ISTbar lässt sich nicht entfernen

Hallo,
ich habe folgendes Problem: Adaware findet auf meinem Rechner immer wieder den Trojaner ISTbar, dieser lässt sich scheinbar auch entfernen, ist jedoch nach dem nächsten Systemstart wieder da. Für alle Lösungen zu diesem Problem, die ich ergooglet habe muss der Rechner im abgesicherten Modus gestartet werden.
Leider lässt sich der Rechner nicht im abgesicherten Modus starten, er bleibt dann mit schwarzem Bildschirm hängen. Weiß jemand von euch Rat?
Erstaunlicherweise wird auch der Browser nicht entführt, keine ****o-pop-ups und auch die Startseite blieb unverändert.
Gruß
Flora

 

Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
Und Vorsicht, die automatische Auswertung ist nicht perfekt. Nicht einfach alles löschen was dort als "böse" angezeigt wird.

 

Hier der Link zu der Hijackauswertung: http://www.hijackthis.de/logfiles/36304ae35fff3f76cae68680084cdf9d.html
Hier wird nichts als Böse erkannt.
Jedoch findet adaware immer wieder die ISTbar.
Außerdem finmdet eScan jede Menge schädlicher Dateien.
Gruß
Flora

 

Wo findet eScan denn was?
Und wo findet Ad-aware die ISTBar?

Denk dran, ich sitz nicht an deinem PC und raten will ich nicht.

 

Hallo,
entscheidend scheint folgender Prozess zu sein, der sowohl von Adaware als auch eScan gefunden wird: C:\WINDOWS\qaqkc.exe
Er tritt auch im Taskmanager als Prozess auf, lässt sich aber dort nicht beenden.
Hier das Log von e Scan:
File C:\WINDOWS\qaqkc.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Flora\LOKALE~1\Temp\GLF92GLF92.EXE infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Flora\LOKALE~1\Temp\targetsaver.exe infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Flora\LOKALE~1\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Flora\Lokale Einstellungen\Temp\GLF92GLF92.EXE infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Flora\Lokale Einstellungen\Temp\targetsaver.exe infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Flora\Lokale Einstellungen\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{37EED398-31D7-4F1C-9F7D-5B8AD26C0E05}\RP12\A0007411.exe infected by "Trojan.Win32.StartPage.pa" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{37EED398-31D7-4F1C-9F7D-5B8AD26C0E05}\RP20\A0017131.exe infected by "Trojan.Win32.StartPage.pa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\ISTprotect.dll infected by "Trojan-Downloader.Win32.IstBar.gr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\qaqkc.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: No Action Taken.
File D:\System Volume Information\_restore{923D3EBA-8FFF-46B5-9F05-D8F959C9F4C2}\RP1\A0000364.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\System Volume Information\_restore{B5E88E82-F74D-4300-B512-246638B6E08E}\RP9\A0003956.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Außerdem findet Adaware immer wieder Listen, die Daten sammeln.

Danke
Flora

 

Hm, komisch dass die qaqkc.exe nicht im HijackThis-Log zu sehn ist. Scheint nicht mehr aktiv zu sein.

Das offensichtliche ist jetzt:

- die qaqkc.exe im Windows-Ordner löschen
- den Temp-Ordner leeren
- die Systemwiederherstellung vorübergehend ausschalten

Wahrscheinlich alles MRU-Listen. Die sind Bestandteil von Windows und völlig harmlos. Einfach in Ad-aware die Option "Search for negligible risk entries" ausschalten (negligible = unbedeutend, vernachlässigbar).

 

Guten Tag!
Kann mir bitte jemand helfen? habe auch das blöde Istbar-Ding und folgende ist meine log:

http://www.hijackthis.de/logfiles/8422931fcff077388290aa384599e3c1.html

was kann ich dagegen tun?
Vielen Dank,
Afshim

 

HWie wäre es denn wenn du mal dein Windows updaten würdest

http://v4.windowsupdate.microsoft.com/de/default.asp

 

Du hast viel mehr drauf als nur die ISTBar, dein System ist ganz schön verseucht, darunter der Sdbot, das ist ein Backdoor-Trojaner. Und vom Winows-Update hast du auch noch nix gehört wies aussieht.

Da bleibt nur Neuaufsetzen nach folgender Anleitung:


-------

Infiziertes System neu aufsetzen:

Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

Auf einem nicht infizierten System den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

Auf dem infizierten System:
- wichtige Daten sichern (sofern noch möglich)
- Windows neu installieren mit NTFS-Neuformatierung der Systempartition
(oder ein sauberes Image zurückspielen)
- die Service Packs und Patches von der CD installieren
- Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
- Virenwächter installieren (AntiVir und AVG gibts kostenlos)
- sämtliche Passwörter ändern
- Spybot S&D installieren und das System immunisieren
- den IE mit dem Zonenmodell sicherer machen
- die automatische Windows-Update Funktion aktivieren
- alle anderen Partitionen auf Schädlinge prüfen
- die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
NIE ausführbare Dateien zurückspielen

-------

 

ok vielen Dank, das Problem ist, ich habe letzte Woche erst formatiert :/

 

aber nagut, dann nochmal jippie

 

Wenn du dich an die Anleitung hälst dann sollte dein System diesmal sauber bleiben, vorausgesetzt du überdenkst dein Surfverhalten.

 

hallo,
habe jetzt alle partitionen formatiert, aber wirklich alles, aber nur treiber, firefox etc. installiert und schon wieder irgendwelche viren drauf. kann sich der virus irgendwie im RAM festgeschrieben haben oder sind noch reste beim formatieren übrig geblieben?
wie auch immer, jetzt habe ich folgende log:
http://hijackthis.de/logfiles/49c16fdfd8fd06f613944d4e662b23a0.html
wie um himmels willen kriege ich meineprobleme gelöst?
service pack will ich installieren, aber bis dahin muss es doch irgendwie n weg geben ohne virus? bin mittlerweile echt am verzweifeln

 

Hast du dich auch an die Anleitung gehalten? Du darfst mit dem Rechner nicht online gehen bis alle Updates installiert sind und ein Virenwächter läuft.

Der Sdbot speziell verbreitet sich über Netzwerkfreigaben die schlecht gesichert sind. Ändere alle deine Passwörter und gib erst mal keine LAufwerke frei

Und im RAM hockt der ganz bestimmt nicht, der wird nämlich bei jedem Reset oder Ausschalten des PCs gelöscht.

 

Wie wäre es wenn du die Tipps befolgst die hier stehen

Falls es noch nicht bis zu dir durchgekommen ist - Service Pack 2 ist aktuell.