ISTbar lässt sich nicht entfernen

Dieses Thema im Forum "Sicherheit" wurde erstellt von FloraGunn2, 30. Dezember 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. FloraGunn2

    FloraGunn2 ROM

    Registriert seit:
    17. April 2004
    Beiträge:
    6
    Hallo,
    ich habe folgendes Problem: Adaware findet auf meinem Rechner immer wieder den Trojaner ISTbar, dieser lässt sich scheinbar auch entfernen, ist jedoch nach dem nächsten Systemstart wieder da. Für alle Lösungen zu diesem Problem, die ich ergooglet habe muss der Rechner im abgesicherten Modus gestartet werden.
    Leider lässt sich der Rechner nicht im abgesicherten Modus starten, er bleibt dann mit schwarzem Bildschirm hängen. Weiß jemand von euch Rat?
    Erstaunlicherweise wird auch der Browser nicht entführt, keine ****o-pop-ups und auch die Startseite blieb unverändert.
    Gruß
    Flora
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
    Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
    Und Vorsicht, die automatische Auswertung ist nicht perfekt. Nicht einfach alles löschen was dort als "böse" angezeigt wird.
     
  3. FloraGunn2

    FloraGunn2 ROM

    Registriert seit:
    17. April 2004
    Beiträge:
    6
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Wo findet eScan denn was?
    Und wo findet Ad-aware die ISTBar?

    Denk dran, ich sitz nicht an deinem PC und raten will ich nicht.
     
  5. FloraGunn2

    FloraGunn2 ROM

    Registriert seit:
    17. April 2004
    Beiträge:
    6
    Hallo,
    entscheidend scheint folgender Prozess zu sein, der sowohl von Adaware als auch eScan gefunden wird: C:\WINDOWS\qaqkc.exe
    Er tritt auch im Taskmanager als Prozess auf, lässt sich aber dort nicht beenden.
    Hier das Log von e Scan:
    File C:\WINDOWS\qaqkc.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: No Action Taken.
    File C:\DOKUME~1\Flora\LOKALE~1\Temp\GLF92GLF92.EXE infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
    File C:\DOKUME~1\Flora\LOKALE~1\Temp\targetsaver.exe infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
    File C:\DOKUME~1\Flora\LOKALE~1\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: No Action Taken.
    File C:\Dokumente und Einstellungen\Flora\Lokale Einstellungen\Temp\GLF92GLF92.EXE infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
    File C:\Dokumente und Einstellungen\Flora\Lokale Einstellungen\Temp\targetsaver.exe infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
    File C:\Dokumente und Einstellungen\Flora\Lokale Einstellungen\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: No Action Taken.
    File C:\System Volume Information\_restore{37EED398-31D7-4F1C-9F7D-5B8AD26C0E05}\RP12\A0007411.exe infected by "Trojan.Win32.StartPage.pa" Virus. Action Taken: No Action Taken.
    File C:\System Volume Information\_restore{37EED398-31D7-4F1C-9F7D-5B8AD26C0E05}\RP20\A0017131.exe infected by "Trojan.Win32.StartPage.pa" Virus. Action Taken: No Action Taken.
    File C:\WINDOWS\Downloaded Program Files\ISTprotect.dll infected by "Trojan-Downloader.Win32.IstBar.gr" Virus. Action Taken: No Action Taken.
    File C:\WINDOWS\qaqkc.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: No Action Taken.
    File D:\System Volume Information\_restore{923D3EBA-8FFF-46B5-9F05-D8F959C9F4C2}\RP1\A0000364.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
    File F:\System Volume Information\_restore{B5E88E82-F74D-4300-B512-246638B6E08E}\RP9\A0003956.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

    Außerdem findet Adaware immer wieder Listen, die Daten sammeln.

    Danke
    Flora
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Hm, komisch dass die qaqkc.exe nicht im HijackThis-Log zu sehn ist. Scheint nicht mehr aktiv zu sein.

    Das offensichtliche ist jetzt:

    - die qaqkc.exe im Windows-Ordner löschen
    - den Temp-Ordner leeren
    - die Systemwiederherstellung vorübergehend ausschalten



    Wahrscheinlich alles MRU-Listen. Die sind Bestandteil von Windows und völlig harmlos. Einfach in Ad-aware die Option "Search for negligible risk entries" ausschalten (negligible = unbedeutend, vernachlässigbar).
     
  7. afshim

    afshim ROM

    Registriert seit:
    24. Februar 2005
    Beiträge:
    4
  8. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
  9. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Du hast viel mehr drauf als nur die ISTBar, dein System ist ganz schön verseucht, darunter der Sdbot, das ist ein Backdoor-Trojaner. Und vom Winows-Update hast du auch noch nix gehört wies aussieht.

    Da bleibt nur Neuaufsetzen nach folgender Anleitung:


    -------

    Infiziertes System neu aufsetzen:

    Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

    Auf einem nicht infizierten System den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

    Auf dem infizierten System:
    - wichtige Daten sichern (sofern noch möglich)
    - Windows neu installieren mit NTFS-Neuformatierung der Systempartition
    (oder ein sauberes Image zurückspielen)
    - die Service Packs und Patches von der CD installieren
    - Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
    - Virenwächter installieren (AntiVir und AVG gibts kostenlos)
    - sämtliche Passwörter ändern
    - Spybot S&D installieren und das System immunisieren
    - den IE mit dem Zonenmodell sicherer machen
    - die automatische Windows-Update Funktion aktivieren
    - alle anderen Partitionen auf Schädlinge prüfen
    - die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
    NIE ausführbare Dateien zurückspielen

    -------
     
  10. afshim

    afshim ROM

    Registriert seit:
    24. Februar 2005
    Beiträge:
    4
    ok vielen Dank, das Problem ist, ich habe letzte Woche erst formatiert :/
     
  11. afshim

    afshim ROM

    Registriert seit:
    24. Februar 2005
    Beiträge:
    4
    aber nagut, dann nochmal jippie
     
  12. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Wenn du dich an die Anleitung hälst dann sollte dein System diesmal sauber bleiben, vorausgesetzt du überdenkst dein Surfverhalten.
     
  13. afshim

    afshim ROM

    Registriert seit:
    24. Februar 2005
    Beiträge:
    4
    hallo,
    habe jetzt alle partitionen formatiert, aber wirklich alles, aber nur treiber, firefox etc. installiert und schon wieder irgendwelche viren drauf. kann sich der virus irgendwie im RAM festgeschrieben haben oder sind noch reste beim formatieren übrig geblieben?
    wie auch immer, jetzt habe ich folgende log:
    http://hijackthis.de/logfiles/49c16fdfd8fd06f613944d4e662b23a0.html
    wie um himmels willen kriege ich meineprobleme gelöst?
    service pack will ich installieren, aber bis dahin muss es doch irgendwie n weg geben ohne virus? bin mittlerweile echt am verzweifeln :confused: :heul:
     
  14. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Hast du dich auch an die Anleitung gehalten? Du darfst mit dem Rechner nicht online gehen bis alle Updates installiert sind und ein Virenwächter läuft.

    Der Sdbot speziell verbreitet sich über Netzwerkfreigaben die schlecht gesichert sind. Ändere alle deine Passwörter und gib erst mal keine LAufwerke frei

    Und im RAM hockt der ganz bestimmt nicht, der wird nämlich bei jedem Reset oder Ausschalten des PCs gelöscht.
     
  15. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014

    Wie wäre es wenn du die Tipps befolgst die hier stehen


    Falls es noch nicht bis zu dir durchgekommen ist - Service Pack 2 ist aktuell.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen