Trojaner-Board - virus oder nicht?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - virus oder nicht? (https://www.trojaner-board.de/14183-virus.html)

virus oder nicht?

Letzten endes hat es auch mich erwischt. naja eigentlich ncoh schlimmer den pc meiner Frundin.

Ich denke ich habe mir beim surfen etwas eingefangen. Aber was bleibt mir bisher unklar.

Das einzige Virenprogramm, das etwas findet ist der AVG Virenscan.
Und zwar unter

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar

AVG kann mir aber nicht sagen welcher Virus es ist und kann ihn auch nicht beseitigen.

Ein Onlinevirenscan von Bitdefender hat kein ergebnis erbracht. Der Stinger liefert mir auch kein ergebnis.

Vielleicht könnt ihr ja etwas in der Logfile von HijackThis etwas erkennen:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 15:29:36, on 20.02.2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\htpatch.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\LTSMMSG.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Java\jre1.5.0\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\ArcorOnline\Arcor.exe

C:\Dokumente und Einstellungen\****\Eigene Dateien\Down\stinger.exe

C:\Programme\hijackthis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{47126010-9FF2-49AE-91A6-2C77636EFB25}: NameServer = 195.50.140.250 145.253.2.203

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Ich bin etwas überfragt in dieser Angelegenheit und hoffe ihr könnt mir weiterhelfen.

Vielen dank

gruß

@derdummerocker
da du nicht postest was gefunden würdest...
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx

sieht nach ein dialer aus.

lade escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

danke melde mich gleich wieder....

Lösche den Java-Cache (über die Systemsteuerung - Java)

Dein Windows ist nicht aktuell, warum?

Gruß :daumenhoc
Yopie

puh...

nach langem scannen:

Code:

C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-3bb61b82.zip infected by "Trojan-Downloader.Java.OpenStream.t" Virus. Action Taken: No Action Taken.
 

C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv480.jar-3cdf16b9-2fd49f73.zip infected by "Trojan.Java.ClassLoader.h" Virus. Action Taken: No Action Taken

@yopie

war offline zum scannen und habe deine antwort nicht gesehen.

das löschen des java caches reicht??

danke für eure hilfe...

ach ja mit windows. Ist nicht mein pc und ich hatte beim letzten mal das automatische update ausgeschaltet, deshalb ist er nicht aktuell. ohne eine Diskussion lostreten zu wollen, soll ich das sp2 installieren?

danke

gruß

Edit:

könnt ihr mir sagen, woher der trojan downloader kommt damit ich ein erneutes infizieren verhindern kann...

bei hijackthis.de wurde ich auf diesen eintrag aufmerksam gemacht:

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx

darf ich den einfach so löschen?

EDIT:

habe hier im forum einen Thread von Cidre gelesen, der einem anderen user sagte er solle es löschen.
dementsprechend habe ich dies mit hijackthis auch getan. stardialer hört isch auch nicht wirklich seriös an :D

gruß

Zitat:

das löschen des java caches reicht??

Ja, reicht volkommen aus.

Zitat:

ohne eine Diskussion lostreten zu wollen, soll ich das sp2 installieren?

Ja, aus Gründen der Systemstabilität und Systemsicherheit sollte das SP2 installiert werden.

Zitat:

könnt ihr mir sagen, woher der trojan downloader kommt damit ich ein erneutes infizieren verhindern kann...

Siehe http://www.f-secure.de/v-desk/trojdown.shtml
Der Hauptgrund hierfür ist die Verwendung des Unsicherheitsbrowser IE.

Zitat:

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx
darf ich den einfach so löschen?

Ja, natürlich.

Dies solltest du noch abarbeiten:
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Um die Sicherheit deines Systems zu erhöhen, solltest du diese Tipps beherzigen:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

eigentlich habe ich schon länger den mozilla firefox und den thunderbird und die microsoft pendents nciht genutzt. könnte es sein, dass der trojaner schon länger auf dem rechner ist, oder sich doch durch den mozilla firefox eingeschlichen hatte?

danke für die Tips...

und danke für die hilfe

Ich denke eher, der Trojan.Downloader wurde über ein Java-Applet übertragen, also browserunabhängig. Wenn Du eine aktuelle Java-Version nutzt, wird er aber keinen Schaden angerichtet haben. Dafür spricht, dass er nur im Java-Cache gefunden wurde.

Gruß :daumenhoc
Yopie