Istbar (Adware)

[Ruby]

Adware.Istbar
Definition und Entfernungsanleitung

(Deutsche Übersetzung der security response
u. Übernahme der Anleitung von spyware-removal-guideline)

Letztes Update: 28. Mai 2005
Typ: Adware

Name: ISTsvc.exe (Adware.Istbar!Dl)

Hersteller: Integrated Search Technologies/CDT Inc
Infizierte Systeme: Windows 2000, 95, 98, Me, NT, Windows Server 2003, XP

Risiko: Hoch

Technische Details:
Datei-Namen: ISTsvc.exe; IstBar_DH.dll; ysbactivex.dll; sfbho.dll; sfexd001; sidefind.dll; istrecover[1].exe; istbar.dll; ysb.dll; istbarcm.dll; ISTactivex.dll; istdownload.exe; sidefind.exe; sfsetup.exe; sfbho.dll; ysb(2).dll; cmctl.dll; istbarcm.dll; juhpad.exe; ysbactivex(3).dll; ysb_regular[1].cab; gjefpet.exe

Wenn die Adware.Istbar installiert wird, macht sie folgendes:

o 01 Sie erstellt folgende Files und Ordner:

* %ProgramFiles%\ISTsvc\ISTsvc.exe
* %ProgramFiles%\SideFind\sfbho.dll
* %ProgramFiles%\SideFind\sidefind.dll
* %ProgramFiles%\SideFind\sfex001
* %ProgramFiles%\SideFind\update\sidefind.exe
* %ProgramFiles%\YourSiteBar\ysb.dll
* %ProgramFiles%\YourSiteBar\imagemap_normal.bmp
* %ProgramFiles%\YourSiteBar\version.txt
* %ProgramFiles%\YourSiteBar\yoursitebar.xml
* %System%\gjefpet.exe
* %%Windir% \Downloaded Program Files\ysbactivex.dll
* %UserProfile%\Favorites\Fun & Games, 'tropft' zahllose Link Files in diesen Ordner
* %UserProfile%\Favorites\Going Places, 'tropft' zahllose Link Files in diesen Ordner
* %UserProfile%\Favorites\Living, 'tropft' zahllose Link Files in diesen Ordner
* %UserProfile%\Favorites\Shop, 'tropft' zahllose Link Files in diesen Ordner
* %UserProfile%\Favorites\Technology, 'tropft' zahllose Link Files in diesen Ordner

Hinweis:
* %ProgramFiles% ist eine Variable des jeweiligen Programm-Ordners: C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).
* %Windir% ist eine Variable des jeweiligen Windows Ordners: C:\Windows (Windows 95/98/Me/XP) oder C:\Winnt (Windows NT/2000).
* %UserProfile% ist eine Variable des jeweiligen Benutzer Kontos: C:\Documents and Settings\[Current User] (Windows NT/2000/XP).

o 02 Fügt folgende Werte:

"IST Service" = "C:\Program Files\ISTsvc\ISTsvc.exe"
"[5 random ASCII characters]" = "[path to adware]"

diesem Registry Schlüssel zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

so dass die Adware mit dem Systemstart aufgestartet wird.

o 03 Fügt folgende Werte:

"SearchAssistant" = "[Web site on the couldnotfind.com domain]"

diesem Unterschlüssel zu:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search

so dass eine Suche auf die "couldnotfind.com domain" gerichtet wird.

o 04 Erstellt etliche Registerierungseinträge.

o 05 Fügt folgende Werte:

"Bandrest" = "Never"
"Search Bar" = "[Web site on the couldnotfind.com domain]"
"Search Page" = "[Web site on the couldnotfind.com domain]"
"Search Page_bak" = "[Web site on the microsoft.com domain]"
"Start Page" = "[Web site on the slotch.com domain]"
"Start Page_bak" = "file:/ //C:/WINNT/Web/Start.htm"
"Use Search Assistant" = "no"

diesem Unterschlüssel zu:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

um die Start- und Suchseiten umzuleiten.

o 06 Fügt folgenden Wert:

"Bandrest" = "Never"

diesem Unterschlüssel zu:

HKEY_LOCAl_MACHINE\Software\Microsoft\Internet Explorer\Main

o 07 Kann eine Toolbar für den Internet Explorer erstellen oder Popups mit pornographischem Inhalt wiedergeben.

o 08 Erlaubt Dritten Adware und Spyware auf dem Rechner zu installieren.

Manuelle Entfernung aus der Registry

Lade den CCleaner runter,
setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen
und drücke dann auf "Starte Cleaner".

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

1. Klick START > ausführen.
2. (schreib) regedit > OK.

3. Navigiere zu dem Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

Lösche auf der rechten Seite folgende Werte, wenn es sie gibt:

"IST Service" = "C:\Program Files\ISTsvc\ISTsvc.exe"
"[5 random ASCII characters]" = "[path to adware]"

4. Navigiere zu dem Schlüssel:

HKEY_LOCAl_MACHINE\Software\Microsoft\Internet Explorer\Main

Lösche auf der rechten Seite, diesen Wert, wenn es ihn gibt:

"Bandrest" = "Never"

5. Navigiere zu und lösche folgende Schlüssel, wenn es sie gibt:

HKEY_LOCAL_MACHINE\Software\ISTsvc
HKEY_LOCAL_MACHINE\Software\ISTbar
HKEY_LOCAL_MACHINE\Software\Sidefind
HKEY_LOCAL_MACHINE\Software\YourSiteBar
HKEY_LOCAL_MACHINE\Software\Microsoft\Sidefind
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager
HKEY_CURRENT_USER\Software\IST
HKEY_CURRENT_USER\Software\ISTbar
HKEY_CLASSES_ROOT\ISTbar.BarObj
HKEY_CLASSES_ROOT\BrowserHelperObject.BAHelper
HKEY_CLASSES_ROOT\BrowserHelperObject.BAHelper.1
HKEY_CLASSES_ROOT\SideFind.Finder
HKEY_CLASSES_ROOT\SideFind.Finder.1
HKEY_CLASSES_ROOT\Pugi.PugiObj.1
HKEY_CLASSES_ROOT\Pugi.PugiObj
HKEY_CLASSES_ROOT\YSBactivex.Installer.1
HKEY_CLASSES_ROOT\YSBactivex.Installer
HKEY_CLASSES_ROOT\Ysb.YsbObj
HKEY_CLASSES_ROOT\Ysb.YsbObj.1
HKEY_CLASSES_ROOT\ISTactivex.Installer
HKEY_CLASSES_ROOT\ISTactivex.Installer.1
HKEY_CLASSES_ROOT\ISTactivex.Installer.2
HKEY_CLASSES_ROOT\TestContentMatchControl1.ContentMatchTag
HKEY_CLASSES_ROOT\TestContentMatchControl1.ContentMatchTag.1
HKEY_CLASSES_ROOT\ISTx.Installer
HKEY_CLASSES_ROOT\ISTx.Installer.2
HKEY_CLASSES_ROOT\CLSID\{FAA356E4-D317-42A6-AB41-A3021C6E7D52}
HKEY_CLASSES_ROOT\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7}
HKEY_CLASSES_ROOT\CLSID\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}
HKEY_CLASSES_ROOT\CLSID\{5F1ABCDB-A875-46c1-8345-B72A4567E486}
HKEY_CLASSES_ROOT\CLSID\{771A1334-6B08-4a6b-AEDC-CF994BA2CEBE}
HKEY_CLASSES_ROOT\CLSID\{42F2C9BA-614F-47c0-B3E3-ECFD34EED658}
HKEY_CLASSES_ROOT\CLSID\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}
HKEY_CLASSES_ROOT\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}
HKEY_CLASSES_ROOT\CLSID\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}
HKEY_CLASSES_ROOT\CLSID\{DC341F1B-EC77-47BE-8F58-96E83861CC5A}
HKEY_CLASSES_ROOT\CLSID\{7C559105-9ECF-42b8-B3F7-832E75EDD959}
HKEY_CLASSES_ROOT\Interface\{A36A5936-CFD9-4B41-86BD-319A1931887F}
HKEY_CLASSES_ROOT\Interface\{DC065FA6-08F9-4C50-99DC-275D16CFC5BD}
HKEY_CLASSES_ROOT\Interface\{339D8AFF-0B42-4260-AD82-78CE605A9543}
HKEY_CLASSES_ROOT\Interface\{BF06DA8E-2BEB-4816-9BBD-F7625246E245}
HKEY_CLASSES_ROOT\Interface\{7B9A715E-9D87-4C21-BF9E-F914F2FA953F}
HKEY_CLASSES_ROOT\Interface\{90CE74CC-788A-4A00-B38D-CBCA08CC9E8F}
HKEY_CLASSES_ROOT\Interface\{EAF2CCEE-21A1-4203-9F36-4929FD104D43}
HKEY_CLASSES_ROOT\Interface\{0985C112-2562-46F2-8DA6-92648BA4630F}
HKEY_CLASSES_ROOT\Interface\{9388907F-82F5-434D-A941-BB802C6DD7C1}
HKEY_CLASSES_ROOT\Interface\{0E704BA4-C517-4BE7-A1CD-C3FFDA1E1FFE}
HKEY_CLASSES_ROOT\Interface\{03B800F9-2536-4441-8CDA-2A3E6D15B4F8}
HKEY_CLASSES_ROOT\Interface\{DFBCC1EB-B149-487E-80C1-CC1562021542}
HKEY_CLASSES_ROOT\TypeLib\{E9A5B71C-093B-4F34-AF07-34FCA89BA0DF}
HKEY_CLASSES_ROOT\TypeLib\{8C752C5E-3C10-4076-AF0A-FFC69FA20D1B}
HKEY_CLASSES_ROOT\TypeLib\{58634367-D62B-4C2C-86BE-5AAC45CDB671}
HKEY_CLASSES_ROOT\TypeLib\{89A10D64-83BF-41A4-86A3-7AAF1F8F3D1B}
HKEY_CLASSES_ROOT\TypeLib\{D0288A41-9855-4A9B-8316-BABE243648DA}
HKEY_CLASSES_ROOT\TypeLib\{DB447818-96B4-40DF-8A55-720DA496F514}
HKEY_CLASSES_ROOT\TypeLib\{CC257918-F435-4A33-8231-2B8195990CCA}
HKEY_CLASSES_ROOT\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}
HKEY_CLASSES_ROOT\TypeLib\{67907B3C-A6EF-4A01-99AD-3FCD5F526429}
HKEY_CLASSES_ROOT\TypeLib\{4EE12B71-AA5E-45EC-8666-2DB3AD3FDF44}
HKEY_CLASSES_ROOT\Component Categories\{00021494-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\ISTbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\ISTsvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\SideFind
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\ISTbarISTbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\YourSiteBar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{10E42047-DEB9-4535-A118-B3F6EC39B807}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explore r\Browser Helper Objects\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Internet Settings\ZoneMap\Domains\contentmatch.net
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{7C559105-9ECF-42B8-B3F7-832E75EDD959}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ModuleUsage\C:/WINNT/Downloaded Program Files/ISTactivex.dll

6. Schliesse den Registry Editor.

o 09 Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

o 10 Weitere Files löschen, die diese Adware verwendet:
Nimm den Windows Explorer, browse zu und lösche folgende Ordner, wenn es sie gibt:

o %ProgramFiles%\ISTsvc
o %ProgramFiles%\Istbar
o %ProgramFiles%\SideFind
o %UserProfile%\Favorites\Fun & Games
o %UserProfile%\Favorites\Going Places
o %UserProfile%\Favorites\Living
o %UserProfile%\Favorites\Shop
o %UserProfile%\Favorites\Technology.

Our English speaking Users may want to take a look to the Original Site of Symantec

Manuelle Entfernung vom System

Beende folgende Prozesse im Taskmanager:
(siehe auch CA)


a834d85b5062f849e461b71c20bf78f8.exe
bundleinstall.exe
ist.exe
istinstall_154074.exe
mcinstl.exe
profilepath+\local settings\temp\ist_install.exe
profilepath+\locals~1\temp\istdnld.exe
programfilesdir+\free amature movie\naughty_setup.exe
programfilesdir+\free amature movie\naughtyplayer.exe
programfilesdir+\istsvc\istsvc.exe
scan.exe
systemroot+\espam.exe
systemroot+\fon14100.exe
systemroot+\fyd.exe
systemroot+\msbb.exe
systemroot+\mscache.exe
systemroot+\penoghih.exe
systemroot+\system32\aupdate.exe
systemroot+\system32\aupdate_uninstall.exe
systemroot+\system32\kmisxk.exe
systemroot+\system32\unregister.exe
systemroot+\tinybar.exe
systemroot+\unstsa3.exe
trojandownloader.win32.istbar.aj.exe
trojandownloader.win32.istbar.aj[2].exe
trojandownloader.win32.istbar.bm.exe
trojandownloader.win32.istbar.bp.exe
trojandownloader.win32.istbar.bu.exe
trojandownloader.win32.istbar.bx.exe
trojandownloader.win32.istbar.cl.exe
trojandownloader.win32.istbar.i.exe
trojandownloader.win32.istbar.u.exe

Unregistere diese DLLs mit Regsvr32, und boote den Rechner:
(siehe auch CA)


c:\spedia\flashplayer.dll
c:\spedia\gzlib.dll
csearch.dll
imgconv.dll
mcinstl.dll
systemroot+\mscache.dll
systemroot+\nem218.dll
systemroot+\system\istbar.dll
systemroot+\system32\acsproxy.dll
systemroot+\system32\fwntoolbar.dll
systemroot+\system32\intrigue.dll
systemroot+\system32\istbar.dll
systemroot+\system32\srchbar.dll
systemroot+\temp\istbar.dll
trojandownloader.win32.istbar.ap.dll
trojandownloader.win32.istbar.dh_(40).dll
trojandownloader.win32.istbar.p.dll
vic32.dll

Entferne diese Dateifiles mit dem Windows Explorer:
(siehe auch CA)


a834d85b5062f849e461b71c20bf78f8.exe
amature.mpg
bundleinstall.exe
c:\spedia\flashplayer.dll
c:\spedia\fpfntdat.bin
c:\spedia\gzlib.dll
chat.dat
checks.040617-1442.log
commonprograms+\power scan\power scan.lnk
csearch.dll
default.skn
desktopdir+\free travel voucher.url
ezines.dat
favorites+\adult sites\reality\in the vip.lnk
favorites+\free adult content\daily pictures\in the vip.lnk
home.dat
imgconv.dll
install.log
ist.exe
ist.inf
istactivex.inf
istbar.txt
istinstall_154074.exe
kyf.dat
mcinstl.dll
mcinstl.exe
mcinstl.inf
olelib.tlb
paysites.dat
pics.dat
profilepath+\desktop\free amature movie.lnk
profilepath+\local settings\temp\ist_install.exe
profilepath+\locals~1\temp\istdnld.exe
programfilesdir+\free amature movie\ads.html
programfilesdir+\free amature movie\config.ini
programfilesdir+\free amature movie\naughty_setup.exe
programfilesdir+\free amature movie\naughtyplayer.exe
programfilesdir+\istsvc\istsvc.exe
scan.exe
srchbar.dll.manifest
systemroot+\alchem.ini
systemroot+\espam.exe
systemroot+\fon14100.exe
systemroot+\fyd.exe
systemroot+\msbb.exe
systemroot+\mscache.dll
systemroot+\mscache.exe
systemroot+\nem218.dll
systemroot+\penoghih.exe
systemroot+\system\istbar.dll
systemroot+\system32\acsproxy.dll
systemroot+\system32\acsproxy.lib
systemroot+\system32\aupdate.conf
systemroot+\system32\aupdate.exe
systemroot+\system32\aupdate_uninstall.exe
systemroot+\system32\bw6mds51.ocx
systemroot+\system32\fwntoolbar.dll
systemroot+\system32\intrigue.dll
systemroot+\system32\istbar.dll
systemroot+\system32\kmisxk.exe
systemroot+\system32\longtimer.ocx
systemroot+\system32\mciwndx.ocx
systemroot+\system32\srchbar.dll
systemroot+\system32\unregister.exe
systemroot+\temp\istbar.dll
systemroot+\tinybar.exe
systemroot+\unstsa3.exe
trojandownloader.win32.istbar.aj.exe
trojandownloader.win32.istbar.aj[2].exe
trojandownloader.win32.istbar.ap.dll
trojandownloader.win32.istbar.bm.exe
trojandownloader.win32.istbar.bp.exe
trojandownloader.win32.istbar.bu.exe
trojandownloader.win32.istbar.bx.exe
trojandownloader.win32.istbar.cl.exe
trojandownloader.win32.istbar.dh_(40).dll
trojandownloader.win32.istbar.i.exe
trojandownloader.win32.istbar.p.dll
trojandownloader.win32.istbar.u.exe
vic32.dll
videos.dat
xml_istbar.php

Entferne diese Ordner mit dem Windows Explorer:
(siehe auch CA)


profilepath+\start menu\programs\power scan
programfilesdir+\common files\totem shared
programfilesdir+\free amature movie
programfilesdir+\istsvc\istsvc.exe
programfilesdir+\search bar

Übersetzt aus dem Englischen von/Translated from English to German by Ruby
Our English speaking Users may want to take a look to the Original Site of spyware-removal-guideline