|
Log-Analyse und Auswertung: Trojaner ISTToolbarWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.09.2004, 15:24 | #1 |
| Trojaner ISTToolbar Hallo erstmal, ich bin ganz neu hier, und bevor ich mein Problem schildere, will ich erstma sagen wie froh ich bin, euch gefunden zu haben. Ich hatte mir irgendwo diese ISTToolbar eingefangen. PANDA PLATINUM INTERNET SECURITY meldete sich jedesmal, wenn ich aus dem Internet wieder raus bin mit einer Spywarewarnung in "Lokale Einstellungen\Temporary Internet Files\content.ie5\05uv8hmv\006_mp3[1].cab[ISTactivex.dll]". Entfernen konnte PANDA das leider nicht, genausowenig wie SPYBOT S&D. AD-AWARE stellte irgenwas in der Regy fest, konnte diese Toolbar aber auch nicht löschen. Der Tip mit ESCAN war schonmal super, damit wurden 4 Filez der Toolbar deletet. Jetzt wüßt ich aber auch noch gern: -Komisch, weshalb wurde dieses Verzeichnis gar nicht auf meinem Rechner angezeigt. -Wie schädlich ist den diese Toolbar, ich hab bis jetzt nirgends was drüber gefunden. -Sind damit auch PW fürs Onlinebanking irgendwie weitergegeben worden, oder ist damit"nur" mein Surfverhalten weitergegeben worden ? - Ist es riskant hier ein Logfile öffentlich zu posten? KLingt viel. blöd, aber ich versteh nicht so ganz was da alles mitgeteilt wird (Installationspfade, auch Seriennummern ? oder Paßwörter?) Einfach: Ist es riskant das hier zu posten, ich würd das auch gern mal von jmd. hier anschauen lassen. Hoffe, ihr könnt mir helfen, Gott |
09.09.2004, 15:50 | #2 |
| Trojaner ISTToolbar Soweit ich es herausfinden konnte, handelt es sich hier um eine Toolbar, die neben dem Hijacken auch Downloadfunktionen für Trojaner "anbietet" und wie es aussieht, dazu auch active-x ausnutzt.
__________________http://www.pestpatrol.com/PestInfo/t..._istbar_eo.asp Hast du E-Scan wie beschrieben im abgesicherten Modus ausgeführt? Manche Verzeichnisse werden nicht automatisch angezeigt, du musst erst in Extras/Ansicht/Ordneroptionen festlegen, dass auch Systemordner und versteckte Dateien angezeigt werden. Mit der Toolbar selbst dürften keine entsprechenden Daten weitergegeben sein, sie fungiert aber wahrscheinlich als Downloader und lädt dann Sachen aus dem Netz nach, was genau, lässt sich aber nicht pauschal sagen, es ist aber durchaus möglich, dass Programme mit Backdoorfunktionen und Keylogger darunter sind. Was das Logfile betrifft, du siehst es ja selbst, wenn du es erstellst oder kannst dir die ganzen threads hier anschauen und überprüfen, was weitergegeben wird. Seriennummern oder Passworte auf keinen Fall, lediglich die Versionsnummern von Betriebssystem und Browser und das ist auch sehr wichtig, um zu erkennen, ob sie gepatched sind oder nicht. Es lässt sich nicht feststellen, ob die Programme legal oder illegal sind, es sei denn, man hat sie in einem Order C:\illegalesdownloadzeug\Norton Antivirus oder so installiert. Die Installationspfade sieht man tatsächlich, ist aber ebenso wichtig und per se ja kein Hinweis auf den legalen oder illegalen Erwerb. |
09.09.2004, 16:12 | #3 | |
| Trojaner ISTToolbar Hallo karel gott,
__________________den Inhalt der Temporary Internet Files\content.ie5\05uv8hmv\006_mp3[1].cab[ISTactivex.dll] kannst Du löschen, am besten den gesamten Inhalt der "Temporary Internet Files". In den "Temporary Internet Files" werden alle Daten bewahrt, die Dein System erhält, wenn Du Dich im Netz bewegst. Es empfiehlt sich diesen Datenmüll ab und an zu leeren, täglich oder wöchentlich. ISTbar ist ein IE toolbar, homepage und search hijacker. Hier findest Du Hintergrundinformation zum Browser-Hijacking. Zitat:
PW fürs Onlinebanking können von bestimmten Trojanern (Backdoor) weitergegeben werden. Laut Sophos sind Troj/Istbar-.. Downloader/Installer-Trojaner für die Istbar-Adware-Software. Wenn Du willst, dass wir Dir helfen, solltest Du Dir Hijack This runterladen und ein Logfile entprechend der bebilderten Anleitung posten: http://www.trojaner-board.de/51130-a...ijackthis.html. Da wir nur das eigentliche Logfile mit der System-Information Deines Computers erhalten, ist es - meines Wissens - nicht riskant. Das Logfile beginnt mit der Information "Logfile of HijackThis v1.98.2". SD |
09.09.2004, 16:14 | #4 | ||
| Trojaner ISTToolbar thx mountainking für den schnellen reply. Zitat:
escan lief im abgesicxherten modus. sieht im moment auch so aus, als ob ichs jetzt endlich los bin. Zitat:
ich hab jetzt so ein logfile: Logfile of HijackThis v1.98.2 Scan saved at 16:53:03, on 09.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\TGTSoft\StyleXP\StyleXPService.exe E:\Sygate Personal Firewall Platinum\smc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe E:\Autodesk\Autodesk Network License Manager\Lmgrd.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE E:\NORTON~3\GHOSTS~2.EXE E:\Borland\INTERB~1\Bin\IBGuard.EXE E:\Autodesk\Autodesk Network License Manager\adskflex.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE E:\Panda Platinum Internet Security\passrv.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe E:\Panda Platinum Internet Security\pavsrv51.exe C:\WINDOWS\System32\PGPsdkServ.exe E:\Panda Platinum Internet Security\psimsvc.exe E:\Panda Platinum Internet Security\AVENGINE.EXE C:\WINDOWS\System32\wuauclt.exe E:\Borland\INTERB~1\Bin\ibserver.exe E:\Panda Platinum Internet Security\apvxdwin.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe E:\iTouch\iTouch\iTouch.exe E:\RedLine\Taskbar.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\Norton Ghost 2003\GhostStartTrayApp.exe E:\Panda Platinum Internet Security\SRVLOAD.EXE E:\Mouseware\MouseWare\system\em_exec.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe E:\Symantec\LiveUpdate\AUpdate.exe E:\Winamp5\winampa.exe E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Distillr\acrotray.exe E:\redline\gameutil.exe E:\PGP for Windows XP\PGPtray.exe E:\Panda Platinum Internet Security\WebProxy.exe E:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - E:\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\google\googletoolbar1.dll O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [zBrowser Launcher] E:\iTouch\iTouch\iTouch.exe O4 - HKLM\..\Run: [RedLine Taskbar] E:\RedLine\Taskbar.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] E:\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] E:\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Corel Graphics Suite 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=091104 serial=DR12CNC-8322248-NFT lang=DE O4 - HKLM\..\Run: [MOD] E:\Microangelo\muamgr.exe O4 - HKLM\..\Run: [WinampAgent] "E:\Winamp5\winampa.exe" O4 - HKLM\..\Run: [SCANINICIO] "E:\Panda Platinum Internet Security\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "E:\Panda Platinum Internet Security\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [STYLEXP] E:\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O4 - Global Startup: gameutil.lnk = ? O4 - Global Startup: PGPtray.lnk = ? O4 - Global Startup: Quicken 2004 Zahlungserinnerung.lnk = E:\Quicken DELUXE 2004\billmind.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://e:\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - E:\GetRight5\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - E:\GetRight5\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://e:\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://e:\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - E:\SMARTW~1\swiehlp.exe O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093527139062 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1 sieht das sauber aus ?? |
09.09.2004, 16:40 | #5 |
| Trojaner ISTToolbar Kannst du das hier zuordnen (leider nicht komplett lesbar): O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - E:\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll Ansonsten sehe ich da eigentlich nur ein paar unnötige Sachen, aber nichts Gefährliches. |
09.09.2004, 16:45 | #6 | ||
| Trojaner ISTToolbarZitat:
log von escan: Thu Sep 09 14:57:02 2004 => ***** Scanning complete. ***** Thu Sep 09 14:57:02 2004 => Total Number of Files Scanned: 143096 Thu Sep 09 14:57:03 2004 => Total Number of Virus(es) Found: 30 Thu Sep 09 14:57:03 2004 => Total Number of Disinfected Files: 0 Thu Sep 09 14:57:03 2004 => Total Number of Files Renamed: 0 Thu Sep 09 14:57:03 2004 => Total Number of Deleted Files: 5 Thu Sep 09 14:57:03 2004 => Total Number of Errors: 3 Thu Sep 09 14:57:03 2004 => Time Elapsed: 01:19:54 Thu Sep 09 14:57:03 2004 => Virus Database Date: 2004/09/08 Thu Sep 09 14:57:03 2004 => Virus Database Count: 103467 lief im abgesicherten modus mit aktuellen signaturen. deletet wurde: Thu Sep 09 13:42:56 2004 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9M3G5IV\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted. Thu Sep 09 13:42:56 2004 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CD2ZCHMB\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted. Thu Sep 09 13:42:56 2004 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8PQ7CHQJ\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted. Thu Sep 09 13:42:55 2004 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\05UV8HMV\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted. Thu Sep 09 14:56:58 2004 => File H:\crack.zip infected by "TrojanDownloader.Win32.Small.na" Virus. Action Taken: File Deleted. umbenannt wurde nix, die restlichen 25 wurden als "tagged as not-a-virus" gekennzeichnet. hab das hijackthis-log mal durch die automatische auswertung gejagt: 2 "böse sachen": quicken billmind.exe und symantec AUpdate.exe soll ich die jetzt einfach löschen ?? tomy //edit Zitat:
Geändert von karel gott (09.09.2004 um 16:49 Uhr) Grund: update |
09.09.2004, 16:56 | #7 |
| Trojaner ISTToolbar Dachte schon, dass es was von Langenscheidt ist. Die beiden Programme brauchst du IMO nicht zu löschen, die automatische Auswertung wird zwar immer besser, hat aber trotzdem noch Schwächen. Wahrscheinlich sind sie unnötig, aber nicht böse, um dein System zu entschlacken, kannst du sie also löschen, HJT erstellt ja sowieso ein backup, wenn du es in einen eigenen Ordner entpackt hast, falls also irgendwas nicht mehr gehen sollte, kannst du es damit rückgängig machen. Die anderen als unnötig gekennzeichneten Prozesse kannst du ja mal per google auskundschaften und dann entscheiden, ob sie wirklich beim Start geladen werden müssen. Je weniger da steht, umso besser. Prinzipieller Tip: teste mal alternative Browser wie opera, firefox, mozilla. Sie sind meist nicht nur besser und schneller, sondern auch sicherer, zum Beispiel unterstützen sie kein active-x, das man am besten eh nur zum Windowsupdate (zusammen mit dem IE) verwenden sollte. |
09.09.2004, 17:02 | #8 |
| Trojaner ISTToolbar klasse ! ihr habt mir echt super geholfen. klasse, das es dieses forum gibt. k. gott |
Themen zu Trojaner ISTToolbar |
ad-aware, blöd, confused, content.ie5, ebanking, einfach, einstellungen, escan, files, helfen, interne, internet, internet security, logfile, lokale, meinem, melde, mp3, neu, nummern, onlinebanking, panda, platinum, posten, problem, rechner, schonmal, security, seriennummer, spybot, super, temporary, trojaner |