Letzten endes hat es auch mich erwischt. naja eigentlich ncoh schlimmer den pc meiner Frundin.

Ich denke ich habe mir beim surfen etwas eingefangen. Aber was bleibt mir bisher unklar.

Das einzige Virenprogramm, das etwas findet ist der AVG Virenscan.
Und zwar unter

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar

AVG kann mir aber nicht sagen welcher Virus es ist und kann ihn auch nicht beseitigen.

Ein Onlinevirenscan von Bitdefender hat kein ergebnis erbracht. Der Stinger liefert mir auch kein ergebnis.

Vielleicht könnt ihr ja etwas in der Logfile von HijackThis etwas erkennen:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 15:29:36, on 20.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Down\stinger.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{47126010-9FF2-49AE-91A6-2C77636EFB25}: NameServer = 195.50.140.250 145.253.2.203
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
         

Ich bin etwas überfragt in dieser Angelegenheit und hoffe ihr könnt mir weiterhelfen.

Vielen dank

gruß

@derdummerocker
da du nicht postest was gefunden würdest...
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx

sieht nach ein dialer aus.

lade escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

danke melde mich gleich wieder....

Lösche den Java-Cache (über die Systemsteuerung - Java)

Dein Windows ist nicht aktuell, warum?

Gruß
Yopie

puh...

nach langem scannen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-3bb61b82.zip infected by "Trojan-Downloader.Java.OpenStream.t" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv480.jar-3cdf16b9-2fd49f73.zip infected by "Trojan.Java.ClassLoader.h" Virus. Action Taken: No Action Taken
         

@yopie

war offline zum scannen und habe deine antwort nicht gesehen.

das löschen des java caches reicht??

danke für eure hilfe...

ach ja mit windows. Ist nicht mein pc und ich hatte beim letzten mal das automatische update ausgeschaltet, deshalb ist er nicht aktuell. ohne eine Diskussion lostreten zu wollen, soll ich das sp2 installieren?


danke

gruß

Edit:

könnt ihr mir sagen, woher der trojan downloader kommt damit ich ein erneutes infizieren verhindern kann...

bei hijackthis.de wurde ich auf diesen eintrag aufmerksam gemacht:

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx

darf ich den einfach so löschen?

EDIT:

habe hier im forum einen Thread von Cidre gelesen, der einem anderen user sagte er solle es löschen.
dementsprechend habe ich dies mit HijackThis auch getan. stardialer hört isch auch nicht wirklich seriös an

gruß

Zitat:

das löschen des java caches reicht??

Ja, reicht volkommen aus.

Zitat:

ohne eine Diskussion lostreten zu wollen, soll ich das sp2 installieren?

Ja, aus Gründen der Systemstabilität und Systemsicherheit sollte das SP2 installiert werden.

Zitat:

könnt ihr mir sagen, woher der trojan downloader kommt damit ich ein erneutes infizieren verhindern kann...

Siehe http://www.f-secure.de/v-desk/trojdown.shtml
Der Hauptgrund hierfür ist die Verwendung des Unsicherheitsbrowser IE.

Zitat:

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx
darf ich den einfach so löschen?

Ja, natürlich.

Dies solltest du noch abarbeiten:
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Um die Sicherheit deines Systems zu erhöhen, solltest du diese Tipps beherzigen:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

eigentlich habe ich schon länger den mozilla firefox und den thunderbird und die microsoft pendents nciht genutzt. könnte es sein, dass der trojaner schon länger auf dem rechner ist, oder sich doch durch den mozilla firefox eingeschlichen hatte?

danke für die Tips...

und danke für die hilfe

Ich denke eher, der Trojan.Downloader wurde über ein Java-Applet übertragen, also browserunabhängig. Wenn Du eine aktuelle Java-Version nutzt, wird er aber keinen Schaden angerichtet haben. Dafür spricht, dass er nur im Java-Cache gefunden wurde.

Gruß
Yopie