|
ByteVerify, Issas.exe Das hat Norton im Bericht eingetragen, hat sich der Trojaner ausgebreitet und wenn ja wie krieg ich ihn weg? Die Dateien habe ich manuell gelöscht. Im Autostart habe ich eine Issas.exe ist das ein Trojaner oder ähnliches? C:\Dokumente und Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\c.jar-31b7b78e-1a13922c.zip ist mit dem Virus Trojan.ByteVerify infiziert. Die Datei konnte nicht repariert werden. C:\Dokumente und Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\c.jar-31b7b78e-1a13922c.zip ist mit dem Virus Trojan.ByteVerify infiziert. Der Zugriff auf die Datei wurde verwehrt. C:\Dokumente und Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\c.jar-31b7b78e-29a55ad7.zip ist mit dem Virus Trojan.ByteVerify infiziert. Die Datei konnte nicht repariert werden. C:\Dokumente und Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\c.jar-31b7b78e-29a55ad7.zip ist mit dem Virus Trojan.ByteVerify infiziert. Der Zugriff auf die Datei wurde verwehrt. |
Falls noch nicht geschehen, leere deinen Java-Cache C:\WINDOWS\system32\Lsass.exe ist ein Systemprozess |
und wie leere ich ihn, hat sich der Trojaner ausgebreitet? |
Es wäre i.O, wenn du die Belegschaft erstmal begrüssen würdest, also Hallo, die Infos, die du benötigst, findest du hier http://faq.underflow.de/#SECTION000120000000000000000 und hier http://www.trojaner-board.com/showthread.php?t=12154 |
Zitat:
Systemsteuerung (klassische Ansicht)-> Java-> Reiter "Allgemein"-> "Dateien löschen" Zitat:
Poste doch mal ein HijackThis Logfile: kurze Beschreibung ausführliche Beschreibung |
Logfile of HijackThis v1.99.0 Scan saved at 19:13:34, on 01/25/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\T-ONLINE\BSW4\ToADiMon.exe D:\PROGRA~1\NORTON~1\navapw32.exe D:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe D:\PROGRA~1\NORTON~1\navw32.exe C:\WINDOWS\system32\ntvdm.exe D:\T-ONLINE\BSW4\ToDuCAlC.EXE c:\progra~1\intern~1\iexplore.exe D:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: C:\WINDOWS\lbbho.dll - {D3679787-A6D9-4C20-AF16-3659EB0FC8B9} - C:\WINDOWS\lbbho.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Popup Blocker System32 Monitoring] PopUpBlockerd.exe O4 - HKLM\..\Run: [RSPC Driver] vyeu.exe O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe O4 - HKLM\..\Run: [ToADiMon.exe] D:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [Popup Blocker System32 Monitoring] PopUpBlockerd.exe O4 - HKLM\..\RunServices: [RSPC Driver] vyeu.exe O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe O4 - HKCU\..\Run: [Popup Blocker System32 Monitoring] PopUpBlockerd.exe O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe O4 - HKCU\..\Run: [RSPC Driver] vyeu.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{26394F12-067B-4834-B5E0-D40AF22E1998}: NameServer = 217.237.150.141 217.237.150.97 O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe meinst du das und hallo und danke schonmal. bin in Eile |
Tja, da musst du wohl doch neu aufsetzen. Grund: diverse Backdoors Halte dich an die von Rene-Gad verlinkte Anleitung. |
was für backdoors, was können die machen? |
z.B. http://www.sophos.de/virusinfo/analyses/w32rbotsu.html Die können beispielsweise: # Ermöglicht Dritten den Zugriff auf den Computer # Stiehlt Daten # Reduziert die Systemsicherheit # Speichert Tastenfolgen # Installiert sich in der Registrierung # Nutzt bekannte Schwachstellen aus Über die Entfernung von Schädlingen |
hab erst am 27.12 neu aufgesetzt, da hat norten schon alarm geschlagen wegen issas und popup blockerd obwohl ich nur "bekannte" programme installiert habe. Ist das wirklich so gefährlich und beseitigt die virenerkennungsdatei vom link auch? War das jetzt der byte verify oder ein anderer trojaner? |
Setz dein System nochmals neu auf und halte dich an die Anleitung, dann passiert so etwas nicht mehr. Enfernung praktisch unmöglich dazu auch mein Link "über die Entfernung von Schädlingen". |
kann man sehen ob das der byte verify war? |
Zitat:
Die Autostarteinträge der Registry (O4-Einträge im HjT-Logfile) lassen auf diverse Backdoors schließen. Dein PC wurde infiziert, weil dein System z.B. kein bisschen gepatcht ist (SP2 ist mittlerweile aktuell)! |
Ob der byte verify die Backdoors geöffnet hat oder andere Trojaner, SP2 hatte ich, machte den PC aber zu langssam. Wie hoch ist denn die Wahrscheinlichkeit, dass jemand sowas nutzt und mich ausspioniert z. Bsp.? |
1.) Lies doch mal bitte die Links.... 2.) SP1 fehlt ja auch! Außerdem gibt es für viele Probleme die durch das SP2 auftreten schon Lösungen. 3.) Wie hoch ist die Wahrscheinlichkeit? Keine Ahnung, woher auch! Würdest du dich in dein Auto setzen, wenn mehrere, dir unbekannte Personen, damit machen könnten, was sie wollen? Und das auch unter der Fahrt! 4.) Es sind Backdoortrojaner, die du dir wahrscheinlich durch "einfaches-im-Internet-unterwegs-sein" eingefangen hast, das sie diverse Windowslücken ausnutzen. und hier mal ein Link über Bot-Netze |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board