TR/Dldr.OpenConn.F - Problem
 

Hallo!
Antivir meldet:
[FUND!] Ist das Trojanische Pferd TR/ClassLder.c.Java
--> InsecureClassLoader.class
[FUND!] Ist das Trojanische Pferd TR/Forten.Java.2.B
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Forten.Java.2
--> Installer.class
[FUND!] Ist das Trojanische Pferd TR/Dldr.OpenConn.F
Datei: opr00Y0T.jar

Spybot und ad-aware finden nichts.

Hier das Log

Logfile of HijackThis v1.98.2
Scan saved at 11:46:53, on 04.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\MX\VI_GRM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP BUSINESS INKJET 1100 SERIES\TOOLBOX\MPM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\PROGRAMME\OPERA\OPERA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F1 - win.ini: load=C:\MX\vi_grm.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HPWH myPrintMileage Agent] C:\Programme\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

Kann man da was machen?

Gruß
Twix

hi

onlinescan mit housecall oder bitdefender durchführen.
mit dem ergebnis wieder melden

Moin! Danke für die Antwort!

Hier nun das Ergebnis von Bitdefender:

C:\WINDOWS\Startmenü\rp505deu.lnk=>C:\WINDOWS\Desktop\rp505deu.exe=>(CAB Sfx o)=>\Reader\CoolType.dll: bad crc
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: Mail Authentification][From: 13@alfalaval.com]=>msg.zip: infected with Win32.Netsky.P@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: your body?][From: franktisius@web.de]=>release.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Mail- Verbindung wurde abgebrochen][From: Info@web.de]=>data_info.988.zip: infected with Win32.Sober.I@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Question][From: martin_glaser@jetaviation.com]=>shower_response.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: hey][From: karinmassie@hotmail.com]=>party.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: here is the $%%454$][From: angela_rees@corptraveller.com]=>yours_attach2.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: important][From: techsupport@ahead.de.]=>injection.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: i wait for your comment about it.][From: random_walk430@yahoo.de]=>naked2_note.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 6)=>[Subject: question][Date: Wed, 17 Nov 2004 16:26:24 +0100]=>(MIME part)=>music.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 10)=>[Subject: Mail- Verbindung wurde abgebrochen][Date: Fri, 19 Nov 2004 08:48:51 UTC]=>(MIME part)=>data_info.988.zip: infected with Win32.Sober.I@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 16)=>[Subject: Question][Date: Sat, 20 Nov 2004 11:34:03 +0100]=>(MIME part)=>shower_response.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 20)=>[Subject: hey][Date: Sun, 21 Nov 2004 15:27:05 +0100]=>(MIME part)=>party.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 36)=>[Subject: here is the $%%454$][Date: Thu, 25 Nov 2004 16:09:51 +0100]=>(MIME part)=>yours_attach2.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 48)=>[Subject: Re: important][Date: Mon, 29 Nov 2004 22:15:53 +0100]=>(MIME part)=>injection.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-12.mbs=>(message 3)=>[Subject: i wait for your comment about it.][Date: Wed, 1 Dec 2004 17:45:09 +0100]=>(MIME part)=>naked2_note.zip: infected with Win32.Netsky.C@mm
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt11.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt12.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt13.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt21.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt22.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt23.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt31.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt32.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt33.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt41.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt42.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt43.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt51.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt52.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt53.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt61.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt62.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox3.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox4.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>default.skn: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn3.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph3.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph4.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph5.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph6.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph7.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>main.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>preview.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>sprite1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab2.bmp: password protected

C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>default.skn: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>defbtn1.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>defbtn2.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>defbtn3.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph1.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph2.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph3.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph4.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph5.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph6.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph7.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>main.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>preview.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>sprite1.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>tab1.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>tab2.bmp: password protected
C:\RECYCLED\DC4.JAR=>GetAccess.class: infected with Java.Trojan.Exploit.Bytverify
C:\RECYCLED\DC4.JAR=>InsecureClassLoader.class: infected with Java.Trojan.Exploit.Bytverify
C:\RECYCLED\DC4.JAR=>Dummy.class: infected with Java.Trojan.Exploit.Bytverify
C:\RECYCLED\DC4.JAR=>Installer.class: infected with Java.Trojan.OpenConnection.F
D:\sync-src-1.00.tbz: infected with Win32.Worm.Doomjuice.A

Wurde in letzter Zeit mit Virus-Mails bombadiert. Kann es daran liegen?

Gruß
Twix

Lösche erstmal deinen Java-Cache.

Anschl. scanne mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Wo wird was gefunden?

Hallo Christian!

Sorry, aber wie lösche ich meinen Java-cache?

Gruß
Twix

@Twix
kuckst du hier
http://java.com/de/download/help/plugin_cache.jsp

chaosman

Danke, dann werde ich mal zur Tat schreiten!

Twix

Also,...

Habe den Java-Cache gelöscht. Jetzt zeigen mir escan, antivir, S&D nichts mehr an. Bin ich damit von den Trojanern, die mir ursprünglich von AntiVir gemeldet wurden, befreit?

Wenn ja, (worüber ich mich sehr freuen würde, habe nämlich erst vor drei Wochen das System neu aufgelegt.), kann mir das mal jemand erklären. ???

Soweit erstmal vielen Dank!

Twix

Lass einfach keinen Cache zu, dann bekommst du auch solche Meldungen nicht mehr.

Bitte auch stets Java aktuell halten.