liebe leute!

ich habe avg antivirus und der hat mir geasagt dass ich einen virus habe den er java/open stream nennt. gefunden in: c:\dokumente und einstellungen\***\sun\java\development\cache\javapi\v1.0\jar\javainstraller.jar\5aa0b436-21d90b39.zip
jetzt habe ich ein logfile erstellt, weil ich für java/open stream nichts in den foren gefunden habe. beim erstellen des logfiles hat es eine fehlermeldung gegeben:

for some reason your system denied write access to the host file. if any hijacked domains are in this file, HJT may not be able to fix this.

und dann eine anleitung wie ich das problem selbst beheben kann, über die ich mich aber noch nicht drüber getraut habe, weil ich schon die fehlermeldung nicht verstanden habe. die anleitung war ich soll start, ausführen, notepad eingeben und dann in den editor schreiben: C:\WINDOWS\system32\drivers\etc\hosts
auf enter drücken
dann: find the lines HJT reports and delete them. save the file as "hosts" (with quotes) and reboot

kann mir jemand sagen was das heißt???

ich habe win xp, beide service packs und alle updates, surfe eigentlich nur mit eingeschränktem benutzerkonto über firefox und habe erst vor kurzem mein system komplett neu aufgesetzt ...hm.... ich weiß nicht wie ich da dran gekommen bin.

kann mir vielleicht jemand helfen?
vielen dank daweil
sofferl

Logfile of HijackThis v1.99.1
Scan saved at 11:47:14, on 17.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.deu.chello.at/ssi/welcome/welcome.php?url=search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.grisoft.com/redir/faqinst?build=362&lng=us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v.
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134649099296
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B0CF8B6-27FA-46D6-9D92-4ADD60495B79}: NameServer = 195.34.133.13,195.34.133.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBFEE9A-6671-4F6F-851D-63DFAF9CD146}: NameServer = 195.34.133.13,192.34.133.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6FBC63E-AE29-4793-9C3E-8937BE642D62}: NameServer = 195.34.133.20,195.34.133.21
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B0CF8B6-27FA-46D6-9D92-4ADD60495B79}: NameServer = 195.34.133.13,195.34.133.14
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Servus, sofferl!

Die Fehlermeldung kommt üblicherweise, wenn Du ein Log im eingeschränkten Benutzeraccount erstellst!

Wechsle dafür in den Admin Account, und editiere bitte nichts in der hosts-Datei!

Zum Virenfund:
Lass´ mal folgende Datei

Zitat:

c:\dokumente und einstellungen\***\sun\java\development\cache\javap i\v1.0\jar\javainstraller.jar\5aa0b436-21d90b39.zip

bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Datei in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!
stupormundi

seavas stupormundi

danke für den tip! also die ergebnisse der verschiedenen virenprogramme auf jotti.org sind nicht so schön ....


Datei: javainstaller.jar-5aa0b436-21d90b39.zip
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir Java/OpenStream.W gefunden
ArcaVir Trojan.Java.Openstream.W gefunden
Avast VBS:Malware gefunden
AVG Antivirus Java/OpenStream gefunden
BitDefender Trojan.Downloader.Java.Openstream.W gefunden
ClamAV Java.Downloader.OpenStream.A gefunden
Dr.Web Trojan.DownLoader.3204 gefunden
F-Prot Antivirus destructive program gefunden
Fortinet Java/Openstream.W-tr gefunden
Kaspersky Anti-Virus Trojan-Downloader.Java.OpenStream.w gefunden
NOD32 Java/TrojanDownloader.OpenStream.W gefunden
Norman Virus Control Keine Viren gefunden
UNA Trojan.Java.OpenStream gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.Java.OpenStream.w gefunden

vielen dank für die hilfe,
sofferl

Hallo,

Zitat:

Zitat von Yopie

Das ist der Java-Cache. Wenn ein Virus dort gefunden wurde, ist das erstmal ungefährlich. Du kannst den java-Cache über die Systemsteuerung - Java löschen!

Gruß

Schrulli

lieber schrulli,

das hab ich gemacht, jetzt ist das java cache leer und alles bestens danke! nur was ich eigenartig find ist dass ich das schon einmal am 29. jänner gemacht habe und sich dieser trojaner wieder eingeschlichen hat. kann ich dem vorbeugen?

liebe grüße
sofferl