Vraag & Antwoord

Beveiliging & privacy

Trojan Downloder IstBar niet weg te krijgen

11 antwoorden
  • Hallo, Wie weet raad? Ik heb al vanalles geprobeerd om de Trojan Downloader.JS.IstBar.b van mijn computer te verwijderen. Kaspersky vindt deze Trojan op: C:\Documents and Settings\Dhr.Smolders\Local Settings\Temporary Internet Files\Content IE5\418NW3G3\prompt[1]php/prompt[1] Ik heb Coolwebschredder, Spybot en Destroy, Ad-Aware 6.0 er overheen laten lopen. Geen resultaat. Kaspersky vindt hem steeds weer. Als ik in verkenner kijk, en heb volgens mij alle verborgen bestanden zichtbaar, zie ik bij Temporary Internet Files geen map Content IE5 waar die zg. Trojan in kan zitten. Hoe kan dit? Hieronder de Hijacklog: Logfile of HijackThis v1.98.2 Scan saved at 13:40:55, on 29-12-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\WF2K.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Preventon\Personal Firewall\PFwall.exe C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: FileUploader - http://webcenter.lycos.nl/account/tool/photoalbum/fileuploader.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/bridge-c11.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install3.0/Installer.exe O16 - DPF: {DC1FB1EB-BF1E-4C34-8A0A-A2C743CF44E7} (HTMLClientExtension Control) - https://bankieren.rabobank.nl/raip/appl700/HTMLClientExtension.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4402/mcfscan.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab Wie kan me helpen? Alvast bedankt. Jan.
  • Laat alle verborgen bestanden weergeven: [i:113e152263]Start > instellingen > configuratiescherm > Mapopties > tabblad Weergave > klik "verborgen bestanden en mappen weergeven" Verwijder het vinkje bij Extensies voor bekende bestandstypen verbergen en "Beveiligde besturingssysteembestanden verbergen (aanbevolen)"> OK[/i:113e152263] Herstart naar de veilige modus: [i:113e152263]Zodra de computer klaar is met het laden van de BIOS (zwarte scherm en witte letters), tap op de F8 toets totdat je in het Windows option menu terechtkomt. Kies hier voor opstarten in veilige modus (Safe mode).[/i:113e152263] Gooi nu deze map helemaal leeg: C:\Documents and Settings\Dhr.Smolders\Local Settings\Temporary Internet Files Herstart de pc en plaats een nieuwe hijackthislog.
  • Open je verkenner en kopieer en plak het volgende in je adresbalk: C:\documents and settings\Dhr. Smolders\local settings\temporary internet files\content.ie5
  • Ik heb het hele handeltje in Content IE5 weggegooid, behalve het bestand Index.dat van 5.872 KB groot en desktop.ini van 1 Kb. Dit krijg ik niet weg. Ook niet in de veilige modus. Als ik de computer weer opstart komen al die mappen in Content IE5 weer terug, totale grootte 11,5 MB. Ik moet die map Content IE5 op het scherm krijgen met de adresregel. Op een andere manier, ook niet met het aanpassen van de weergave, krijg ik deze niet zichtbaar. De Trojan IstBar is gelukkig weg. Waar dient die map Content IE5 eigenlijk voor? Hieronder een nieuwe log: Logfile of HijackThis v1.98.2 Scan saved at 21:14:36, on 30-12-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\WF2K.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Preventon\Personal Firewall\PFwall.exe C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: FileUploader - http://webcenter.lycos.nl/account/tool/photoalbum/fileuploader.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/bridge-c11.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install3.0/Installer.exe O16 - DPF: {DC1FB1EB-BF1E-4C34-8A0A-A2C743CF44E7} (HTMLClientExtension Control) - https://bankieren.rabobank.nl/raip/appl700/HTMLClientExtension.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4402/mcfscan.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab Kan hier nog wat van weg? Virtools WebPlayer kan ik niet thuis brengen. Bovendien staan er in Configuratiescherm - Software een aantal regels: My Quick Search Bar, zonder inhoud Outlook Tools by Hotbar, 0,48 MB Shopper Reports Adapter 0,48 MB Web Browser Tools by Hotbar 0,48 MB die niet weg te krijgen zijn, ook niet in de Veilige Modus. Graag bericht, wat te doen. Alvast bedankt, Jan.
  • Deze log ziet er goed uit. Een goed programmatje om die contentIE5 te verwijderen+index.dat is [url=http://www.ccleaner.com/]Ccleaner[/url]. Het verwijdert alle overbodige bestanden van je systeem zoals je temp-files etc.. Kijk alvast eens op de site voor meer info. :wink:
  • Kan het echt geen kwaad als ik ccleaner gebruik? Ik heb het programmaatje gedownload. Voorzichtig heb ik een aantal vinkjes weggehaald. Ik liet het programma lopen en zag tot mijn grote verbazing heel veel bestanden verdwijnen. Kreeg het effe warm en hoop dat alles het nog doet. Is er ergens een Nederlandstalige gebruiksaanwijzing? Vriendelijk dank. Jan
  • Hoef je echt geen zorgen in te maken... dit zijn allemaal overbodige bestanden die verwijderd worden die je echt niet nodig hebt. Je mag zelfs alle vinkjes aanlaten. Ja, Ccleaner kan je in het nederlands zetten. Klik bovenaan op options, kies daar de 2e tab en selecteer daar Dutch. :wink:
  • Is deze veiligheid ook bij de tabbladen: - Fouten: Register Integriteit en Bestand Integriteit - Applicaties: Multimedia, Windows, Utilities en Internet? Vraag het nog maar effe voor zekerheid. Jan
  • Ja, ik maak daar ook gebruik van. Heeft nog geen probleem veroorzaakt. Heb alles aangevinkt. Vooraleer deze items effectief te verwijderen is er wel een optie tot backup.. dus in geval van problemen kan je gewoon die backup terugzetten. Maar zoals ik zeg.. ik heb er nog nooit geen problemen mee ondervonden. :wink:
  • Onderstaande mag je ook nog fixen: [b:d349a21be3]O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/bridge-c11.cab [/b:d349a21be3] Sjaak
  • Op de eerste plaats: iedereen een fantastisch en computervriendelijk 2005. Ik heb bridge-c 11.cab gefixed.. Graag even de volgende log nakijken. Kunnen we hier mee leven? Logfile of HijackThis v1.98.2 Scan saved at 21:15:33, on 1-1-2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\WF2K.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Preventon\Personal Firewall\PFwall.exe C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install3.0/Installer.exe O16 - DPF: {DC1FB1EB-BF1E-4C34-8A0A-A2C743CF44E7} (HTMLClientExtension Control) - https://bankieren.rabobank.nl/raip/appl700/HTMLClientExtension.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4402/mcfscan.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab Alvast hartelijk dank. Jan.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.