istactivex.dll - Trojan horse Downloader.Istbar.5.H

#1 hallo! kann ich im english sprechen?
weil ich sehr wenig deutsch spreche, wenn so danke schön!!
--------------------------------------

hi everybody somewhere!

thanks for having stopped here and be willing to help me, i need very much your support

i got the trojan known as 'istactivex.dll', it was discovered by avg, but i don't any tools to remove it

the infected file is
C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll

here is my highjackthis log, so as you'll be able to tell me what, where and to remove it


Logfile of HijackThis v1.98.2
Scan saved at 14:01:46, on 4/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\POPDiscador\POPDiscador.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\VITALS~1\Net.Medic\Program\syshook.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\UserNew\Local Settings\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mt2net.com.br:3000/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IbestBHO Class - {7E6CDC1C-3B90-47D7-B2A8-24438CA96075} - C:\Program Files\Yahoo! Acesso Gratis\bho.dll
O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\PROGRA~1\iGv6\igshop.dll
O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\PROGRA~1\iGv6\igshop.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [Discador iG] "C:\Program Files\iGv6\Discador iG.exe" boot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [discador] C:\Program Files\Speedy\Speedy 0.98\DISCADOR.EXE
O4 - HKCU\..\Run: [Yahoo! Acesso Gratis] "C:\Program Files\Yahoo! Acesso Gratis\autoupdate.exe"
O4 - HKCU\..\Run: [popbanner] C:\Program Files\POPDiscador\POPDiscador.exe --banner
O4 - HKCU\..\Run: [SysBrand] C:\Program Files\sysbrand.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: Net.Medic.lnk = C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe
O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\PROGRA~1\iGv6\igshop.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096654570609
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FB004C0-02E4-4D2D-95BB-A40FBDAF4F4F}: NameServer = 200.204.0.10 200.204.0.138

i look imediately forward to hear from you
since i'm a newcomer in this site, i don't know if i'll be e-mailed when you have news for me

in any event tell me something to my direct e-mail
tool_eng_hugo@rodrigo.pro.br
---------------------------

vielen kankt noch einmal, ich warte

#2 Hallo@aussurucq

Gehe in die Registry
Start<Ausfuehren<regedit
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
loesche, wenn es da ist:
{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: IbestBHO Class - {7E6CDC1C-3B90-47D7-B2A8-24438CA96075} - C:\Program Files\Yahoo! Acesso Gratis\bho.dll
O4 - HKCU\..\Run: [Yahoo! Acesso Gratis] "C:\Program Files\Yahoo! Acesso Gratis\autoupdate.exe"
O4 - HKCU\..\Run: [SysBrand] C:\Program Files\sysbrand.exe

PC neustarten

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#AdAware (free)
http://www.lavasoft.de/support/download/

ftp://update.mailscan.info/download/tools/ --->mwav.exe
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
click:mwav.exe und scanne (falls nichts geloescht, sondern nur angezeigt wird, musst du die Malware manuell loeschen)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

se não entenderes alguma coisa, podes escrever em português
__________
MfG Sabina

rund um die PC-Sicherheit

#3 dear sabina, thank very much for your answer

i have full command of english, french, italian, portuguese and spanish
anyway i managed to understand a part of your instructions in german
----------------------------

estimada sabina, muito obrigado pela tua resposta

sou fluente em inglês, francês, italiano, português e espanhol
de qualquer maneira me virei para entender uma parte de suas instruções em alemão
--------------------------

1] go to Registry[?]
start<ausführen=run?<regedit?
xxx
delete where it is
xxx

2] voll verstanden

3] datenträgerbereinigung[?]
fully understood, and i already did it

4] i download adaware from lavasoft site and run it
i download mwav.exe from 'ftp://...'
i go to the safe mode with internet access
i enter 'www.tu-berlin...'
click mwav.exe and scan [if nothing is deleted, you must delete manually]

5] neue start = new home page, gut verstanden
-------------------------

bitte, ein wenig mehr erklärung, danke schön, herzlich
please explain a little more, thank you very much
por favor, me explicar mais um pouco, muito obrigado, mesmo

#4 Hallo@aussurucq

1.
Start-->Run --> escreve : regedit
primeiro tu tens que apagar
{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}
na registry
Chave:
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
apage (se há)
{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}

2. abre o HijackThis, e marca o seguinte , depois Button "Fix checked" -->> PC neustarten
O2 - BHO: IbestBHO Class - {7E6CDC1C-3B90-47D7-B2A8-24438CA96075} - C:\Program Files\Yahoo! Acesso Gratis\bho.dll
O4 - HKCU\..\Run: [Yahoo! Acesso Gratis] "C:\Program Files\Yahoo! Acesso Gratis\autoupdate.exe"
O4 - HKCU\..\Run: [SysBrand] C:\Program Files\sysbrand.exe

3.
Start->Run: copy: cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

isto vai deaparecer:
C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll

4.
faz download:
#AdAware (free)
http://www.lavasoft.de/support/download/
ftp://update.mailscan.info/download/tools/ --->mwav.exe

5.
-->vai ao Modo de segurança (F8 carregar , quando o PC aranca)

6.
click AdAware -->scan
click:mwav.exe -->scan

7.
depois conta , se os scanners apagaram alguma Malware.
__________
MfG Sabina

rund um die PC-Sicherheit

#5
olá sabina, de novo muito obrigado pela tua ajuda e boa vontade em me ajudar

quero te perguntar se tu me entendes bem em português, talvez tu prefiras o inglês para assegurar nosso 100% perfeito e total entendimento

i want to ask you if you understand me in portuguese, perhaps you prefer in english to ensure our 100% perfect and total understanding

[nem sempre entendemos completamente uma língua, eu já fui fluente em alemão há muitos anos, hoje posso usar um pouco o alemão, mas para a informática atual não, pior ainda que eu falo português do brasil e tu falas português de portugal, eu sou uruguaio e falo perfeito português porque faz 34 anos que vivo no brasil, mas meu filhos que são também uruguaios e falam bem o espanhol, eles preferem falar em português por exemplo no caso da informática, if you feel more comfortable please answer me in english, i speak perfectly in english, ok?]

FIZ TUDO TUDO O QUE TU ME DIZESTE, DETALHADAMENTE, MAS NO FINAL O TROJAN CONTINÚA ALI, FELIZ DA VIDA COMO SE TAL COISA, VOU PRECISAR QUE ME CONTINUES A AJUDAR, POIS NÃO PODE SER QUE NÃO CONSIGA ELIMINÁ-LO

VOLTANDO AO INÍCIO, SE CHAMA 'TROJAN HORSE DOWNLOADER.ISTBAR.5.H', E ESTÁ NO ARQUIVO/FILE
C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll

MEU AVG DIZ QUE O ARQUIVO ESTÁ 'INFECTED BY AN EMBEDDED OBJECT', TALVEZ ISTO TE AJUDE

O GRANDE PROBLEMA QUE EU VEJO É QUE O AVG DIZ QUE O INFECTED FILE EXISTE, SERÁ QUE REALMENTE EXISTE?, PORQUE NÃO CONSEGUIMOS DESCUBRÍ-LO, NEM NENHUMA DAS SCAN ENGINES O DESCOBRE
COMO ISTO É POSSÍVEL, SABINA?

te conto a seguir os detalhes:

1] run>regedit, abri o registry editor, fui até o
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
não há uma Distribution Unit com esse código

2] novo hijackthis, selecionei os 3 items, fix checked
scan de novo, os 3 foram deletados
reboot/restart/reiniciar/neustarten

3] run>cleanmgr, aparece 'disk clean up on C:', que é a mesma coisa, deletei todos os temporary internet files

mas tu dizeste 'vai desaparecer o infected file', eu não o vi, não o encontrei, não o vi, não fiz nada com esse arquivo, eu devia deletá-lo? onde o encontro? onde está esse file?

4] fiz o download do adaware
fiz o download do mwav.exe
entrei e abri o modo de segurança = safe mode

5] atualizei=updated o adaware
fiz o scan com a adaware

objects scanned 102.352
11 running processes
393 process modules
2 objects recognized
2 new critical objects, aranha=spider piscando=blinking
0 registry key identified
1 registry value identified
1 file identified
10 negligible objects

descrição dos 2 critical objects
a] alexa, type reg value, category data miner, object HKEY_USERS.S-1-5-21-14...
b] vendor tracking, type IE cache..., data miner, object C:\Documents and Settings...
TALVEZ ESTE ERA O FILE INFECTADO QUE QUEREMOS CAÇAR, não sei porque a descrição não estava completa

eu decidi 'deleted 2 critical to quarantine'
deleted quarantine
objects removed total 2

scan summary
mru list, 10 objects total, negligible, 'these objects don't pose a Thread'
alexa, 1 object total, critical, 'alexa has a TAC rating of 5'
tracking cookie, 1 object total, 'tracking cookie has a TAC rating of 3'

6] mwav.exe, eScan antivirus toolkit utility, version 4.6.9
scan option: memory, startup folders, registry, system folders, services, drive, scan all files

total files scanned 48.595
total viruses found 8
total errors 19, devo deletar os errors? como os deleto?

6.1] C:\Documents And Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\WHUB852\0006_regular[1].cab, infected by 'Trojan-Downloader.Win32.IstBar.fz'

6.2] C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\8LYN09Q7\prompt[1].htm, infected by 'Trojan-Downloader.JS.IstBar.b'

ESTES 2 PARECEM SER DO VIRUS QUE BUSCAMOS!

6.3] C:\Program Files\JC-Email Manager 2.9\jcem.exe, infected by 'Flooder.Mail Spa.Directblaster.35'
6.4] C;\Program Files\jcem_full.exe, infected by 'Flooder.Mail Spam.DirectBlaster.35'

ESTES 2 ESTAVAM NO MESMO PROGRAMA QUE EU JÁ DELETEI, NÃO PRECISAMOS NOS PREOCUPAR MAIS COM ELES, POIS NÃO ESTÃO MAIS

6.5] C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\GX2ROT23\classload[1].RBO, infected by 'Trojan.Java.ClassLoader.c'

ESTE É OUTRO TROJAN DIFERENTE!

6.6] C:\Documents and Settings\User New\Local settings\Temporary Internet Files\Content.IE5\8LYN09Q7\MediaTicketsInstaller[1].cab, infected by 'not-a-virus: AdAware.MediaTickets.f'
6.7] C:\Program Files\discador terra\Uninstall.exe, tagged as 'not-a-virus:ToolWin32.Reboot'
6.8] C:\Program Files\netmedic.exe, tagged as 'not-a-virus:Tool.Win32.Reboot'

ESTES 3 PARECEM NÃO SER PROBLEMA, POIS SÃO 'not-a-avirus'

O GRANDE PROBLEMA É QUE O MWAV.EXE NÃO DELETA OS TROJANS QUE ENCONTRA, QUER ME VENDER O PROGRAMA DELE, O QUÊ EU FAÇO? OS TROJANS ESTÃO AI, COMO OS ELIMINAMOS?

7] também em safe mode deletei todos os conteúdos de
C:\Windows\Temp
C:\Documents and Settings\Owner\Local Settings\Temp

restart/neustarten

8] em modo normal de operação, no painel de controle, internet options deletei todo em cookies e temporary internet files

9] fiz mais um scan com o avg

10] fiz mais um hijackthis, veja log abaixo, sabina

muito obrigado novamente
-------------------------

Logfile of HijackThis v1.98.2
Scan saved at 13:44:21, on 8/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
C:\Program Files\POPDiscador\POPDiscador.exe
C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\VITALS~1\Net.Medic\Program\syshook.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\UserNew\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mt2net.com.br:3000/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\PROGRA~1\iGv6\igshop.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [Discador iG] "C:\Program Files\iGv6\Discador iG.exe" boot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [discador] C:\Program Files\Speedy\Speedy 0.98\DISCADOR.EXE
O4 - HKCU\..\Run: [popbanner] C:\Program Files\POPDiscador\POPDiscador.exe --banner
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: Net.Medic.lnk = C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe
O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\PROGRA~1\iGv6\igshop.dll (file missing)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096654570609
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FB004C0-02E4-4D2D-95BB-A40FBDAF4F4F}: NameServer = 200.204.0.10 200.204.0.138

---------------------------------

#6 Hallo@aussurucq

Registry:
<HKEY_CLASSES_ROOT:
apagar:
ISTactivex.Installer

<HKEY_CLASSES_ROOT:
apagar:
ISTactivex.Installer.1

HKEY_CURRENT_USER\Software\
apagar:
IST

HKEY_CLASSES_ROOT:TYPELIB\
apagar:
{8C752C5E-3C10-4076-AF0A-FFC69FA20D1B}\c:\windows\downloaded program files\istactivex.dll

HKEY_LOCAL_MACHINE:Software\microsoft\windows\currentversion\moduleusage\
apagar:
C:/WINDOWS/Downloaded Program Files/ISTactivex.dll\

HKEY_LOCAL_MACHINE:Software\Microsoft\Windows\CurrentVersion\SharedDLLs\
apagar:
c:\windows\downloaded program files\istactivex.dll

para eleminar:
<C:\Documents and Settings\User New\Local settings\Temporary Internet Files\Content.IE5\8LYN09Q7\MediaTicketsInstaller[1].cab
<C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\GX2ROT23\classload[1].RBO, infected by 'Trojan.Java.ClassLoader.c'
<C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

ou isso:

den Internet-Cache komplett per Hand löschen:
Explorer - Rechtsklick auf C:\Windows\Temporary Internet Files\Content.IE5 - Suchen - Starten
Löschen Sie nun alle Dateien außer(exepto) der Datei Index.dat

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
c:\windows\downloaded program files\istactivex.dll
4.) PC neustarten

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
c:\windows\downloaded program files\istactivex.inf
PC neustarten
___________________________________________________________________

Para evitar futuras infeccões:

Firefox (Browser-->Alternativa IE )
http://www.mozilla.org/projects/firefox/

TEST MS-IE 6, SP1

zeigt das Resultat eines einzigen Seiten-Aufrufs im
Die Situation wurde in diesem Fall bewusst herbeigeführt. Die Seite aber ist nicht speziell für Testzwecke
konstruiert, sondern ist nur ein unter vielen, die Schwachstellen des IE ausnutzen.
Als Browser wurde ein
• IE 5.0 (1. Test)
• IE 6, SP1, gepatcht (2. Test)
unter Win98 verwendet.
• Das Bemerkenswerte ist, dass sich die Ergebnisse (Test1, Test2) im Grunde nicht unterscheiden !
Die Sicherheitsstufe war in beiden Versuchen auf "Mittel", also "Auslieferungszustand".

Das Protokoll besteht aus 3 Teilen:
• Modifikationen im System bei/durch den Seitenaufruf
• HijackThis-Log (ausgewertet)
• Virenscan (KAV)

Ein erster Scan mit Ad-Aware nach einem Seitenaufruf lässt schon Böses erahnen:
• 98 (!!) Objekte gefunden 1 Process
• 32 Registry-Schlüssel
• 53 Registry Werte
• 11 Dateien
• 1 Ordne

Resumée:
Der wunde Punkt ist die ActiveX-Technologie und Microsofts "JV Virtual Machine" für Java. Fast alle Malware, Parasiten, Backdoors, etc wurden hier mittels ActiveX auf das System geschleust, ein anderer Teil eben dadurch , dass "JV Virtual Machine" im Browser aktiviert ist. Ersetzt man sie durch Java von "SUN", findet zwar ebenfalls ein Download der Malware statt, jedoch keine Infektion. Generell Java deaktivieren und nur wenn benötigt zuschalten, ist auf jeden Fall ratsam; gänzlich unabhängig vom verwendeten Browser.

In Anlehnung auf einen Browsertest in BILD, möchte ich bemerken, dass ist es eben nicht nur entscheidend ist, wieviele Klicks man benötigt um sein "Lieblings-Bookmark" abzuspeichern oder dergleichen völlig sekundären Dinge. Die Funktionalität der "Browserkonkurrenten" ist ohnehin bestechend gut. Der für mich aber erschreckenste Punkt ist, dass der Anzahl der schadhaftem Elemente, die durch einen Seitenaufruf mit dem IE auf den Rechner gelangen können, keine Grenzen gesetzt sind. Im Grunde reicht ein (falscher) Klick, um das komplette System zu ruinieren und sogar persönliche Daten in Gefahr zu bringen. Ein weiteres Problem ist, dass viele der installierten Elemente im Hindergrund arbeiten und weitere Malware auf den Rechner laden, bzw. Tür und Tor für Angreifer öffnen.
------------------------------------------------------------------------------------
http://inetexplorer.mvps.org/info.htm
When you visit the url *http://snurl.com/1yer* you will be taken to *http://www.pornstarguru.com/page.php?x=329614&m=*
The site is a "game". You visit the page and the owner gets 'cash'; the more hits he (or she) gets, the higher the ranking of the owner, who is hoping to become a 'porn star guru' by getting to the top of the charts.. real kid stuff, but kid stuff with a nasty bite - the pornstarguru site above will try to hijack your home page, hijack your search engine and install SPYWARE that tries to 'phone home'. If you have an older version of IE, or your security settings are wrong, and you do not have a firewall installed it will succeed.

Solche Downloader stecken in aktiven Skripten von war*hier nicht!* oder Pornoseiten-->>IE wenn ActiveX-Control aktiviert ist
Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut
__________
MfG Sabina

rund um die PC-Sicherheit

#7 muito obrigado mais uma vez, sabina

1] tu me pedistes para buscar e deletar 6 files, em 3 keys do registry editor, nenhum deles existe, então nada feito

2] voltei a deletar tudo o possível no cleanmgr, há um item que não consigo deletar 'WebClient/PublisherTemporaryFiles'

3] buscando o file C:\Windows\Temporary Internet Files\Content.IE5\, a resposta é 'unavailable', nada feito

4] hijackthis>config>miscellaneous tools>delete a file on reboot, eu escrevi expressamente C:\Windows\Downloaded Program Files\istactivex.dll\, und neustarten
o trojan continua lá segundo avg, nenhum novidade

muito obrigado
aussurucq

#8 no Modo de Segurança , por favor: (F8 carregar, enquanto o PC reiniciar)

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr

loesche nur:..somente delete

#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
___________________________________________________________________-

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot

3.) copiar isto com rato (lado direito)...não escrever (!)
c:\windows\downloaded program files\istactivex.dll
4.) PC neustarten

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot

3.) copiar isto com rato (lado direito)...não escrever (!)
C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J
4.) PC neustarten

suche "istactivex.dll"
mit diesem Tool:
http://bilder.informationsarchiv.net/GrayGhost/Software/delete_invalid_file.exe

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

depois conta se o teu Antivirus esta mais"content"
__________
MfG Sabina

rund um die PC-Sicherheit

#9 minha amiga sabina, muito obrigado mais uma vez

estou fazendo tudo isso que tu me destes e mais algumas coisas, estou muito interessado em eliminar a merda desse trojan

volto logo a falar contigo, não desisti

aussurucq

------------------------------

my friend sabina, thank you very much once more

i am doing all that that you gave me and some other things, i am very worried in eliminating the shit of this trojan

i ill be back quickly to speak with you, i did not give up

aussurucq

-----------------------------

#10 Hallo@aussurucq

Eu acho que o teu Antivirus é "sensivel" a mais
Quando se faz uma limpeza do disco rigido (Datentraegerbereinigung) no modo de segurança e para todas as contas existentes (User New), os <Temporary Internet Files<
<C:\Documents and Settings\User New\Temporary Internet Files\
ficam vazios

depois deve se também ver , se os Files aqui são de confiança:
<C:\Windows\Downloaded Programm Files\

e assim não deve haver mais Malware
__________
MfG Sabina

rund um die PC-Sicherheit

#11 olá sabina, obrigado mais uma vez

tu estas me dizendo que meu antivirus grisoft está dizendo bobagem? quer dizer que esse trojan não existe? eu te confesso que eu já pensei que talvez não exista, que seja exagero do avg

e agora o quê que eu faço? faço de conta que esse trojan não existe, mesmo que o avg siga me dizendo que sim existe?

eu concordo que pode não existir porque já fizemos de tudo para encontrá-lo e nenhuma tool o encontra, o qual faz pensar que há alguma coisa estranha

eu não só fiz tudo que tu me destes, eu apliquei outras tools também que eu consegui, e nenhuma encontra nada

o quê tu farias, esquecer e continuar?

estou completamente de acordo contigo que depois de todas as limpezas que eu já fiz não deveria haver mais nada, a bobagem é que o avg continua dizendo que está ali

te conto as últimas coisas que fiz:

1] fiz tudo sempre só em safe mode
no downloaded program files, há um file meio suspeito 'WUWebControlClass' = que quer dizer 'windows update web control class', é um programa da microsoft, diz que é 'type: ActiveX Control', me chamou a atenção porque isso de 'ActiveX' se parece com o trojan 'istactivex.dll'
não o deletei por medo de criar problema
tu deletarias esse?

2] run>cleanmgr, de novo deletei temporary internet files e cookies, no clean up disk
me diz uma coisa, sabina: 'dateien' em alemão é cookies?

3] tentei 'delete file on reboot' com o hijackthis no safe mode, mas os files que eu quero deletar meu computador não os reconhece porque diz que não os tem, diz 'this path does not exist' e não pode posso fazer nada

aqui tem uma coisa que tu me dizes que me confunde: 'copiar com o mouse, rightclick=rechtsklicken, não escrever'
eu não posso fazer nada disso, quando quero 'delete file on reboot', tenho uma caixa 'enter file to delete on reboot' , eu só posso escrever ali o nome completo do file que vou delete

se eu conseguisse encontrar o file com o trojan, o deleto manual e fim, acabou
mas não encontro nenhum file com istactivex, ou istbar
já tentei com vários endereços=paths parecidos e não aparece nada

o avg diz que o trojan está em "C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll\"

buscando manualmente encontrei "C:\Documents and Settings\User New\Local Settings\Temp\Temporary Internet Files\Content.IE5\"
o curioso é que pedindo para encontrar, o windows não encontra este file, o que o faz suspeito
mas esse último folder 'Content.IE5' tem dentro um único file "index.dat" de 32 Kb, que tu mesma me dizeste que eu não delete
tu queres deletar ste file?
posso deletar o 'index.dat'?

e agora o quê tu me dizes?

aussurucq

#12 Hallo@aussurucq

#o 'index.dat' nunca mexe !!!!!!!!!

#se lá no :\Documents and Settings\User New\Temporary Internet Files\Content.IE5\
não haver mais nada...está tudo limpo.

#"Dateien" são : Files , exe, dll.....

#se o eScan também não encontrou mais nada ...oPC está realmente limpo

#isto era para copiar no HijackThis (para ter a Garantia, que o Pfad está correcto, ....escrevendo as vezes dá erros .

#C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J

Giant-Antispyscanner [15 Tage free]
http://www.giantcompany.com/(lfkvww55pduddm45u110ti45)/download.aspx?skip=true&prodID=70
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hallo sabina, hoje as coisas pioraram, por incrível que pareça

meu antivirus grisoft avg apareceu hoje com um pacote grande de atualização, é claro que fiz o download, então descubro que se tornou mais esperto ainda

agora diz que eu tenho 3 arquivos com virus + o velho trojan que já conhecemos
o novo vírus se chama Java/ByteVerify e são todos os 4 'infected embedded objects', que o avg não pode remover nem pôr em quarentena

os 3 novos arquivos infectados são
a] C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\GX2ROT23\classload[1].RBO\GelAccess.class
b] tudo igual, só a última parte é ...\InsecureClassLoader.class
c] tudo igual, só a última parte é ...\Installer.class

veja que a 1ª parte destes 3 files é igual ao início do arquivo que tem o trojan, ou seja os 4 files começam com 'C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\...

quer dizer que os 4 estariam no mesmo folder, mas nem eu nem a função 'search' os encontram

outra coisa interessante é que o único lugar em que encontrei 'Content.IE5' foi no 'C:\Documents and Settings\User New\Local settings\Temp\Temporary Internet Files\Content.IE5'

lembra este folder que tem só o file 'index.dat'?

mas a diferença está em que este folder tem '\Temp\' e os infectados não

o quê que eu faço? começo a aplicar os tools de scan que tu já me destes?
ou tento encontrar outra ajuda buscando no google? ou faço de conta que não tenho nenhum vírus nem nenhum trojan, e continúo minha vida?

mit freunlichem grüssen
aussurucq

#14 Hallo@aussurucq

1) Start --> Run --> typ ein: %systemroot%/temp
2) Start --> Run --> typ ein: %temp%

#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

saeubere den PC
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/

Eu vejo só uma solução: manda o problema directamente para o mail do apoio do teu Virenscanner . E espera o que eles dizem.
Depois conta me.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 olá sabina, felizmente meu problema acabou, consegui depois de 13 dias eliminar o vírus e o trojan

não sei exatamente qual tool foi que os limpou, mas acredito que foi quando deletei tudo o que encontrei com as 2 sugestões que tu me destes aqui acima no último topic teu 'start>run>%temp%' e a outra

tambem fiz quase junto
tds-3 com o avg disabled + safe mode
'clearprog'
[tune up não consegui download]

só posso te agradecer tudo que tu fizestes por mim
MUITO OBRIGADOOOOOO!!!!

tenho um lindo cartão de natal que posso te mandar, se me envias um e-mail ao <tool_eng_hugo@rodrigo.pro.br>

obrigadaço,
aussurucq