Trojan.Java.ClassLoader.c und weitere

#1 Hallo zusammen,

nachdem ich mir grad das AntiVirenKit 2004 pro von G DATA angeschafft habe, stellte dieses folgende Trojaner fest:

Trojan.Java.ClassLoader.c,
Exploit.Java.Byteverify,
Trojan.Java.ClassLoader.Dummy.d,
Trojan.Java.Needy

fest.

Kann mir hier jemand helfen, wie (wenn überhaupt möglich) ich diese Dinger von der Platte bekomme???

Vielen Dank schonmal im Voraus.

Grüße,
Daniel

#2 1.)Deaktiviere mal die Systemwiederherstellung. (wenn du nicht weißt wie, dann guck mal bei Google.de)
2.)Starte deinen Rechner im Abgesicherten Modus.
3,)Scanne deinen Rechner.
4.)Freuen.

MFG
DAFRA


P.s.
Wenn er dann immer noch da ist, poste mal ein Hijackthis Log.
Unten stehts wies geht.

#3 oder du laedst den HijackThis, scannst , kopierst mit der Maus und setzt es ins Forum.
Dann koennen wir dir sagen, was raus muss, falls der Virenscanner es allein nicht schafft.

http://board.protecus.de/t9391.htm

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Vielen Dank schonmal für die schnelle Antwort.
Also ich hab's jetzt mal durchgescannt und füge das Ergebnis mal unten an.

Er hat wie gesagt die oben genannten Trojaner genannt und dann noch diesen ollen Lovesan. Den habe ich allerdings schon mit einem anderen AV-Programm mal gelöscht. Trotzdem taucht er noch in der Scan Liste von G DATA auf:-(?

------



Logfile of HijackThis v1.97.7
Scan saved at 14:47:37, on 30.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office 2003\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vobis.de
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: 0190 Alarm.lnk = C:\Programme\0190 Alarm\0190Alarm.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.oemxyz.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37939.2539467593
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup141.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FFAE1A1-0280-4859-8AE5-B1336F9309D9}: NameServer = 217.237.151.33 194.25.2.129



OK, das sind ziemlich viele Zahlen und Buchstaben:-) Da ich da keine Ahnung von habe, bin ich auf Euch angewiesen.

Gruß,
Daniel

#5 Fix mal:
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.oemxyz.de

hast du MyWebSeacrch Email Plugin installiert, wenn ja lass diese Einträge weg, wenn nicht, fix sie.
MFG
DAFRA

#6 Ja, ich habe MyWebSearch EMail Plugin installiert. Also fixe ich alle Einträge mit "MySearchBar" nicht?
Den Rest kann ich ohne Bedenken löschen?
-----------------

Habe die von Dir genannten jetzt gefixt! Was mache ich jetzt mit den Backups, die auf dem Desktop erstellt wurden?

#7 Das Fixen loescht noch gar nichts.
Du musst nun mit deinen Antiviren-und Antispy-Tools scannen, am Besten im abgesicherten Modus . .



und AdAware.....immer updaten !
http://download.com.com/3150-8022-0.html?tag=dir

und Search&destroy ..updaten
http://www.snapfiles.com/get/spybot.html
--------------------------------------------------------------------------
und ClearProg....zum Saeubern vom Browser...Cookies, TemporalIntenetFiles usw....dann nach dem Scannen den Browser reinigen und unter Internet-Optionen die Startseite neu einstellen, falls notwendig.


MfG
Sabina

http://www.clearprog.de/
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Du merkst jetzt wahrscheinlich, dass ich nicht wirklich eine PC-Leuchte bin, aber reicht eine Firewall aus oder benötige ich noch ein Antispy Tool?
Der Link für AdAware ist ein Test-Download, richtig?

Sorry, für die Planlosigkeit:-)

#9 Nein, AdAware ist ein vollstaendiges Programm...musst ein bisschen weiter unten suchen und es dann aktualisieren und scannen.

Aber wichtiger als die Spyware, ist , dass du im abgesicherten Modus mit deinem Antivirenscanner den Comp. checkst , damit die Trojaner verschwinden.

Du musst vorher die Wiederherstellung von XP deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Nach der Bereinigung kannst du sie auf gleichem Wege wieder aktivieren.

EinTrojaner ist mslaugh.exe:

Wenn du ihn fixt und dann bootest...und danach in den abgesicherten Modus gehst(F8 beim Hochfahren druecken), kann dein Antivirus ihn loeschen .

Hier hast du eine gute und kostenlose Firewall.
http://smb.sygate.com/products/spf_standard.htm

Aber erst muss der Comp. sauber sein.
Mache auch mal einen Online-Virenscann , wenn du mit dem scannen im abgesicherten Modus fertig bist.

http://housecall.trendmicro.com/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Gut, werde ich dann gleich mal machen.

Aber was mache ich denn jetzt mit den Backups auf meinem Desktop?

Jetzt habe ich diese AdAware mal gedownloaded. Aber es ist irgendwie nur eine .ref Datei die entpackt wird.

#11 http://download.com.com/3000-8022-10214379.html?tag=lst-3-8

Lade es von dieser Site.


Dann fixt du alles, was @Dafra gepostet hat, bootest, gehst in den abgesicherten Modus und scannst dort mit allen Tools.


Sabina
__________
MfG Sabina

rund um die PC-Sicherheit