AdAware hat bei mir ISTbar gefunden und ich krieg ihn nicht weg.

Hier ist mein Hijackthis logfile:


Logfile of HijackThis v1.99.1
Scan saved at 12:22:21, on 01.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\Programme\Norton Internet Security\ISSVC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Winamp\Winampneu\Winampa.exe
D:\Programme\D-Tools\daemon.exe
C:\WINNT\rokcs.exe
D:\Programme\ISTsvc\istsvc.exe
D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
D:\Programme\Programs\MFIndexer.exe
D:\Programme\D\D-Info\dinfostarter.exe
D:\Programme\Opera\Opera.exe
D:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampneu\Winampa.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [xCFw3oNT] C:\WINNT\rokcs.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [CreateCD] D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = D:\Programme\Programs\MFIndexer.exe
O4 - Global Startup: D-Info Starter.lnk = D:\Programme\D\D-Info\dinfostarter.exe
O4 - Global Startup: ISDN-Monitor.lnk = D:\Programme\ISDN-Monitor\ISDNMon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = D:\Programme\VR-NetWorld\vrtoolcheckorder.exe
O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - D:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - D:\Programme\D\D-Info\html\toolbarscript.html
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Games ... dge-c7.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PowerISDNMonitor - Unknown owner - D:\Programme\PowerISDNMonitor\Wrapper.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hallo@dyx

der PC ist mir Spyware, einem Dialer und eiem Backdoor verseucht:
http://securityresponse.symantec.com/av ... pcbot.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [xCFw3oNT] C:\WINNT\rokcs.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Games ... dge-c7.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html



Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

bitte abarbeiten und alles mit pfadangabe posten:
http://nikita.eddys-domain.de/datfindbat.html

D:\Programme\rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINNT\system32\DivX.dll: PEC2
C:\WINNT\system32\DivX.dll: PEC2

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
C:\WINNT\daemon.dll: UPX!
C:\WINNT\rokcs.exe: UPX!
Finished
bye

system32.txt:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 9414-2E30

Verzeichnis von C:\WINNT\system32

01.09.2005 22:29 17.145 nvapps.xml
27.08.2005 22:55 1.632 d3d8caps.dat
21.08.2005 12:21 142.032 FNTCACHE.DAT
10.08.2005 00:14 692.224 divxdec.ax
10.08.2005 00:13 4.276 divxsm.tlb
10.08.2005 00:13 524.288 DivXsm.exe
10.08.2005 00:13 692.736 DivX.dll
10.08.2005 00:13 688.128 divx_xx07.dll
10.08.2005 00:13 10.775 dsm_ja.qm
10.08.2005 00:13 15.351 dsm_de.qm
10.08.2005 00:13 15.153 dsm_fr.qm
10.08.2005 00:13 688.128 divx_xx0c.dll
10.08.2005 00:13 671.744 divx_xx11.dll
10.08.2005 00:13 831.488 libeay32.dll
10.08.2005 00:13 245.408 unicows.dll
10.08.2005 00:13 159.744 ssleay32.dll
10.08.2005 00:12 3.596.288 qt-dx331.dll
10.08.2005 00:12 8.523 dpude.qm
10.08.2005 00:12 86.016 dpl100.dll
10.08.2005 00:12 581.632 dpuGUI11.dll
10.08.2005 00:12 200.704 dtu100.dll
10.08.2005 00:12 303.104 dpus11.dll
10.08.2005 00:12 57.344 dpv11.dll
10.08.2005 00:12 245.760 dpu11.dll
10.08.2005 00:12 3.136 dtu_de.qm
10.08.2005 00:12 356.436 DivXMedia.ax

systemtemp.txt:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 9414-2E30

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

system.txt:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 9414-2E30

Verzeichnis von C:\WINNT

01.09.2005 22:30 764 win.ini
01.09.2005 21:45 55.958 ntbtlog.txt
01.09.2005 21:38 32.494 SchedLgU.Txt
28.08.2005 22:36 534.356 setupapi.log
26.08.2005 09:21 132 winamp.ini
26.08.2005 08:45 10.240 rokcs.exe
22.08.2005 20:27 98.307 Directx.log
22.08.2005 20:09 52.283 War3Unin.dat
22.08.2005 20:07 2.829 War3Unin.pif
22.08.2005 20:07 139.264 War3Unin.exe
06.08.2005 17:57 21.689 LUINSTALL.LOG
06.08.2005 17:41 4.388 SYMEVENT.LOG
06.08.2005 17:02 208.059 svcpack.log
06.08.2005 17:02 344 msmqprop.log
06.08.2005 17:01 194 sptsupd.log

sys.txt:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 9414-2E30

Verzeichnis von C:\

01.09.2005 22:37 0 sys.txt
01.09.2005 22:37 5.072 system.txt
01.09.2005 22:36 128 systemtemp.txt
01.09.2005 22:36 94.612 system32.txt
01.09.2005 22:26 201.326.592 pagefile.sys
01.09.2005 22:16 583 log.txt
01.09.2005 22:16 53 windows.txt
01.09.2005 22:11 68 win.txt
01.09.2005 22:01 0 start.txt
06.08.2005 16:59 216.096 ntldr
06.08.2005 16:34 100 LuResult.txt

Oh und Ad-aware findet schon wieder 5 istbar einträge....#+#


doof.

loesche:
D:\Programme\ISTsvc\istsvc.exe
D:\Programme\ISTsvc
C:\WINNT\Downloaded Program Files\istactivex.dll
C:\WINNT\Downloaded Program Files\ISTactivex.inf

auf meiner Seite findest du auch ein Entfernungstool
http://nikita.eddys-domain.de/spyware2. ... n32.IstBar

loesche unbedingt :
C:\WINNT\rokcs.exe

-----------------------------------------------------------------------------------------

Onlinescan: (Kaspersky und panda) --> berichte von den scans
http://nikita.eddys-domain.de/onlinescan.html

Das entfernungs tool hat's geschafft. AD-aware, spybot und norton finden nix mehr. das soll mir erstmal reichen. online scan geht nciht da norton den irgendwie blockiert. und ich will hier an dem pc nicht noch mehr rum werkeln...

besten dank für die schnelle hilfe und die tips!

dyx