Hi,

ich habe schon gesehen ich bin nicht der erste mit diesem Problem. Mein Antivir meldet mir:

C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTSV8F8R
0006_adult[1].cab
ArchiveType: CAB (Microsoft)
--> istactivex.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.PT

Da ich absolut nicht weiß wie ich das beheben kann, hoffe ich das mir jemand weiterhelfen kann. Ich habe mal mit HijackThis einen logfile erstellt.

Logfile of HijackThis v1.98.2
Scan saved at 09:20:12, on 10.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\DOKUMENTE UND EINSTELLUNGEN\MARC-INGO MROZ\EIGENE DATEIEN\EIGENE PROGRAMME\Quicktime\qttask.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Eigene Dateien\Eigene Programme\AntiVir\AVWUPSRV.EXE
C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Eigene Dateien\Eigene Programme\AntiVir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Eigene Dateien\Eigene Programme\AntiVir\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\MARC-I~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.com/b1redirect
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\DOKUMENTE UND EINSTELLUNGEN\MARC-INGO MROZ\EIGENE DATEIEN\EIGENE PROGRAMME\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Dokumente und Einstellungen\Marc-Ingo Mroz\Eigene Dateien\Eigene Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B0ACC3F-04F3-489C-90D0-6FA4D6D265E9}: NameServer = 217.237.150.225 217.237.150.141

So weiter weiter weiss ich erstmal nicht!

Lade Clear Prog und lösche damit deine TIF.
IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html

Das Log-File sieht soweit sauber aus.

JUHUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU!

Habe alles gemacht wie Du sagtest und es muß geklappt haben. Bin diesen Drecks-Trojaner wohl los . Mein Antivir hat nichts mehr gemeldet beim erneuten durchlauf. Da sage ich vielen dank!!!

Dies solltest du jedoch noch fixen:

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Mach ich mal, denke mal du hast da mehr Ahnung als ich. Vielen dank!

Habe fast das gleiche wie Super-Ong. Meiner heißt Istbar.dl und bei mir wird ebenfalls im TIF "Content" angezeigt. Habs gelöscht und seh es nicht mehr, aber der Virenscanner findet es immer noch. Wo versteckt der sich.
War sowieso irre. Neuinstallation, 1x ins Internet für ein Virenupdate und schon hatte Rbot in allen Varianten und noch ein paar andere. Habe alle wegbekommen ausser Istbar.dl
Helft mir mal bitte. Wenn wir dabei sind, welcher Browser ist sicherer? Mozilla?
Gibt es noch andere empfehlenswerte?

Hallo josama,

- zum sicheren Neuaufsetzen eines Betriebssystems
- zur Frage sicherer alternativer Browser zitiere ich Cidre: formatieren+neuaufsetzen

Zitat:

Zitat von Cidre

[..] Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Was Dein derzeitiges System anbelangt, solltest Du ein Hijack This Logfile posten mit http://www.trojaner-board.de/51130-a...ijackthis.html, dann können wir nachschauen, wo sich welche Datei verborgen hält.

SD

War noch mal im Internet, aber mit Mozilla, trotzdem gehen IE-Seiten auf. Hab wieder neue Viren, Rbot, Mediaticket und eben Istbar.

Logfile of HijackThis v1.98.2
Scan saved at 16:43:53, on 12.10.2009
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINNT\System32\wapdljv.exe
D:\WINNT\System32\Compliant.exe
D:\WINNT\System32\internat.exe
D:\WINNT\System32\taskmrg.exe
D:\Programme\Mozilla1.7.3\Mozilla.exe
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\retn.exe
C:\InstProgs\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINNT\localNRD.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Programme\SideFind\sfbho.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [candy] command32.exe
O4 - HKLM\..\Run: [Start Upping] taskmrg.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [kzvlgertbnsfn] D:\WINNT\System32\wapdljv.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Compliant] Compliant.exe
O4 - HKLM\..\RunServices: [candy] command32.exe
O4 - HKLM\..\RunServices: [Start Upping] taskmrg.exe
O4 - HKLM\..\RunServices: [Compliant] Compliant.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Start Upping] taskmrg.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "D:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [Rseu] D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\retn.exe
O4 - HKCU\..\Run: [Compliant] Compliant.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...39302c61fb4d2c
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Ich weiss nicht ob es dir bewusst ist, aber dieser mickrige Browser Hijacker ist dein kleinstes Problem.

Zitat:

und schon hatte Rbot in allen Varianten und noch ein paar andere. Habe alle wegbekommen ausser Istbar.dl

Das ist das Problem, daher auch die Empfehlung: Neuaufsetzen.

btw: Du irrst, dieser Backdoor Rbot.gen ist immer noch aktiv, siehe http://www3.ca.com/securityadvisor/v....aspx?id=39437

Ich weiss, dass der Rbot noch drauf ist. Ich hab nur ein Problem damit, mich diesem Wurm geschlagen zu geben, denn das wäre das formatieren. Kann auch mein WIN98 (auf der selben HDD) befallen sein?

Ich sollte noch etwas wissen: Mein Computer war bei einem Klick auf den IE-Explorer stehen geblieben. Von da an liess er sich nicht mehr starten, nicht einmal mit der Bootdiskette. Da ich an einen Hardwaredefekt glaubte, habe ich die HDD in einen anderen Computer eingebaut. Nach 2 Bootvorgängen war es auch mit dem vorbei. Bei meinem dritten Computer habe ich nur die Netzwerkarten aus dem 1.PC eingebaut, und wieder kein Bootvorgang, nicht einmal ein Signal von der Grafikkarte an den Monitor. Kann das durch z.B. Rbot passiert sein?

Ein grundsätzliches Problem ist, dass dein System überhaupt nicht gepatched ist (für Win 2000 gibts meines Wissens inzwischen Service Pack 4 bei dir ist noch gar keins drauf). Daher existieren seit langem gefixte Sicherheitslücken weiterhin an der Basis des Betriebssystems und dagegen helfen auch alternative Browser herzlich wenig (es sei denn, es sind Lücken im IE). Es genügt dann, dass du einfach nur mit dem Internet verbunden bist, um angreifbar zu sein.

Deine anderen Probleme dürften damit eher nichts zu tun haben, zumindest wüsste ich nicht, wie ein Virus eine Netzwerkkarte derart beschädigen sollte, dass sie die Grafikkarte eines Rechners beeinträchtigt usw. Auch wenn man mit Rbot alles mögliche auf einem Rechner machen kann von Außen, das ist einfach technisch nicht möglich. Es ist nachträglich kaum oder nur mit höherem Aufwand für Experten möglich, nachzuvollziehen, was ein Angreifer alles gemacht haben könnte, während er durch rbot Zugang zu deinem System hatte. Daher ist der einfachste Weg eine Neuformatierung und -installation.