Ich habe gerade ein schlafloses langes WE hinter mir.
Jedenfalls habe ich eigentlich nach menschlichem Ermessen alle Vorsichtsmaßnahmen gegen Schädlingsbefall getroffen, aber meine Gutmütigkeit hat mich nun doch wohl ausgetrixt. Wie schon öfters, wollte ich wieder eine Phishing-Mail an CastleCops weiterleiten, allein das copy&paste hat wohl schon zur Infektion gereicht.
Jedenfalls rödelt die HDD jetzt ständig vor sich hin. Es riecht förmlich nach Trojaner.

Allerdings finden folgende Programme nix verdächtiges:
Spybot S&D,
Kasperski Online Scan,
Symantec Online Scan,
Antivir 7 PE classic,
Ad-Aware SE personal

Allerdings findet Spyware Doctor 51 Infekte, davon 9 schwere.

selbst HiJack sagt nur eventuell+vielleicht:

Logfile of HijackThis v1.99.1
Scan saved at 21:54:15, on 17.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Atievxx.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\Dokumente und Einstellungen\gm\Eigene Dateien\Downloads\Proggies\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay&ssPageName=h%3Ah%3Amebay%3ADE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.med.uni-magdeburg.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://atlas-proxy.imed.uni-magdeburg.de:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {55F2FE00-C6E1-11D4-84BC-009027889212} - http://www.seagate.com/support/disc/asp/dw/English/bin/npdscwiz.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121789768889
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF146496-7143-4025-8073-B306C40DF061}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Meiner Meinung nach alles im grünen Bereich, GMX Clicktionary ist ein Englisch Wörterbuch.

Hier das Logfile vom Spyware Doctor:

Name der Infizierung Standort Risiko
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@adknowledge[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@as1.falkag[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@maz[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@oneforall-int[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@promarkt.122.2o7[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@46343922[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@xiti[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@70444867[1].txt Niedrig
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@com[2].txt Niedrig
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@infospace[1].txt Niedrig
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@ad.zanox[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@ccbill[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@ad.yieldmanager[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@15816569[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@pcworld.pricegrabber[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@burstnet[2].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@hit.gemius[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@stat.dealtime[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@ads.pointroll[1].txt Niedrig
Common Components for Claria C:\Dokumente und Einstellungen\gm\Cookies\gm@belnk[1].txt Erh?/td>
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@pricegrabber[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@indextools[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@forum[3].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@yadro[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@tribalfusion[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@cnn.122.2o7[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@vr-networld[1].txt Mittel
2nd-thought.com C:\Dokumente und Einstellungen\gm\Cookies\gm@as-eu.falkag[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@xmts[2].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@germanfriendfinder[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@atwola[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@m.webtrends[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@de[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@dealtime[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@microsofteup.112.2o7[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@2o7[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@adtech[2].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@acronis.122.2o7[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@redcoon[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@interland.122.2o7[1].txt Mittel
Common Components for Claria C:\Dokumente und Einstellungen\gm\Cookies\gm@dist.belnk[1].txt Erh?/td>
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@hasenet.122.2o7[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@casalemedia[1].txt Niedrig
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959} Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}## Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore## Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore##Type Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore##Count Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore##Time Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore##Blocked Hoch


Vor allem stören 8 Registry Einträge mit dem ISTbar Trojan downloader
sowie 2nd-thought.com

Ich denke mal, das ist Ernst, aber was meint Ihr?

Oder werden hier nur die Pferde scheu gemacht, damit man noch ein weiteres Proggy kauft?

Hallo,

aber ein Thread reicht oder?

Hier hin.

Gruß

Schrulli

Zitat:

Zitat von Schrulli

Hallo,

aber ein Thread reicht oder?

Hier hin.

Gruß

Schrulli

Danke, Du bist eine echte Hilfe!:aplaus:
Ich hatte nur einmal gepostet, keine Ahnung, wieso das zweimal erscheint.
Garantiert war das keine Absicht.
Aber ein Mod könnte ja die Doublette löschen...

Der aktuelle Stand:

Ich habe das Symantec removal tool für den ISTbar Trojan downloader laufen lassen, das hat 6 Stunden rumgerödelt u. dann den Scan abgeschlossen, ohne mir zu verraten, ob der gefunden wurde oder nicht.

Allerdings zeigt der Spyware Doc unverdrossen noch diese u. die andere Bedrohung an.

Womit ich wieder am Augangspunkt meiner obigen Frage wäre...

Lösche die IstBar einträge manuel aus der Registrierung.
Dazu öffnest du über Start->Ausführen->Regedit den Registrierungseditor und suchst dir die genannten Verzeichnisse raus und löschst sie.

Danach scannst du dein System mit Blacklight

In deinem HJT Logfile finde ich nichts auffälliges, was nicht heißt, dass nichts drin ist. Die Blacklight Logfile (die nach dem Scan im selben Ordner ist wie Blacklight) wird vielleicht weiter Aufschluss geben.

mfg,
Markus

Danke, das werde ich heute abend mal erledigen.
Jetzt bin ich gerade arbeiten.

Zitat:

Zitat von Markus1234

Lösche die IstBar einträge manuel aus der Registrierung.
Dazu öffnest du über Start->Ausführen->Regedit den Registrierungseditor und suchst dir die genannten Verzeichnisse raus und löschst sie.

Danach scannst du dein System mit Blacklight

In deinem HJT Logfile finde ich nichts auffälliges, was nicht heißt, dass nichts drin ist. Die Blacklight Logfile (die nach dem Scan im selben Ordner ist wie Blacklight) wird vielleicht weiter Aufschluss geben.

mfg,
Markus

Auch das Schwarzlicht meinte, alles clean.

Die vom Spydoc monierten Registry-Einträge konnte ich trotz intensiver Suche nicht finden.