Hiho.

Ich habe seit einiger Zeit ein Problem mit einem, besser gesagt wohl einer zusammengehörenden Gruppe von Trojanern.

Normalerweise wär' mir das vielleicht gar nicht aufgefallen, da ich nie irgendwelche Meldungen deswegen bekam, aber letztens als ich Ad-Aware mein System scannen ließ, meldete sich plötzlich mein Virenscanner (Norman Virus Control) mit folgender Meldung: Norman Virus Control hat einen Trojaner erkannt und in Quarantäne verschoben (heisst gelöscht).

Standort: C:\Dokumente & Einstellungen\usw.
Trojanisches Pferd: Java/Byteverify.D

Denke ich mir, okay, wenn dergelöscht ist, scheint ja alles in Ordnung zu sein, klicke auf den Button schließen, da kommt schon die nächste Meldung:

Diesmal:

Trojanisches Pferd: Java/Byteverify.B


Eigentlich kamen noch mehrere Meldungen, aber jetzt wo ich gucke sind es nur die 2. (vielleicht habe ich mit einer meiner Aktionen ja schon Erfolg gehabt, waren nämlich an die 6-7 und am Ende kamen manchmal die gleichen Byteverfy's wie am Anfang.

Naja, ich habe mal auf meinem Rechner gesucht, da der Name der Datei, wo der Trojaner erkannt wurde, in der Meldung dabei war.
Gab' diesen nun im Fenster der WindowsSuche ein und stief immer auf ähnliche Pfade.
z.B.: C:\Dokumente und Einstellungen\MeinBenutzername\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ usw.


Finde leider gerade den Zettel nicht, wo ich mir aufgeschrieben habe, was genau für Trojaner da so dabei waren. Werde ich nachreichen -.-
Kann mich aber noch an:
- Classloader.K
- alle möglichen Byteverify.Buchstabe Versionen
- IEStart.X [wobei X ne Variable ist, erinner mich gerade nicht an den Buchstaben der da stand]

Aber vor allen standa Java\

Diese Teile wurden von meinem VirenScanner sowie Ad-aware nicht gefunden, nur jedes Mal wenn ich Ad-aware durchlaufen ließ /lasse.
Also sie kamen nach jeder "Löschung" wieder.
Auch wenn ich den Netzwerkstecker ziehe, also die Internetverbindung kappe.

Kann mir da vielleicht einer helfen, wie ich alle Teile jetzt endgültig identifizieren und löschen kann?
Wäre sehr nett.

MfG *pOut

Hi,

Zitat:

mit folgender Meldung: Norman Virus Control hat einen Trojaner erkannt und in Quarantäne verschoben (heisst gelöscht).

Quarantäne heisst nicht gelöscht!

Windowstaste+R --> %temp% --> enter
inhalt löschen
Windowstaste+R --> temp --> enter
inhalt löschen
leere den Quarantäneordner vom Virenprogramm
lösche den Java Cache

scanne Dein System mit escan
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Okay, werde mich an dieses "eScan" morgen dransetzen, da alleine diese Stunde suchen mir jetzte zu viel ist, werde ich gleich morgen ausprobieren.

Die restlichen Sachen davor habe ich gemacht, (2x Dateien aus den TempOrdnern konnte ich nicht löschen, Windows sagt, diese Programme werden von einer Anwendund gerade benutzt .. blabla.) Mal sehen ob ich das zu einem späteren Zeitpunkt hinkriege (oder gibt es da sonst noch 'ne Lösung, dass das vll. eine Art Schutzreaktion ist? ^^ Bin noch nich so der Profi.


Das mit der Quarantäne stimmt ja eigentlich auch. Wenn man es nur hört, denkt man daran, dass die nur verschoben und irgendwo sichergestellt worden sind.
Mein Virenscanner hat dies allerdings etwas anders deklariert, worauf ich halt die Löschung annahm ... die haben sich dumm ausgedrückt.
Naja, alle Dateien in Quarantäne wurden ebenfalls gelöscht. (Danke für den Tipp.)

Nur wie genau ich den "Java Cache" lösche und was das ist, weiss ich nicht, wäre nett wenn du mir das etwas genauer erklären könntest.

MfG *pOut

Zitat:

Nur wie genau ich den "Java Cache" lösche und was das ist

Start --> Einstellung --> Systesteuerung --> Java Plugin --> doppelklick
Reiter Cache --> löschen

Hi , ich hab ein Problem...
Ich hab mir jetzt das Programm : Bitdefender8 geholt ( kostenlos )
und ich habe einen Virenscan durchgenommen und bemerkt , ich hab 4 Trojaner!

Das Problem bei der Sache ist, ich weiss nicht, wie ich die Trojaner runterbekomme , denn Bitdefender konnte sie nicht removen!

Es stand da :

C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4328a152-2126dc35.zip=>BlackBox.class Infected Java.Trojan.Exploit.Bytverify

C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4328a152-2126dc35.zip=>BlackBox.class Disinfection failed

C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4328a152-2126dc35.zip=>VerifierBug.class Infected Java.Trojan.Exploit.Bytverify.C

C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4328a152-2126dc35.zip=>Dummy.class Infected Java.Trojan.Exploit.Bytverify

C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4328a152-2126dc35.zip=>Dummy.class Disinfection failed

C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4328a152-2126dc35.zip=>Beyond.class Infected Java.Trojan.Exploit.Bytverify.C

C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4328a152-2126dc35.zip Moved

Kann mit jemand helfen oder erklären, wie ich diese jetzt runterbekomme ?
( ps: es wär ganz nett wenn es leicht erklärt wär , denn das Thema Computer ist nicht so ganz mein Ding... )

MfG
JackR

Hallo JackR,
direkt über dir steht die Lösung auch für dich,obwohl der Thread uralt ist.
\Sun\Jav a\Deployment\cache-im Cache steckt auch dein Problem.
Irrlicht

Der Beitrag ist zwar alt aber das Thema nach wie vor aktuell! Meine Suche mit "java trojaner?" liefert als erstes Suchergebnis dieses Forum und so will ich kurz über meine Erfahrungen berichten bzw. einen Tipp geben.

Derzeit schleichen sich über Java-Sicherheitslöcher immer wieder solche Java Trojaner ein, die im Cache gespeichert werden. Wie gefährlich diese Dinger wirklich sind kann ich nicht sagen. Bei mir wurden das Problem von Norton "behoben", aber ich fand die Datei nach wie vor im angegebenen Verzeichnis vor.

Neben der Nutzung einer aktuellen Antivirus-Software sollte man auch Webbrowser und Java möglichst aktuell halten. Und weil mir diese Java-Sachen wirklich auf den Keks gehen habe ich die Cache-Speicherung deaktiviert. Grundstätzlich sollte jede Internetseite ohne den Java-Schwachsinn auskommen!

Mit der Deaktivierung der Cache-Speicherung sollten diese Dateien nicht mehr aufs System gelangen ... vermute ich zumindest. Zumindest bleiben sie nicht dauerhaft am System. Aber wenn die Dateien schon mal da sind lässt sich über Java der Cache manuell leeren:

1. Systemsteuerung - Java (32 bit zb)
2. Allgemein - Temporäre Internetdateien - Einstellungen
3a. Festplattenspeicher - Dateien löschen
3b. Temporäre Internetdateien auf Computer belassen
=> Häkchen weggeben

Unter Einstellungen - Sicherheit lassen sich noch spezielle Einstellungen vornehmen.

lg
Ameeon