Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Viren/troj_istbar.aj/troj_djfuca.ey (https://www.trojaner-board.de/13997-viren-troj_istbar-aj-troj_djfuca-ey.html)

moreno111 17.02.2005 14:25
Viren/troj_istbar.aj/troj_djfuca.ey
 
hallo!!

habe diese beiden viren drauf und bekomm die einfach nicht weg zumindest nicht den troj_istbar.aj!!!!hier mal mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:22:51, on 17.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Trend Micro\PC-cillin 2003\pccguide.exe
E:\Programme\Trend Micro\PC-cillin 2003\PCCClient.exe
E:\Programme\Trend Micro\PC-cillin 2003\Pop3trap.exe
C:\WINDOWS\kmflbukd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Skype\Phone\Skype.exe
E:\Programme\Trend Micro\PC-cillin 2003\Tmntsrv.exe
E:\Programme\Trend Micro\PC-cillin 2003\tmproxy.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\Trend Micro\PC-cillin 2003\PccPfw.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Mo\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\programme\ICQToolbar\toolbaru.dll
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SysService32] C:\WINDOWS\systask32l.exe
O4 - HKLM\..\Run: [pccguide.exe] "E:\Programme\Trend Micro\PC-cillin 2003\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "E:\Programme\Trend Micro\PC-cillin 2003\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "E:\Programme\Trend Micro\PC-cillin 2003\Pop3trap.exe"
O4 - HKLM\..\Run: [sG9a] C:\WINDOWS\kmflbukd.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [gdsr] C:\WINDOWS\gdsr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...ridge-c338.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108570264359
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{78916F1D-9570-4AAA-83D9-E7A1355889C9}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC-cillin Personal Firewall (PccPfw) - Trend Micro Incorporated. - E:\Programme\Trend Micro\PC-cillin 2003\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - E:\Programme\Trend Micro\PC-cillin 2003\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - E:\Programme\Trend Micro\PC-cillin 2003\tmproxy.exe

habt ihr sonst noch ideen?????wäre nett wenn mir jemand helfen koennte!!

mfg moreno111

Gigamail 17.02.2005 15:44
Hi,
bei Dir ist ja einiges drauf unter anderem der hier

scanne Dein System erst mal mit Escan mal sehen was noch so erscheint. Anleitung siehe unten.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

http://www.cosgan.org/images/midi/konfus/g045.gif

moreno111 17.02.2005 16:47
hi!!

das sieht wohl nicht so gut aus dabei habe ich doch erst xp neu installiert!!



Thu Feb 17 16:35:07 2005 => Total Files Scanned: 38400
Thu Feb 17 16:35:08 2005 => Total Virus(es) Found: 35
Thu Feb 17 16:35:08 2005 => Total Disinfected Files: 0


Namen der viren:das sind alle varianten,wo bei bei meinem virenprogramm noch der rest in quaritine ist!

File C:\WINDOWS\nem220.dll infected by "Trojan-Downloader.Win32.Dyfuca.gen" Virus

File C:\Programme\SideFind\sfbho.dll infected by "not-a-virus:AdWare.ToolBar.SideFind"

File C:\WINDOWS\kmflbukd.exe infected by "Trojan-Downloader.Win32.IstBar.go

File C:\WINDOWS\kmflbukd.exe infected by "Trojan-Downloader.Win32.IstBar.go

File C:\WINDOWS\kmflbukd.exe infected by "Trojan-Downloader.Win32.IstBar.go

File C:\DOKUME~1\Mo\LOKALE~1\Temp\sidefind.exe infected by "Trojan-Downloader.Win32.IstBar.gen

File C:\DOKUME~1\Mo\LOKALE~1\Temp\fkFDddF.exe infected by "Trojan-Downloader.Win32.IstBar.gen

File C:\DOKUME~1\Mo\LOKALE~1\Temp\istbar.dll infected by "Trojan-Downloader.Win32.IstBar.gj

File C:\WINDOWS\Downloaded Program Files\AdToolsX.dll infected by "not-a-virus:AdWare.WinAD.x" Virus

File E:\programme\Trend Micro\PC-cillin 2003\QUARANTINE\1.tmp infected by "Trojan-Downloader.Win32.IstBar.gn

Gigamail 17.02.2005 17:58
--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung

fixe folgende Einträge:

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O4 - HKLM\..\Run: [SysService32] C:\WINDOWS\systask32l.exe
O4 - HKLM\..\Run: [sG9a] C:\WINDOWS\kmflbukd.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [gdsr] C:\WINDOWS\gdsr.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/D...bridge-c338.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab


lösche von Hand folgende Dateien:

C:\WINDOWS\nem220.dll
C:\Programme\SideFind\sfbho.dll
C:\WINDOWS\systask32l.exe
C:\WINDOWS\kmflbukd.exe
c:\programme\180solutions\sais.exe
C:\WINDOWS\gdsr.exe
C:\Programme\SideFind\sidefind.dll

ausserdem alle von eScan gefundenen Dateien löschen es sind schon welche s.o. dabei also nicht wundern wenn Du die dann nicht mehr findest

Danach mit eScan neu scannen wichtig Haken überall rein und Scan ALL Files auswählen
Ergebnis mit einem neuen HJT aus dem normalen Modus Sysdemwiederherstellung aktiviert hier rein posten

http://www.cosgan.org/images/midi/konfus/k010.gif

moreno111 17.02.2005 19:12
hi!!

ich glaub es hat alles geklappt!!!danke!!!!!


Logfile of HijackThis v1.99.1
Scan saved at 19:34:06, on 17.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\programme\ICQLite\ICQLite.exe
E:\programme\Skype\Phone\Skype.exe
E:\Six-steam\Steam\Steam.exe
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Mo\LOKALE~1\Temp\Rar$EX01.875\HijackThis.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\programme\ICQLite\ICQLite.exe -trayboot
O17 - HKLM\System\CCS\Services\Tcpip\..\{78916F1D-9570-4AAA-83D9-E7A1355889C9}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe



habe den scan hier im normalem modus durchgeführt!


mfg moreno111

Gigamail 17.02.2005 19:27
Zitat:
Logfile of HijackThis v1.99.0
woher nimmst Du jetzt den alten Schrott wo Du doch schon mal in Deinem ersten Posting aktuell warst. Ausserdem glaube ich, Du hast im abgesicherten Modus das HJT erstellt. Also nochmal mit 1.99.1 Version im normalen Modus.

http://www.cosgan.org/images/midi/konfus/g045.gif


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131