Wie werde ich TR/IstBar.S los?

#1 AntiVir findet bei mir immer folgenden Trojaner: TR/IstBar.S
Er kann aber nicht löschen, da er in einem Archiv ist. Was das auch immer bedeuten mag.
Habe schon alle möglichen Programme wie Adaware oder Spybot drüberlaufen lassen. Hat aber auch nix gebracht.
Bin um jede Hilfe dankbar.

Hier mein hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 22:00:19, on 05.02.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\System32\Drivers\SAP\FD.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\FRITZ!DSL\awatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Christian\Desktop\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ju-groebenzell.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [FD_SAP] C:\WINNT\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - Global Startup: ADSLWatch.lnk = C:\Programme\FRITZ!DSL\awatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: iFinger (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .de/tum-td/de/studium/lehre/waerme_u_stoff/download/HaiTiH/Gruppenbrief: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37940.4127314815
O17 - HKLM\System\CCS\Services\Tcpip\..\{85DE4CE0-E932-42DF-BFB5-02261990110D}: NameServer = 192.168.122.252,192.168.122.253

#2 Fixe das mal:

O13 - WWW. Prefix: http://ehttp.cc/?

und loesche dann deinen IE cache und dein temp Ordner. Geht ganz gut mit Hilfe der Datentraegerbereinigung. Zu finden unter Start/Alle Programme/Zubehoer/Systemprogramme(Ich hoffe Win2000 hat das auch! )
__________
MfG Ralf
SEO-Spam Hunter

#3 Hat leider nix geholfen. AntiVir sagt weiterhin, dass in "C:\Dokumente und Einstellungen\Christian\..\OG59T9J6" die Datei "MaConnect[1].cab...MaConnect.dll" mit dem TR/IstBar.S infiziert ist. Was kann ich noch machen?

#4 Hi,
also ich hab nach AntiVir (selbe Meldung) meinen Temporary Internet Files Ordner erst über die Internet-Optionen und dann manuell nochmal komplett geleert...dann war die Meldung, und hoffentlich auch der Trojaner weg...
HTH,JBond

#5 Vielen Dank für die Hilfe. Hab ihn mittlerweile auch los. Entscheidend war bei mir, dass beim Löschen der Temporary Internet Files die Offlininhalte anghakt waren.

#6 Moin,
ich habe diesen Trojaner laut Antivir auch drauf. Ich habe die Tempdateien gelöscht, per Hand und auch in den Optionen die Offlineinhalte angehakt. Das Pferd bleibt hartnäckig und will nicht weg!
Gibts noch etwas, was ich tun kann?
nenkaj

#7 Ja, wo genau findet Antivir diese Datei?
__________
MfG Ralf
SEO-Spam Hunter

#8 Hallo,
ich habe gerade nachgesehen: 18 kb große Ma.Connect[1].cab Datei, eine WinZip-Datei, in den Temporary Internet Files.
Ich lösche den Tempordner regelmäßig jeden Abend, aber gerade sagt mir AntiVir, dass die verseuchte Datei immer noch da ist. Gelöscht oder repariert werden kann sie nicht, da im Archiv.
nenkaj

#9 Du solltest das komplette Archiv loeschen koennen(vorher alle Browserfenste und den AV Guard schliessen). Danach schaue, ob du im Hijackthis log einen Eintrag unter "O16" mit dieser Datei stehen hast, wenn dann bitte anhaken und "fix"en.
__________
MfG Ralf
SEO-Spam Hunter

#10 Nabend..öhm ja hab das pferdchen auch drauf und hab auchschon über Datenträgerbereinigung alles gelöscht wie ihr gesagt habt, aber er ist immernoch da! Der Trojaner ist im Archiv Recent..ich weiß auch wo das is aber soll ich das wirklich komplett löschen? Da sind noch tausend andere dateien drin...also wär nett wenn ihr mir den letzten Beitrag besser erklären könnt...soll ich erst den Prozess von AV Guard beenden oder wie? Also ich hab das so verstanden, das ich erst den Prozess beenden muss dann halt alle Browserfenster schließen soll(ich denk damit sind halt alle, zur zeit geöffneten, fenster gemeint, oder?) und dann das komplette archiv (recent) löschen soll..und dann halt die ganze geschichte mit Hijackthis...ist das so richtig? Oder kann was passieren wenn ich Recent lösche?

#11 Gehe einfach hin und benenne diese Datei um, oder verschiebe sie in ein Extra Verzeichniss.
__________
MfG Ralf
SEO-Spam Hunter