das werde ich mal machen.

Wie siehts damit aus?
"Ist mein System jetzt clean? Muß/Sollte ich mein System neu aufsetzen?"

Meinungen dazu?

Gruß