Trojaner-Board - ISTbar.Slotch

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ISTbar.Slotch (https://www.trojaner-board.de/14049-istbar-slotch.html)

Hallo!
Ich hab ein Problem mit dem Rechner meiner Eltern. Und zwar findet Spybot immer wieder ISTbar.Slotch und das hier wird angegeben:

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

ISTbar.Slotch: Verfolgender Cookie (Internet Explorer: ) (Cookie, nothing done)

ISTbar.Slotch: Programmdatei (Datei, nothing done)
C:\Programme\ISTsvc\istsvc.exe

ISTbar.Slotch: Autorun-Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IST Service

ISTbar.Slotch: Globale Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\ISTsvc

ISTbar.Slotch: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc

--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi

Meine Frage: Kann ich die betroffenen dateien einfach löschen, um das Problem zu beheben? Der Rechner dient nämlich nur noch zum Spielen und ganz selten mal für einen Internetbesuch, sodass große Anstregnungen nicht wirklich lohnenswert wären. Falls es noch wichtig sein sollte, der Rechner läuft mit Win Me.

Vielen Dank für eure Hilfe :)

@swenundnadine
poste ein HJT logfile
download
anleitung
chaosman

Hier nun das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 15:16:58, on 18.02.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\KEYBOARD\TYPE32.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\WMONITOR\WLANCFGAB.EXE
C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.1\MOUSE32A.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\THRUSTMASTER\THRUSTMAPPER\TMTMTSR.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\NUYDTBCP.EXE
C:\PROGRAMME\180SOLUTIONS\SAIS.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ISTSVC\ISTSVC.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\SYSDOC32.EXE
E:\CRAZY BROWSER\CRAZY BROWSER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.974\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://letgohome.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://letgohome.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\Z11YGH~1.DLL
O3 - Toolbar: (no name) - {FE6BC4EF-5676-484B-88AE-883323913256} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [wizard] €
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [ABBYY Community Agent] E:\FINEREADER\CAGENT.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WLanCfgAB.exe] C:\Programme\WMonitor\WLanCfgAB.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\ThrustMaster\ThrustMapper\TMTMTSR.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\NORTON~2\DEFALERT.EXE
O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINDOWS\SYSTEM\833425.EXE
O4 - HKLM\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [dnscleaner] C:\WINDOWS\DNSCLEANER.EXE
O4 - HKLM\..\Run: [7VGrK9ZLD] C:\WINDOWS\NUYDTBCP.EXE
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [rqtsh] C:\WINDOWS\rqtsh.exe
O4 - HKLM\..\Run: [¢‰¸ï04Ã4}¤Áœ5]C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\NUYDTBCP.EXE
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O4 - HKCU\..\Run: [YAW starten] "E:\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\SYSTEM\MATRIXHERE.EXE
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~3\OFFICE\1031\PHDINTL.DLL/phdContext.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\PROGRAMME\SIDEFIND\SIDEFIND.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.globalphon.com/dialer/internazionale_ver4.CAB

Und? Verhilft es zu neuen Erkenntnissen? Ich find's ja echt faszinierend, dass es Menschen gibt, die in so einem Buchstabenwirrwarr einen Sinn entdecken können ;-)

@swenundnadine

als erstes IE updaten,
escan downloaden
anleitung lesen eventuell ausdrücken
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Tachchen :aplaus:

folgende Prozesse zeigen Spyware an und sollten möglichst flott deinstalliert werden

C:\PROGRAMME\180SOLUTIONS\SAIS.EXE
C:\PROGRAMME\ISTSVC\ISTSVC.EXE

Mit HJT folgende Einträge im ABGESICHERTEN MODUS (F8) fixen :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/sp.htm?id=9

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\Z11YGH~1.DLL

O3 - Toolbar: (no name) - {FE6BC4EF-5676-484B-88AE-883323913256} - (no file)

O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINDOWS\SYSTEM\833425.EXE

O4 - HKLM\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE

O4 - HKLM\..\Run: [7VGrK9ZLD] C:\WINDOWS\NUYDTBCP.EXE

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe

O4 - HKLM\..\Run: [¢‰¸ï0 4Ã4}¤Áœ5]C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\NUYDTBCP.EXE

O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe

O4 - HKCU\..\Run: [romahere] C:\WINDOWS\SYSTEM\MATRIXHERE.EXE

O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll

O4 - HKCU\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\PROGRAMME\SIDEFIND\SIDEFIND.DLL

O15 - Trusted Zone: *.greg-search.com

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab

O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.globalphon.com/dialer/in...ionale_ver4.CAB

Unsicher bin ich mir bei :

O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient

Du hast eine gaaaanze Menge schlimme Sachen auf deinem PC, ich würde Dir dringenst raten, es komplett neu aufzusetzen !!! :pfui:

Gruss
Andy :blabla:

Warum empfiehlst du, einfach mal irgendwas zu fixen und sonst gar nichts zu machen? :headbang:

Mein Vorschlag: Vergiss die automatische Auswertung, lies 30-40 Threads durch und merke dir, was dort empfohlen wird. Außerdem lege ich dir diese Anleitung zu HijackThis ans Herz.

Zitat:

Zitat von Haui45

Ist im Prinzip das selbe, was ich gesagt habe, Scherzkeks.

Scannen mit eScan sollte wie o.g. auch gemacht werden, also vor in Betriebnahme des Mundwerkes Gehirn anschalten :blabla:

Du hast auch nicht viel mehr Ahnung :juul:

Zitat:

Ist im Prinzip das selbe, was ich gesagt habe, Scherzkeks.

Nein, du hast Schwachsinn gepostet.

Zitat:

Scannen mit eScan sollte wie o.g. auch gemacht werden, also vor in Betriebnahme des Mundwerkes Gehirn anschalten

1.) Das Wort "Mundwerk" ist hier fehl am Platze.
2.) Dein Gehirn könntest du, falls vorhanden, wirklich mal einschalten.

Zitat:

Du hast auch nicht viel mehr Ahnung

...aber viel mehr als du ;)

Zitat:

Zitat von Haui45

Nein, du hast Schwachsinn gepostet.

1.) Das Wort "Mundwerk" ist hier fehl am Platze.
2.) Dein Gehirn könntest du, falls vorhanden, wirklich mal einschalten.

...aber viel mehr als du ;)

Nö hab ich nicht (Bezug : Blödsinn labern), und ich glaube nicht dass Du viel mehr Ahnung als ich hast.
Da Wette ich Angela Merkels Frisur drauf ;)

Es ist wieder Trollzeit...

Ich komme im Gegensatz zu dir auch ohne die automatische Auswertung aus...
(das genügt als Antwort)

Zitat:

Zitat von Haui45

Es ist wieder Trollzeit...

Ich komme im Gegensatz zu dir auch ohne die automatische Auswertung aus...
(das genügt als Antwort)

Ich auch, macht nur das Leben etwas einfacher :-)

Zudem flame ich net oder betreib ne trollingtime.
Wie heisst es so schön "Everybody has the right to be stupid, some just abuse it.", und ich klammere mich da aus. :blabla:

Immer schön am editieren...