![]() |
|
Plagegeister aller Art und deren Bekämpfung: Trojan-Downloader.Win32.IstBar.ja im Quarantaene Ordner von Norton AntivirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
![]() ![]() | ![]() Trojan-Downloader.Win32.IstBar.ja im Quarantaene Ordner von Norton Antivirus Hallo an die Experten, Gleich vorab: trotz der Corporate Edition von Symantec ist dies kein Firmenrechner, unsere Firma stellt uns das kostenlos auch fuer unsere Privatrechner zur Verfuegung. ich habe heute mal den Kaspersky Online Scanner ueber meinen Rechner laufen lassen, die Meldungen haben mich doch sehr irritiert. Folgende Meldungen waren im Log: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN/seekitall.exe/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN/seekitall.exe/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.nn übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN/seekitall.exe/data0005 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN/seekitall.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN ZIP: infiziert - 4 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN CryptZ: infiziert - 4 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN/seekitall.exe/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN/seekitall.exe/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.nn übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN/seekitall.exe/data0005 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN/seekitall.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN ZIP: infiziert - 4 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN CryptZ: infiziert - 4 übersprungen Norton hat mir nie eine Meldung gebracht, dass er etwas in Quarantaene schiebt, deswegen hat mich jetzt der Scan von Kaspersky doch geschockt. Anbei noch mein Hijack Log: Logfile of HijackThis v1.99.1 Scan saved at 19:57:15, on 16.02.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Symantec AntiVirus\DefWatch.exe D:\Programme\Ahead\InCD\InCDsrv.exe C:\WINNT\system32\regsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINNT\system32\stisvc.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\Ati2evxx.exe D:\Download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=40747 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [MediaFace Integration] D:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hp psc 2000 Series.lnk = D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: hpoddt01.exe.lnk = D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126539230750 O17 - HKLM\System\CCS\Services\Tcpip\..\{98D1476B-1ABF-4CD3-A2CC-FA37B30F56BE}: NameServer = 192.168.1.1 O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Symantec Corporation - (no file) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe Die Internet Explorer Einstellung in R0 ist gewollt, die Hauptseite ist eine leere Seite. Dieser Eintrag bringt bei Google die unterschiedlichsten Ergebnisse. C:\WINNT\system32\regsvc.exe Kann es sein, dass dieser Dienst durch die Installation der Corporate Norton Antiviren Software aktiviert wurde? Ich kann mich nicht erinnern, ihn aktiviert zu haben. Oder wird er durch die Synchronisations Software fuer ein Navigationsgeraet aktiviert? Die habe ich erst kuerzlich installiert. Ich habe ein eingeschraenktes Benutzerkonto, den Admin benutze ich nur fuer die Windows Updates, und die mache ich regelmaessig nach Erscheinen. Zum Surfen kommt Firefox mit allen moeglichen Einschraenkungen zum Einsatz, und alle unbekannten Mails werden gleich auf dem Server geloescht, Dateianhaenge immer erst gescannt, Dateiendungen lasse ich mir komplett anzeigen. Ich wuerde jetzt gern von den Profis hier wissen, ob ich mich mit dem Neuaufsetzen befassen muss, oder ob der Quarantaene Eintrag ok ist. Vielen Dank im Voraus von einer sehr beunruhigten Katze |
Themen zu Trojan-Downloader.Win32.IstBar.ja im Quarantaene Ordner von Norton Antivirus |
adobe, antivirus, bho, drivers, einstellungen, explorer, firefox, google, hijack, hijackthis, installation, internet, internet explorer, kaspersky, log, monitor, programme, quara, scan, settings manager, software, surfen, symantec, system, updates, windows, windows updates, yahoo |