Hi hab feststellen müssen dass mein Firefox immer wieder ladeprobleme
hat und teilweise ewig lädt...

Wüsste gerne woran das liegt.
Daher hab ich mal Antivir übers System gejagt.

Gefunden wurde folgende Trojanerdatei:

JAVA/OpenConnect.CF

Die Datei wurde offenbar 3x erkannt.

Wie bekomme ich besagte Datei von meinem System entfernt.

Hijack, CCcleaner, ComboFix....
Was ist zu tun?


edit:

Antivir gibt folgende Dateien an.

Backup Files 1.zip => 2x (habe vor einiger Zeit ein Windowsbackup gemacht auf eine externe Festplatte. Beide Dateien werden in dem Ordner lokalisiert)
7c5139e-5ee2a5e8 => 1x (diese Datei wird im AppData Sun\Java\Deployment lokalisiert)

alle 3 in quarantäne

POste erstmal das komplette Log von AntiVir.

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 15. Februar 2011 07:44

Es wird nach 2402193 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PH03NLX-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 13.12.2010 07:39:20
AVSCAN.DLL : 10.0.3.0 56168 Bytes 13.12.2010 07:39:37
LUKE.DLL : 10.0.3.2 104296 Bytes 13.12.2010 07:39:26
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:28:47
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 21:48:47
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 21:48:47
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 21:48:47
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 21:48:47
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 21:48:47
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 21:48:47
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 21:48:47
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 21:48:47
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 21:48:47
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 21:48:47
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 21:48:47
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 06:23:44
VBASE014.VDF : 7.11.3.60 2048 Bytes 14.02.2011 06:23:44
VBASE015.VDF : 7.11.3.61 2048 Bytes 14.02.2011 06:23:44
VBASE016.VDF : 7.11.3.62 2048 Bytes 14.02.2011 06:23:45
VBASE017.VDF : 7.11.3.63 2048 Bytes 14.02.2011 06:23:45
VBASE018.VDF : 7.11.3.64 2048 Bytes 14.02.2011 06:23:45
VBASE019.VDF : 7.11.3.65 2048 Bytes 14.02.2011 06:23:45
VBASE020.VDF : 7.11.3.66 2048 Bytes 14.02.2011 06:23:45
VBASE021.VDF : 7.11.3.67 2048 Bytes 14.02.2011 06:23:45
VBASE022.VDF : 7.11.3.68 2048 Bytes 14.02.2011 06:23:45
VBASE023.VDF : 7.11.3.69 2048 Bytes 14.02.2011 06:23:45
VBASE024.VDF : 7.11.3.70 2048 Bytes 14.02.2011 06:23:45
VBASE025.VDF : 7.11.3.71 2048 Bytes 14.02.2011 06:23:45
VBASE026.VDF : 7.11.3.72 2048 Bytes 14.02.2011 06:23:45
VBASE027.VDF : 7.11.3.73 2048 Bytes 14.02.2011 06:23:45
VBASE028.VDF : 7.11.3.74 2048 Bytes 14.02.2011 06:23:45
VBASE029.VDF : 7.11.3.75 2048 Bytes 14.02.2011 06:23:45
VBASE030.VDF : 7.11.3.76 2048 Bytes 14.02.2011 06:23:45
VBASE031.VDF : 7.11.3.84 39424 Bytes 14.02.2011 06:23:45
Engineversion : 8.2.4.166
AEVDF.DLL : 8.1.2.1 106868 Bytes 13.12.2010 07:39:16
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 30.01.2011 17:44:07
AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 07:39:16
AESBX.DLL : 8.1.3.2 254324 Bytes 13.12.2010 07:39:16
AERDL.DLL : 8.1.9.2 635252 Bytes 13.12.2010 07:39:16
AEPACK.DLL : 8.2.4.9 512374 Bytes 30.01.2011 17:44:03
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 30.01.2011 17:43:59
AEHEUR.DLL : 8.1.2.76 3273078 Bytes 11.02.2011 02:20:27
AEHELP.DLL : 8.1.16.1 246134 Bytes 05.02.2011 18:04:17
AEGEN.DLL : 8.1.5.2 397683 Bytes 21.01.2011 12:31:06
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 07:39:10
AECORE.DLL : 8.1.19.2 196983 Bytes 21.01.2011 12:31:04
AEBB.DLL : 8.1.1.0 53618 Bytes 13.12.2010 07:39:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:20
AVPREF.DLL : 10.0.0.0 44904 Bytes 13.12.2010 07:39:19
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:53
AVREG.DLL : 10.0.3.2 53096 Bytes 13.12.2010 07:39:19
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 13.12.2010 07:39:20
AVARKT.DLL : 10.0.22.6 231784 Bytes 13.12.2010 07:39:17
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 13.12.2010 07:39:18
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:20
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 13.12.2010 07:39:38

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, G:, H:, I:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 15. Februar 2011 07:44

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'DDMService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanlu.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPANEL.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '94' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Program Files (x86)\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar
[0] Archivtyp: TAR (tape archiver)
--> gnu/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/longname
[WARNUNG] Interner Fehler!
[WARNUNG] Interner Fehler!
C:\Users\PH03NlX\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\7c51039e-5ee2a5e8
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
C:\Users\PH03NlX\Install\OOo_3.2.1_Win_x86_install-wJRE_de.exe
[0] Archivtyp: NSIS
--> unknown4
[1] Archivtyp: CAB (Microsoft)
--> testtar.tar
[2] Archivtyp: TAR (tape archiver)
--> gnu/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/longname
[WARNUNG] Interner Fehler!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'G:\' <Gamma>
Beginne mit der Suche in 'H:\' <Beta>
H:\PH03NLX-PC\Backup Set 2011-01-25 135837\Backup Files 2011-01-25 135837\Backup files 1.zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
--> C/Users/PH03NlX/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/30/7c51039e-5ee2a5e8
[1] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
H:\PH03NLX-PC\Backup Set 2011-01-25 135837\Backup Files 2011-02-06 190000\Backup files 4.zip
[0] Archivtyp: ZIP
--> C/Users/PH03NlX/Desktop/Photoshop_12_LS4.7z
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!
H:\PH03NLX-PC\Backup Set 2011-02-13 190000\Backup Files 2011-02-13 190000\Backup files 1.zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
--> C/Users/PH03NlX/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/30/7c51039e-5ee2a5e8
[1] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
Beginne mit der Suche in 'I:\' <Alpha>

Beginne mit der Desinfektion:
H:\PH03NLX-PC\Backup Set 2011-02-13 190000\Backup Files 2011-02-13 190000\Backup files 1.zip
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f888cf.qua' verschoben!
H:\PH03NLX-PC\Backup Set 2011-01-25 135837\Backup Files 2011-01-25 135837\Backup files 1.zip
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '506fa766.qua' verschoben!
C:\Users\PH03NlX\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\7c51039e-5ee2a5e8
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0202fd96.qua' verschoben!


Ende des Suchlaufs: Dienstag, 15. Februar 2011 08:32
Benötigte Zeit: 38:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

27003 Verzeichnisse wurden überprüft
514807 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
514804 Dateien ohne Befall
3136 Archive wurden durchsucht
5 Warnungen
3 Hinweise
429346 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Da bitteschön

Zitat:

C/Users/PH03NlX/Desktop/Photoshop_12_LS4.7z

Wasndas?

Entschuldige ich versteh die Frage nicht...

Steht doch da...ich nutze Photoshop...
Wird wohl ne Datei davon sein...


edit:

ich muss gestehen dass ich allerdings grad verwirrt bin...
diese datei existiert gar nicht o.O
es befindet sich nichts dergleichen auf dem desktop
ich hatte da mal was aber das wurde gelöscht

Und aus welcher Quelle das Teil stammt wirst du sicherlich auch sagen können.

nee sorry weiss ich net mehr wo ichs her hab is schon ne weile her
was tut das jetzt überhaupt zur sache?

diese datei existiert nicht auf meinem desktop und ich hab
nen trojaner drauf den ich weg haben will...

werd mich jetzt hier net durchleuchten lassen was ich alles benutze
und wo ich was her bekomme.

ich brauche hilfe,...wenn ich die hier net bekomme sags dann such ich nach
nem forum wo ich die bekomme....

Zitat:

nee sorry weiss ich net mehr wo ichs her hab is schon ne weile her
was tut das jetzt überhaupt zur sache?

Mach auch nichts. Eine Google-Suche nach dem Dateinamen verrät alles.
Geklaute Software wird hier nicht toleriert.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

sorry aber das ist grad der absolute witz hier.

1. nutze ich meine alte originale Photoshop CS2

2. weiss ich nicht wie oft ich wiederholen muss dass diese drecksdatei nicht
existiert =>>>> [WARNUNG] Die Datei konnte nicht gelesen werden!
sagt wohl alles

3. habe ich einen trojaner aufm rechner [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF der mit dem hier ==>> --> C/Users/PH03NlX/Desktop/Photoshop_12_LS4.7z absolut null zu tun hat....

4. hab ich ein problem in meinem backup ordner der definitiv entstanden ist bevor =>> C/Users/PH03NlX/Desktop/Photoshop_12_LS4.7z existierte weil ich dieses nach Neuaufsetzen des rechners auf grund der umstellung auf win7 gemacht habe.

5. da du offenbar null plan hast und ich es ganz toll finde dass du google nutzen kannst was ich auch kann und zu 80% nie das finde was ich brauche würde ich gerne eine kompetente person haben die mir hier weiterhilft

6. mir die nutzung von hacks oder was weiss ich zu unterstellen obwohl du null plan hast was genau ich auf meinem rechner habe und deine behauptung auf einer nicht existierenden datei stützt die wie du hoffentlich lesen kannst nicht da ist ist eine bodenlose frechheit

7. sollte sich niemand anderes finden werde ich mir leider woanders hilfe suchen müssen aber dann ist das hier ein absolutes armutszeugnis...aber so kann man probleme natürlich auch lösen indem man seinen usern nicht hilft

Zitat:

weiss ich nicht wie oft ich wiederholen muss dass diese drecksdatei nicht
existiert =>>>> [WARNUNG] Die Datei konnte nicht gelesen werden!
sagt wohl alles

Falsche Schlussfolgerung.
Wenn eine Datei nicht existiert, würde sie dort garnicht aufgelistet werden. Wenn sie nicht gelesen werden kann, ist sie existent, aber gerade gesperrt (durch was auch immer, entweder ein anderes Programm oder Windows hat diese Datei exklusiv im Zugriff)

Zitat:

sorry aber das ist grad der absolute witz hier.

Nein. Wenn es eindeutige Hinweise auf geklaute Software gibt, ist das hier normales Vorgehen.
Aber nun gut, offensichtlich stammt das tatsächlich aus der letzten Sicherung, der genannte illegale Krams wurde in einem 7z-Archiv gefunden:

Zitat:

H:\PH03NLX-PC\Backup Set 2011-01-25 135837\Backup Files 2011-02-06 190000\Backup files 4.zip
[0] Archivtyp: ZIP
--> C/Users/PH03NlX/Desktop/Photoshop_12_LS4.7z

Du hast dann aber auf jeden Fall beim letzten Backup diesen Mist noch aufm Rechner gehabt haben, sonst wär es nicht in die Sicherung reingekommen.

Zitat:

5. da du offenbar null plan hast und ich es ganz toll finde dass du google nutzen kannst was ich auch kann und zu 80% nie das finde was ich brauche würde ich gerne eine kompetente person haben die mir hier weiterhilft

Noch weiter in diesem Ton und du verscherzt es dir hier völlig.
Warum musst du mich persönlich in unangebrachter Weise angreifen, wenn DU SELBST einen Fehler gemacht hast als du Software geklaut hast?

Zitat:

6. mir die nutzung von hacks oder was weiss ich zu unterstellen obwohl du null plan hast was genau ich auf meinem rechner habe und deine behauptung auf einer nicht existierenden datei stützt die wie du hoffentlich lesen kannst nicht da ist ist eine bodenlose frechheit

Zwischen einer haltlosen Unterstellung, die einfach mal ins Blaue geraten wurde und dem Fall hier, wo nämlich eine gezielte Suche des betroffenen Dateinamens gleich handfeste Hinweise liefert, ist doch ein gewisser Unterschied, meinst du nicht auch?

Zitat:

aber dann ist das hier ein absolutes armutszeugnis...aber so kann man probleme natürlich auch lösen indem man seinen usern nicht hilft

Ein Armutszeugnis ist dein völlig unangebrachtes Herumgeschimpfe, du hast dich selbst in die Ecke gestellt, als du offensichtlich illegale Schiete besorgt hast und dich jmd darauf aufmerksam gemacht hat. Wenn du beim Schwarzfahren erwischt wirst hat auch der Kontrolleur schuld, nicht wahr?

Denk nochmal über deinen Ton im letzen Beitrag nach, wenn evtl noch etwas Einsicht bei dir einkehren sollte, hilft dir vllt noch jmd.