Hallo!

Ich habe endlich mal wieder KAV scannen lassen.

Ergebniss sind die verlinkten Fehlermeldungen.

U.a. Exploit.Java.Bytverify
Trojan.Java.ClassLoader

Das Problem ist, das KAV die Teile nicht löschen kann.
(Und ich hab einen Key)

Anbei der Report der Fehlermeldung von KAV:
http://www.8ung.at/mirmich/Trojan/Report.jpg

Auffällig ist an diesem Rechner, das die Icons der jpg's sich ständig ändern.
Eigentlich ist das IrfanView Icon 'eingestellt'.
Es werden in unregelmässigen abständen andere Icons verwendet.

Z.T. bedeutet das dann, das IrfanView nicht startet, sondern Mozilla startet, und das Bild anzeigt.
Das wieder hinzukriegen ist nicht das Problem.

Was ich halt nicht verstehe, ist wieso KAV die Tierchen nicht löschen kann.

Config.:
WIN 98 SE
Mozilla 1.7.3
und in Ausnahmefällen
IE 6.0

Help needed!

Danke!

Gruss!
mir mich

Klicke in der Systemsteuerung auf Java Plug-in und dann dort auf den Reiter Cache und dann auf löschen. Damit müssten die Dateien aus dem Java Cache verschwunden sein (da wurden sie ja auch gefunden).

Scanne danach nochmal mit KAV um sicher zu sein das sie gelöscht sind.

Hallo mir mich,

beachte bitte die Hinweise auf dieser Seite eScan ganz unten: "[..] Benutzer eines Antiviren-Scanners von Kaspersky können (natürlich mit den aktuellsten erweiterten Signaturen versorgt) den Rechner anstelle von eScan mit ihrem KAV-Produkt im abgesicherten Modus scannen."

Was man unter "erweiterten Signaturen" versteht, erfährst Du auf der verlinkten Seite.

SD

Hallo!


Hat ein wenig gedauert mit der Antwort.
Musste aber mehrmals scannen lassen.

Die oben geposteten Tierchen sind weg.

Vielen Dank.

----------

Jetzt habe ich weitergescannt, und finde folgendes:

http://www.8ung.at/mirmich/Trojan/Report2.jpg

Schön gemischt diesmal.

----------

Help needed!

Danke!

Gruss!
mir mich

@ mir mich,

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html

SD

Hallo!

Anbei das Log:

Logfile of HijackThis v1.98.2
Scan saved at 01:20:17, on 21.10.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\AVPCC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\AVPM.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\AVPCC.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE
C:\WINDOWS\SYSTEM\HPZTSB10.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HANSENET\HANSENET SPEED-KOMPLETT CLIENT\APP\ENTERNET.EXE
C:\EIGENE DATEIEN\BRAUSER MOZILLA\MOZILLA 1.7.3\MOZILLA\MOZILLA\MOZILLA.EXE
C:\EIGENE DATEIEN\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [AVPCC Service] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: http://www.trojaner-board.de
O15 - Trusted Zone: www.taxiforum.de
O15 - Trusted Zone: http://w1.hansenet.de
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.trojanscan.com/trojanscan/TDECntrl.CAB
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\PROGRAMME\HP\HPCORETECH\COMP\HPUIPROT.DLL

Danke!

Gruss!
mir mich

Hallo mir mich,

Folgende Einträge solltest du fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm

Folgenden Eintrag solltest du fixen, wenn du das Programm nicht kennst:

C:\WINDOWS\SYSTEM\HPZTSB10.EXE

Folgendne Eintrag solltest du fixen, er ist unvollständig:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

@ mir mich,

überprüfe diese Datei:

C:\WINDOWS\SYSTEM\HPZTSB10.EXE

bitte bei Kaspersky und teile uns das Ergebnis der Untersuchung mit. Bitte noch nicht löschen!

SD

Hallo!

Der KAV Onlinescanner sagt, die Datei
hpztsb10.exe
sei OK.

----------

Die anderen von Wattewuschel genannten Einträge habe ich löschen lassen.

Ich scann dann nochmal durch.

Danke!

Gruss!
mir mich

Hallo!

Jetzt sind noch (in dem Ordner Windows/Anwendungsdaten) folgende Tierchen gefunden worden.

http://www.8ung.at/mirmich/Trojan/Report3.jpg

3 mal I-Worm.Mimail.j (infiziert.)
1 mal Exploit.IFrame.FileDownload (verdacht)
1 mal Passwort-protected.exe (verdacht)

Help needed!

Danke!

Gruss!
mir mich

So wie ich das sehe findet er das in den emails die im mozilla email client gespeichert sind (du benutzt den email client von mozilla richtig?).

Hallo!

Das liegt alles im Mail-Ordner von mozilla.
Alles im Ordner meiner alten E-Mail Adresse.

Die habe ich irgendwann abgeschaltet, weil ich zuviel Spam bekam.

Unter anderem bekam ich Mails von dieser meiner E-Mail Adresse.
Der Account war nicht geknackt!
Es ist halt möglich, jede beliebige E-Mail Adresse zu faken.

--------

Ich habe die Unterordner in denen diese Mails lagen von Mozilla-Mail aus gelöscht.

Danach Neustart.
Der Exploit.IFrame.FileDownload (verdacht) ist nicht mehr vorhanden.

---------

Es dreht sich also um
3 mal I-Worm.Mimail.j (infiziert.)

Die Dateien liegen im Junk-Ordner, im Trash Ordner, und in der Inbox.
Ich habe den gesamten inhalt des Junk Ordners aus Mozilla-Mail herraus gelöscht.

Trotz Neustarts noch vorhanden.

-----------
-----------

Die
Passwort-protected.exe (verdacht)
kam über meine gefakte E-Mail Adresse.

Ich hatte einen 'Beobachtungs Ordner/Filter angelegt.
Diesen habe ich auch von Mozilla-Mail aus gelöscht.

Es hat nichts gebracht.

------------

Input please!

Gruss!
mir mich

@ mir mich

Zitat:

Zitat von mir mich

Jetzt sind noch (in dem Ordner Windows/Anwendungsdaten) folgende Tierchen gefunden worden.
3 mal I-Worm.Mimail.j (infiziert.)
1 mal Exploit.IFrame.FileDownload (verdacht)
1 mal Passwort-protected.exe (verdacht)

gib bitte die genaue Pfadangabe zu diesen Virendateien an. Solltest Du sie nicht finden: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren.

SD

Hallo!

Mittels des Windows Explorer bin ich nicht fündig geworden.
Ich habe 'Alle Dateien und Ordner anzeigen' aktiviert.
Es werden nur die Mail-Ordner angezeigt, die ich angelegt hatte.

Anbei die copy aus dem KAV Report:

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\s8ff8ba6.slt\Mail\mail2.hamburg.de\Inbox.sbd\Conte/[From matt.aston@thameswater.co.uk][Date Wed, 24 Sep 2003 13:59:31 +0100]/UNNAMED/[From "David J Davies" <david.davies@torex.com>][Date Thu, 25 Sep 2003 13:10:16 +0100]/UNNAMED/[From "Soren Andreasen (sandreas)" <sandreas@cisco.com>][Date Tue, 30 Sep 2003 11:44:28 +0100]/UNNAMED/[From gilwo <gilwo@pacbell.net>][Date Sat, 04 Oct 2003 13:46:55 +0200]/UNNAMED/html Verdacht Exploit.IFrame.FileDownload

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\Inbox/[From "Fabian Alford" <200rqvl@hastingsfilters.com>][Date Tue, 07 Oct 2003 02:24:48 -0300]/UNNAMED/[From Borland GmbH - InfoCenter <Infocenter@borland.com>][Date Tue, 07 Oct 2003 14:22:52 +0200 (Etc/GMT)]/text/[From "Felix Givens" <huw337hgm@hotmail.com>][Date Mon, 03 Nov 2003 08:4 ... /[From PayPal.com <account_verification365365@hotmail.com>][Date Wed, 19 Nov 2003 05:10:14 -0400 (EST)]/UNNAMED Infiziert I-Worm.Mimail.j

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\Trash/[From "Joey Vang" <j.vangsp@mst.dk>][Date Tue, 14 Oct 2003 11:10:29 +0000]/html/[From "Paola Gates" <gbomi@usa.net>][Date 12 Oct 2003 03:26:09 -0600]/text/[From "faith morrison" <a1503c@email.mot.com>][Date Thu, 16 Oct 03 16:55:57 GMT]/UNNAMED/[From infoletter@performaxx-anle ... /[From PayPal.com <account_verification365365@hotmail.com>][Date Wed, 19 Nov 2003 05:10:14 -0400 (EST)]/InfoUpdate.exe Infiziert I-Worm.Mimail.j

Das folgende kam von meiner eigenen E-Mail Adresse, die jemand gefakt hat.
Hatte ich in einen Ordner 'Beobachtung' gesammelt.
Waren oft Vieren dabei!

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\Beobachtung/[From Andreas H <Andreas-H1@hamburg.de>][Date Sat, 22 Nov 2003 12:18:30 +0100]/text/[From "Nicholas Olivia" <andreas-h1@hamburg.de>][Date Sun, 30 Nov 2003 13:23:47 +1100]/fail.hta/test.exe Verdacht Password-protected-EXE

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\Junk/[From "Gerald Kirby" <geraldkirbykg@openface.ca>][Date Fri, 10 Oct 2003 19:15:19 +0000]/html/[From "Jered Jody" <Amber1535@amuro.net>][Date Thu, 09 October 2003 23:20:18 GMT]/text/[From "Fabian Alford" <200rqvl@hastingsfilters.com>][Date Tue, 07 Oct 2003 02:24:48 -0300]/UNNAME ... /[From PayPal.com <account_verification365365@hotmail.com>][Date Wed, 19 Nov 2003 05:10:14 -0400 (EST)]/InfoUpdate.exe Infiziert I-Worm.Mimail.j

Help needed!

Danke!

Gruss!
mir mich

Hallo mir mich,

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg.de\Inbox.sbd\Conte/[From matt.aston@thameswater.co.uk][Date Wed, 24 Sep 2003 13:59:31 +0100]/UNNAMED/[From "David J Davies" <david.davies@torex.com>][Date Thu, 25 Sep 2003 13:10:16 +0100]/UNNAMED/[From "Soren Andreasen (sandreas)" <sandreas@cisco.com>][Date Tue, 30 Sep 2003 11:44:28 +0100]/UNNAMED/[From gilwo <gilwo@pacbell.net>][Date Sat, 04 Oct 2003 13:46:55 +0200]/UNNAMED/html Verdacht Exploit.IFrame.FileDownload

Geh über diesen Pfad "C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg.de\" in den Ordner "Inbox.sbd" und lösche:

in Conte/
[From matt.aston@thameswater.co.uk][Date Wed, 24 Sep 2003 13:59:31 +0100]/UNNAMED/
[From "David J Davies" <david.davies@torex.com>][Date Thu, 25 Sep 2003 13:10:16 +0100]/UNNAMED/
[From "Soren Andreasen (sandreas)" <sandreas@cisco.com>][Date Tue, 30 Sep 2003 11:44:28 +0100]/UNNAMED/
[From gilwo <gilwo@pacbell.net>][Date Sat, 04 Oct 2003 13:46:55 +0200]

===>@<===

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\Inbox/[From "Fabian Alford" <200rqvl@hastingsfilters.com>][Date Tue, 07 Oct 2003 02:24:48 -0300]/UNNAMED/[From Borland GmbH - InfoCenter <Infocenter@borland.com>][Date Tue, 07 Oct 2003 14:22:52 +0200 (Etc/GMT)]/text/[From "Felix Givens" <huw337hgm@hotmail.com>][Date Mon, 03 Nov 2003 08:4 ... /[From PayPal.com <account_verification365365@hotmail.com>][Date Wed, 19 Nov 2003 05:10:14 -0400 (EST)]/UNNAMED Infiziert I-Worm.Mimail.j

Geh über diesen Pfad "C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\" in den Ordner "Inbox" und lösche:

[From "Fabian Alford" <200rqvl@hastingsfilters.com>][Date Tue, 07 Oct 2003 02:24:48 -0300]/UNNAMED/
[From Borland GmbH - InfoCenter <Infocenter@borland.com>][Date Tue, 07 Oct 2003 14:22:52 +0200 (Etc/GMT)]/text/
[From "Felix Givens" <huw337hgm@hotmail.com>][Date Mon, 03 Nov 2003 08:4 ... /
[From PayPal.com <account_verification365365@hotmail.com>][Date Wed, 19 Nov 2003 05:10:14 -0400 (EST)]

===>@<===

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\Trash/[From "Joey Vang" <j.vangsp@mst.dk>][Date Tue, 14 Oct 2003 11:10:29 +0000]/html/[From "Paola Gates" <gbomi@usa.net>][Date 12 Oct 2003 03:26:09 -0600]/text/[From "faith morrison" <a1503c@email.mot.com>][Date Thu, 16 Oct 03 16:55:57 GMT]/UNNAMED/[From infoletter@performaxx-anle ... /[From PayPal.com <account_verification365365@hotmail.com>][Date Wed, 19 Nov 2003 05:10:14 -0400 (EST)]/InfoUpdate.exe Infiziert I-Worm.Mimail.j

Geh über diesen Pfad: "C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\" in den Ordner "Trash" und leere ihn!

===>@<===

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\Beobachtung/[From Andreas H <Andreas-H1@hamburg.de>][Date Sat, 22 Nov 2003 12:18:30 +0100]/text/[From "Nicholas Olivia" <andreas-h1@hamburg.de>][Date Sun, 30 Nov 2003 13:23:47 +1100]/fail.hta/test.exe Verdacht Password-protected-EXE

Geh über diesen Pfad: "C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg-1.de" in den Ordner "Beobachtung" und leere ihn!

===>@<===

Zitat:

C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg-1.de\Junk/[From "Gerald Kirby" <geraldkirbykg@openface.ca>][Date Fri, 10 Oct 2003 19:15:19 +0000]/html/[From "Jered Jody" <Amber1535@amuro.net>][Date Thu, 09 October 2003 23:20:18 GMT]/text/[From "Fabian Alford" <200rqvl@hastingsfilters.com>][Date Tue, 07 Oct 2003 02:24:48 -0300]/UNNAME ... /[From PayPal.com <account_verification365365@hotmail.com>][Date Wed, 19 Nov 2003 05:10:14 -0400 (EST)]/InfoUpdate.exe Infiziert I-Worm.Mimail.j

Geh über diesen Pfad: "C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\defaul t\s8ff8ba6.slt\Mail\mail2.hamburg-1.de" in den Ordner "Junk" und leere ihn!

===>@<===

Zitat:

Das folgende kam von meiner eigenen E-Mail Adresse, die jemand gefakt hat. Hatte ich in einen Ordner 'Beobachtung' gesammelt. Waren oft Vieren dabei!

Mailadressen werden meistens von Würmern im Netz gefaked. Sie versenden sich dann an unschuldige Opfer, die keine Ahnung haben, diese Mails dann öffnen, die Anlagen anschauen und die Mails mitsamt den auf dem eigenen System aufbewahren ...

SD