WAS IST YOURSIDEBAR?

Hallo Nicole410 !

Zur "yoursidebar" ist wenig zu finden. Deshalb zunächst ein paar Vorabfragen bzw. Punkte zu abarbeiten:

- welches Betriebsystem (Windows 98,2000,Windows-XP?)
- welche Browser Version (Internet-Explorer 6.0,
  Mozilla, Mozilla-Firefox etc.)
- Mail Programm (Outlook-Express 6, Outlook 2002,
  Thundebird usw.)

Welchen AV-Scanner verwendest Du ?

Mach zur doppelten Sicherheit einen 2.AV-Scan mit einem Online-AV-Scanner aus dieser Liste, sind alle
kostenlos:
http://malware.bul-online.de/av_onlinescan.php
Gut sind z.B. F-Secure  oder TrendMicro.
Was sagen die ?

Dann auf jeden Fall Ad-aware (V.1.05) und Spybot (V.1.3) herunterladen und aktualisieren.
Diese bekommst du z.b. hier unter
http://www.chip.de/downloads/c_topdownloads_8949629.html
(Nr. 5 + 8 ).
checken lassen, was sie finden. Kannst Du anschliessend problemlos deinstallieren, wenn es z.B. auf einem Arbeitsrechner nicht gewünscht wird.

- dann dir das Tool hijackthis von dieser Seite
  (wird dort auch erklärt) http://www.hjt.klaffke.de/
  herunterladen in einem eigenen Ordner.
  Dann einen Scan machen und die Logfile,dh. das
  Ergebnis hier posten zur Analyse.

Dann kann man das Problem besser eingrenzen.

Logfile of HijackThis v1.99.0
Scan saved at 17:22:01, on 02.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\ATMsrvc.exe
C:\WINNT\system32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Program Files\Windows AdStatus\WinStat.exe
C:\Program Files\Cibhm\Raczot.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\WINNT\system32\internat.exe
C:\Programme\Adobe Type Manager\atmfm.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\QuarkXPress Passport\QuarkXPress Passport.exe
C:\Programme\vivaanzed\viva-adeditor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\nspengler.GUT\Desktop\1\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://149.221.250.87/mslogin/Login.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sapro.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=1001693
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Sapro GmbH
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = sapro-proxy01:8080
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll (file missing)
O4 - HKLM\..\Run: [ciceroup] c:\ciceroup.bat
O4 - HKLM\..\Run: [subst] c:\subst.bat
O4 - HKLM\..\Run: [vivalock] C:\Programme\vivaanzed\locktimer0.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\system32\SahAgent.exe
O4 - HKLM\..\Run: [¢ª¸ï0/4»}Ï   “x”ŸC:\Programme\ISTsvc\istsvc.exe] C:\WINNT\qyctlv.exe
O4 - HKLM\..\Run: [Eucgf] C:\Program Files\Cibhm\Raczot.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Type Manager Deluxe 4.1.lnk = C:\Programme\Adobe Type Manager\atmfm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mrv.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D658A2F-C852-44D7-B4BC-153F48BA907C}: Domain = sapro.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D658A2F-C852-44D7-B4BC-153F48BA907C}: NameServer = 129.162.24.60,129.1.21.12
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mrv.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = mrv.de,sapro.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D658A2F-C852-44D7-B4BC-153F48BA907C}: Domain = sapro.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D658A2F-C852-44D7-B4BC-153F48BA907C}: NameServer = 129.162.24.60,129.1.21.12
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mrv.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = mrv.de,sapro.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{0D658A2F-C852-44D7-B4BC-153F48BA907C}: Domain = sapro.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{0D658A2F-C852-44D7-B4BC-153F48BA907C}: NameServer = 129.162.24.60,129.1.21.12
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = mrv.de,sapro.com
O23 - Service: ATM Service - Adobe Systems Incorporated - C:\WINNT\System32\ATMsrvc.exe
O23 - Service: CA License Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

Das ist leider das einzige eas geklappt hat. Was soll ich denn jetzt machen?
Denn wenn ich den Rechner starte, kommt immer folgende Fehlermeldung:
c/winnt/system32/cmd.exe
c:winnt/system32/Autoexe.nt
nicht geeignet um Anwendungen für dos ode. Windows auszuführen.
Das stört einige Programme, ich denke das liegt mit diesem Ding zusammen oder?
Und nun? ???

Trage dein LOG mal hier ein und lass es auswerten , dann Hinweisen folgen :
http://www.hijackthis.de/

OH weih, das habe ich gemacht, da kamen einige "BÖSE" Sachen. Ich habe den gespeichert. Und jetzt?
http://www.hijackthis.de/logfiles/1c2fa01d817d82f3f9c4dd4edefae268.html

Danke nochmal!

Hallo nicole410 !

Ich sitze auch gerade an der Auswertung, wobei man mit dieser o.g. automatischen Auswertung sehr vorsichtig sein muß. Nicht alles ist da wirklich gefährlich und viele Dinge müssen manuell erarbeitet werden. HJT ist soweit wunderbar, aber hat auch seine Grenzen. Gerade beim löschen muss man sehr vorsichtig damit umgehen.

Problem ist auch hier, daß es sich offenbar um einen Arbeitsrechner deiner Firma handelt,dh. so manche Dinge sind da bewußt installiert worden, die man so als Privat nicht hätte oder nicht in dieser Form.

Das schlimmste am Anfang, was ich sehe, ist ein IE v.5.0. Dieser ist total out of date, da gab's mal den  v 5.5 vor Jahren und nun den aktuellen v 6.0.   Wer immer für diese Schlamperei (du sicherlich nicht) verantwortlich ist, aber da fehlen einem die Worte.
Oder es gibt ganz starke betriebliche Gründe, denn bei  Version 5.0 zu belassen, aber kann ich kaum glauben.

Nun zum fixen (= löschen), dh. links einfach anhaken und dann unten links FIX CHECKED  drücken.
 Ich nenne Dir jetzt nur die absolut 100%ig sicheren Sachen zum löschen. ok. Es gibt da Dinge, die ich so als Aussenstehender nicht beurteilen kann und die evlt. vom Systemadministrator auch so gewollt sind.

Also lösche/fixe:


1. R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=1001693

2. O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

3. O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)

4. O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll (file missing)

5. O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe

6. O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\system32\SahAgent.exe

7. O4 - HKLM\..\Run: [¢ª¸ï0/4»}Ï “x”ŸC:\Programme\ISTsvc\istsvc.exe] C:\WINNT\qyctlv.exe

Diese sieben Stück also fixen.

Die weiteren Einträge ab

O14 - IERESET.INF: SEARCH_PAGE_URL=

bis zum Schluß würde ich im Moment nicht anfassen.

Dies gehört höchstwahrscheinlich zum Firmencomputer und ist nicht deine Aufgabe, da was zu ändern.

Ausserdem solltest Du nach dem o.g. Fixen auch einen
AV-Scan im sog. abgesicherten Modus machen.
Du hast ja CA-Computer Associates als AV-Programm und ist auch soweit ok. Nur nicht das updaten vergessen.

Wie kommst du in den abgesicherten Modus?
siehe: http://www.bsi.bund.de/av/texte/wiederher.htm

d.h. Du schaltest zunächst den PC aus und startest ihn wieder. Dabei drückst du mehrfach die Taste F8 bis du in den sog. abgesicherten Modus kommst bzw. diesen wählst du oben aus und dann mit ENTER bestätigst.

Dann kannst Du hinterher mit dem AV scannen, was der noch findet, denn da ist auf jeden Fall auch ein Trojaner mit drauf.

Poste auf jeden Fall hinterher nochmals das neue
HJT-Log + evtl. das Ergebnis vom AV-Scanner.

Viel Erfolg.

Danke, Danke,
Ich habe diese Dateien jetzt gefixt, aber bevor ich in den abgesicherten Modus gehe, wollte ich nocheinmal nachfragen, ob ich jetzt weiter nichts machen muss, denn nach diesem Fixen ist das Fenster wieder ganz leer. Muss ich das Programm jetzt einfach schließen? oder noch was drücken?

Gruß Nicole

Hallo nicole !

Du kannst jetzt das HJT-Fenster einfach schliessen bzw. beenden.
Du hast nun gefixt, dh. gelöscht. Mehr kann man im Moment nicht tun.

Nun kommt der AV-Check zur Ergänzung. HJT-Check alleine genügt nicht.

Evlt. kommen  einige Einträge zurück (wollen wir mal nicht hoffen).

Deswegen immer mit einem AV-Scanner cleanen im abgesicherten Modus und dann das AV-Protokoll und ein neues HJT-Log zum 2.Male machen.

Dann sehen wir weiter.

Hallo Nicole !

Ist nun 19:50 Uhr und wohl noch am scannen. Sowas dauert immer etwas.
Muß nun weg, um andere Dinge zu erledigen.
Poste aber auf jeden Fall das AV-Ergebnis (nur dieses,nicht das gesamte AV-Log.Das sind oft seitenlange Berichte) und dann nochmals das neue 2. HJT-Log wie oben.
Warum bei dir Ad-ware + Spybot nicht geht, ist mir auch ein Rätsel. Diese Instrumente gehen überall, egal ob auf betrieblichen PC's oder auf Privat-PC's. Evlt.
hinterher in Ruhe nochmals versuchen diese downzuloaden.

Schaue mir das dann morgen an.  Bis dann :-)

PS: aber vielleicht haben ja auch die werten Mitleser/innen dann noch neue zündende Ideen.
Nur keine Hemmungen bei der Bekämpfung  :-)

Hallo, ich kann leider nicht im abgesicherten Modus starten und mich nicht anmelden. Er schreibt, das nur der Administrator dazu berechtigt ist.
Nach einem Neustart sind leider immer noch alle Programme trauf, und ich bekomme sie immer noch nicht gelöscht. Aber wenn ich so den Av drüber laufen lasse, zeigt er mir keinen Virus.
Was nun? Ich hoffe du kannst mir noch irgendwie helfen.

Gruß Nicole

Guten Morgen, Nicole !

Übel, übel...aber leider setzt dieser Trojaner- und yoursidebar-Befall zwingend einen Scan im abgesicherten Modus voraus.
Da es ja ein PC vom Arbeitgeber ist, hatte ich schon befürchtet, daß die Angestellten dann nur mit eingeschränkten PC-Rechten arbeiten dürfen. Das ist die normale Regel.
Nur der Systemadministrator ist zum vollen PC-Zugriff berechtigt und dazu gehört leider ua. auch der Start im  abgesicherten Modus, Installierung neuer PC-Programme, Windows-Updates usw.
Damit will man eben sicher stellen, daß das gesamte PC-Netzwerk untereinander auch voll harmoniert. Denn Du hast auf deinem PC ein paar Dinge, die man als privat so nicht  bzw. anders gemacht hätte.

Du hast definitiv auch einen Trojaner (womöglich schon seit langer Zeit, Datum ist hier nicht erkennbar) drauf und zwar die
 C:\Program Files\Windows AdStatus\WinStat.exe
ist mit dem Trojaner KODorjan befallen.
siehe z.B. auch:

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453075918
oder

http://www.greatis.com/appdata/dw.htm#winstat.exe

(= winstat.exe Steals passwords / ICQ trojan
Displays a Firework and simultanlously starts in the background. Sends the passwords encrypted via e-mail).

Dieser ist somit hochgefährlich und gräbt sich tief ins System ein, um nicht entdeckt zu werden.
Da ist dein YOURSIDEBAR-Problem eher nur ein nerviges optisches Problem.

Deswegen musst du einfach im abgesicherten Modus starten können (was dir leider nicht erlaubt ist) und würde hier auch zusätzlich die sog. "geschützten Systemdateien" für den AV-Scan öffnen etc.; aber auch dies kannst Du alles nur mit vollen Zugriffsrechten. Sonst keine Chance da ran zu kommen. Dies ist Aufgabe des Systemadministators.

So leid es mir tut, aber ich würde aufgrund des o.g. Trojanerbefalls (dieser mit Backdoor-Funktion) den PC sofort vom Netz nehmen und diesen vom Systemadministators komplett überprüfen lassen.
Dabei kannst Du ihn auch beiläufig fragen, warum ihr/du immer noch mit dem IE 5.0 ausgestattet werdet.
Wie gestern gesagt, total out-of-date. Wenn schon IE, dann mindestens den aktuellen IE 6.0 und auch diesen nur mit Bauchschmerzen (auch wenn ich mein BS sonst voll gepatcht habe).
Leute, die professionell sind, arbeiten mit Alternativen wie Mozilla, Firefox etc. (obwohl es da auch gewisse Probleme gibt und nicht 'unbeschränktes Surfen erlauben'. Diesen Trojaner hättest du mit Firefox genauso bekommen). Mir ist da durchaus bewußt, daß gerade bei Firmennetzwerken man nicht immer so einfach vom IE wegkommt und umgestellt, da oftmals viele andere Software sehr eng damit verknüpft sind.

Ein "guter Systemadministrator" ist eben auch auf der Höhe der Zeit, dafür werden sie bezahlt.

Tut mir leid, dir nicht was positiveres sagen zu können. Aber hier sind leider deine Grenzen (= bewußt eingeschränkte Benutzerfunktionen) erreicht. Nur der Systemadministrator hat hier Vollzugriff und der ist hier unbedingt nötig.


PS: bevor du den PC dann wegbringst, kannst du ja
    vorher auch noch deinen HJT-Ordner löschen.
    Nicht das du zusätzlichen Streß bekommst und
    man dir vorwirft, du hättest an PC-Programmen
    versucht, etwas zu ändern  :-)