Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Dldr.OpenConn.F - Problem (https://www.trojaner-board.de/10402-tr-dldr-openconn-f-problem.html)

Twix 04.12.2004 11:51

TR/Dldr.OpenConn.F - Problem
 
Hallo!
Antivir meldet:
[FUND!] Ist das Trojanische Pferd TR/ClassLder.c.Java
--> InsecureClassLoader.class
[FUND!] Ist das Trojanische Pferd TR/Forten.Java.2.B
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Forten.Java.2
--> Installer.class
[FUND!] Ist das Trojanische Pferd TR/Dldr.OpenConn.F
Datei: opr00Y0T.jar

Spybot und ad-aware finden nichts.

Hier das Log

Logfile of HijackThis v1.98.2
Scan saved at 11:46:53, on 04.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\MX\VI_GRM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP BUSINESS INKJET 1100 SERIES\TOOLBOX\MPM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\PROGRAMME\OPERA\OPERA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F1 - win.ini: load=C:\MX\vi_grm.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HPWH myPrintMileage Agent] C:\Programme\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

Kann man da was machen?

Gruß
Twix

Passat2002 04.12.2004 16:38

hi

onlinescan mit housecall oder bitdefender durchführen.
mit dem ergebnis wieder melden

Twix 05.12.2004 10:18

Moin! Danke für die Antwort!

Hier nun das Ergebnis von Bitdefender:

C:\WINDOWS\Startmenü\rp505deu.lnk=>C:\WINDOWS\Desktop\rp505deu.exe=>(CAB Sfx o)=>\Reader\CoolType.dll: bad crc
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: Mail Authentification][From: 13@alfalaval.com]=>msg.zip: infected with Win32.Netsky.P@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: your body?][From: franktisius@web.de]=>release.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Mail- Verbindung wurde abgebrochen][From: Info@web.de]=>data_info.988.zip: infected with Win32.Sober.I@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Question][From: martin_glaser@jetaviation.com]=>shower_response.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: hey][From: karinmassie@hotmail.com]=>party.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: here is the $%%454$][From: angela_rees@corptraveller.com]=>yours_attach2.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: important][From: techsupport@ahead.de.]=>injection.zip: infected with Win32.Netsky.C@mm
C:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: i wait for your comment about it.][From: random_walk430@yahoo.de]=>naked2_note.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 6)=>[Subject: question][Date: Wed, 17 Nov 2004 16:26:24 +0100]=>(MIME part)=>music.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 10)=>[Subject: Mail- Verbindung wurde abgebrochen][Date: Fri, 19 Nov 2004 08:48:51 UTC]=>(MIME part)=>data_info.988.zip: infected with Win32.Sober.I@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 16)=>[Subject: Question][Date: Sat, 20 Nov 2004 11:34:03 +0100]=>(MIME part)=>shower_response.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 20)=>[Subject: hey][Date: Sun, 21 Nov 2004 15:27:05 +0100]=>(MIME part)=>party.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 36)=>[Subject: here is the $%%454$][Date: Thu, 25 Nov 2004 16:09:51 +0100]=>(MIME part)=>yours_attach2.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-11.mbs=>(message 48)=>[Subject: Re: important][Date: Mon, 29 Nov 2004 22:15:53 +0100]=>(MIME part)=>injection.zip: infected with Win32.Netsky.C@mm
C:\Programme\Opera\Mail\store\account1\2004-12.mbs=>(message 3)=>[Subject: i wait for your comment about it.][Date: Wed, 1 Dec 2004 17:45:09 +0100]=>(MIME part)=>naked2_note.zip: infected with Win32.Netsky.C@mm
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt11.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt12.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt13.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt21.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt22.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt23.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt31.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt32.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt33.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt41.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt42.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt43.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt51.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt52.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt53.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt61.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt62.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox3.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox4.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>default.skn: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn3.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph3.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph4.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph5.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph6.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph7.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>main.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>preview.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>sprite1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab2.bmp: password protected

C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>default.skn: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>defbtn1.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>defbtn2.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>defbtn3.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph1.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph2.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph3.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph4.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph5.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph6.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>glyph7.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>main.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>preview.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>sprite1.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>tab1.bmp: password protected
C:\Eigene Dateien\aawsepersonal.exe=>wise0023=>tab2.bmp: password protected
C:\RECYCLED\DC4.JAR=>GetAccess.class: infected with Java.Trojan.Exploit.Bytverify
C:\RECYCLED\DC4.JAR=>InsecureClassLoader.class: infected with Java.Trojan.Exploit.Bytverify
C:\RECYCLED\DC4.JAR=>Dummy.class: infected with Java.Trojan.Exploit.Bytverify
C:\RECYCLED\DC4.JAR=>Installer.class: infected with Java.Trojan.OpenConnection.F
D:\sync-src-1.00.tbz: infected with Win32.Worm.Doomjuice.A

Wurde in letzter Zeit mit Virus-Mails bombadiert. Kann es daran liegen?

Gruß
Twix

*Christian* 05.12.2004 14:50

Lösche erstmal deinen Java-Cache.

Anschl. scanne mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Wo wird was gefunden?

Twix 05.12.2004 16:42

Hallo Christian!

Sorry, aber wie lösche ich meinen Java-cache?

Gruß
Twix

chaosman 05.12.2004 19:08

@Twix
kuckst du hier
http://java.com/de/download/help/plugin_cache.jsp

chaosman

Twix 06.12.2004 10:00

Danke, dann werde ich mal zur Tat schreiten!

Twix

Twix 06.12.2004 15:53

Also,...

Habe den Java-Cache gelöscht. Jetzt zeigen mir escan, antivir, S&D nichts mehr an. Bin ich damit von den Trojanern, die mir ursprünglich von AntiVir gemeldet wurden, befreit?

Wenn ja, (worüber ich mich sehr freuen würde, habe nämlich erst vor drei Wochen das System neu aufgelegt.), kann mir das mal jemand erklären. ???

Soweit erstmal vielen Dank!

Twix

*Christian* 06.12.2004 19:28

Lass einfach keinen Cache zu, dann bekommst du auch solche Meldungen nicht mehr.

Bitte auch stets Java aktuell halten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131