11 Funde ! Von AntiVir

Dieses Thema im Forum "Sicherheit" wurde erstellt von Herman Brood, 25. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Herman Brood

    Herman Brood Byte

    Registriert seit:
    1. März 2004
    Beiträge:
    8
    Hallo

    Nach einem Scan mit AntiVir (V.6.26 gestern upgedated) wurden mir 11 Funde
    angezeigt.Ich habe alle betroffenen Dateien löschen lassen.Auszug des Scans:

    C:\Dokumente und Einstellungen\Stef\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file
    BlackBox.class-1f4e35d9-48f3f135.class
    [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify.3
    WURDE GELÖSCHT!
    Dummy.class-6b23a603-15cc0cfc.class
    [FUND!] Ist das Trojanische Pferd TR/Classloader.D
    WURDE GELÖSCHT!
    VerifierBug.class-3dc7e359-1cce9e42.class
    [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
    WURDE GELÖSCHT!
    C:\Dokumente und Einstellungen\Stef\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
    ar3.jar-1f8b980f-337c60ab.zip
    [FUND!] Enthält Signatur des Java-Virus Java/ClassLdr.I.1
    WURDE GELÖSCHT!
    ar3.jar-6ce3b82f-1554c0f1.zip
    [FUND!] Enthält Signatur des Java-Virus Java/ClassLdr.I.1
    WURDE GELÖSCHT!
    archive.jar-487b52a0-69427919.zip
    [FUND!] Ist das Trojanische Pferd TR/ClassLoader.E
    WURDE GELÖSCHT!
    archive3.jar-35271dfd-38d8fc63.zip
    [FUND!] Ist das Trojanische Pferd TR/Classloader.D
    WURDE GELÖSCHT!
    classload.jar-1f5b6b54-754a054c.zip
    [FUND!] Ist das Trojanische Pferd TR/Dldr.OpenConn.F
    WURDE GELÖSCHT!
    freemovies.jar-677d2343-6ca253fe.zip
    [FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
    WURDE GELÖSCHT!
    loaderadv109.jar-783040da-40a84a71.zip
    [FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.3
    WURDE GELÖSCHT!
    WebCounter.jar-63879d6e-267fc617.zip
    [FUND!] Ist das Trojanische Pferd TR/Classloader.C
    WURDE GELÖSCHT!

    Nach einem weiteren Scan heute war alles "sauber" also keine weiteren Funde.
    Ist die Sache jetzt erledigt oder sollte ich weiter Massnahme treffen,ev. formatieren ? Hab ich allerdings noch nie gemacht und bräuchte deshalb Hilfe.:)

    Gruß HB

    Win XP Home/SP1/P4 2.66GH/256Ram/DSL/Firefox 0.8/Thunderbird 0.5
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo Herman Brood

    Da du nicht weißt, was das Trojanische Pferd alles angestellt hat, solltest du deinen PC erstmal formatieren (mit Hilfe der XP-CD) und alles neu installieren. Außerdem solltest du deine gesamten Passwörter, die du bisher verwendet hast, ändern.

    Um dir zukünftig eine Neuinstallation zu ersparen, solltest du dir ein Image-Programm zulegen. Auf der Heft-CD/DVD war True Image 6.0 von Acronis als Vollversion drauf.

    Mit einem Image-Programm wird ein Abbild der Festplatte(n) oder Partitionen einer Festplatte erstellt, welches du im Bedarfsfall zurückspielen kannst.

    Gruß
    Nevok
     
  3. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo Herman Brood,
    da dein System stark kompromittiert war/ist, solltest du es besser neuaufsetzen, denn es ist nicht mehr vertrauenswürdig.
    Info:
    http://schad.dyndns.org/index.php/Kompromittierung
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

    Info zum Thema neuaufsetzen findest du hier:
    http://8ung.at/chemikers-home/SETUP.html

    Vergiss nicht, danach die Internet Verbindungsfirewall zu aktivieren und dein System zu aktualisieren.
    http://v4.windowsupdate.microsoft.com/de/default.asp

    Wichtig: Ändere alle Passwörter!
     
  4. Herman Brood

    Herman Brood Byte

    Registriert seit:
    1. März 2004
    Beiträge:
    8
    Danke für eure Hilfe.:) Hab schon geahnt,dass ich nicht ums formatieren rumkomme.
     
  5. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Wenn du dir, wie von mir vorgeschlagen, ein Image-Programm installierst, dann ist beim nächsten mal eine Formatierung und eine Neuinstallation überflüssig, sofern das zurückspielen des Images klappt und dieses keine Viren/Trojaner enthält. ;)

    Allerdings um das Ändern der Passwörter kommst du auch mit dem Image-Programm nicht herum. :(
     
  6. Gast

    Gast Guest

    Auch wenn gleich alle dagebliebenen auf mich einschlagen: Wo steht, dass diese Viren aktiv waren ? Sie waren im cache, und zwar gepackt. Ausserdem: Antivir nennt die Dinger halt mal Trojaner, wie Norton, dort ist alles Trojaner, auch wenn es ein Javascript für einen Dialer ist, wie in den meisten Fällen in Herman Broods Fall.

    Natürlich ist mit neu aufsetzen alles weg, aber eben Holzhammermethode. Im vorliegenden Fall hätte ich mal 2 Tage auf den Besuch von ****oseiten verzichtet (da kommen die Dinger nämlich in 90 % der Fälle her, die restlichen 10 % sind warezhackercrackerseiten)und dann mittels Bootdisk einen erneuten scan gemacht. Ein Trojaner wäre beim Booten wieder aktiv.

    Das wichtigste: Auf "solchen" Seiten die Sicherheitseinstellungen höher setzen (Geht das bei firefox/Mozilla überhaupt ?:confused::D ), wenn der Besuch dort denn schon sein muss. Und: den Echtzeitschutz auf höchste Stufe stellen, dann schlägt Antivir nämlich RECHTZEITIG Alarm.

    EDIT:

    Sag mal, ist Herman Brood nicht tot ? :eek:
    Warn klasse Musiker :D:D
     
  7. Gast

    Gast Guest

    Nee ich jedenfalls schlage nicht.

    Aber woher sollen wir umgekehrt wissen, ob die Trojs nicht ausgeführt wurden? Die Troj scheren sich nunmal nicht um Sandkästchen. Sind zwar eher harmlose Kandidaten, die Dialer installieren und ****o-Favoriten dem IE hinzufügen wollen, aber das System ist nunmal versifft. Bei Einsatz des IE bleibt nur das Neuaufsetzen. Bei Einsatz des Mozilla kann überlegt werden, die Sache zu retten, wenn Java bzw. Java-Script deaktiviert waren. Dann: Scan von sauberem Medium(Z.B. F-Secure über Knoppix) und Ports checken.

    Auch Mozilla kann man noch sicherer einstellen: Java und Java-Script deaktivieren, keine "anonymen Proxies" verwenden und die Software-Installation deaktivieren.

    Hermann Brood + 11.07.2001


     
  8. Gast

    Gast Guest


    Ich glaube, er benutzt firefox...*scroll* jepp.
    Ist es denn überhaupt möglich, dass sich das Ding selbst aus dem Archiv holt, aktiviert und wieder im zip verschwindet ?

    Danke !
    Ich staune, die Zitatfunktion scheint zu klappen...
     
  9. Gast

    Gast Guest

    Wer sagt den das die Dateiendung richtig ist, davon abgesehen wenn ich eine Datei aus einem ziparchiv entpacke, habe ich anschließend immer noch das Orginal als Zipdatei zur verfügung. :D
     
  10. Gast

    Gast Guest

    Wenn sie nicht "richtig" ist, also von mir aus eine exe als zip getarnt, ist sie doch erst recht nicht ausführbar, oder ? :confused:

    Also müsste höchstens ein 2. script dieses Archiv entpacken, oder ?

     
  11. Gast

    Gast Guest

    Tja wenn das alles der Fall wäre würden die schönen Dateianhänge die so manch einer per Mail bekommt keinen Schaden anrichten. :D
     
  12. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Machen sie ja auch nicht, wenn man sie nicht manuell ausführt...
     
  13. Gast

    Gast Guest


    Eben, und deshalb stellt sich die Frage, wieso man immer gleich formatieren muss, insbesondere bei vergleichsweise "harmlosen" Gesellen wie im vorliegenden Fall..
     
  14. DerExperte

    DerExperte Kbyte

    Registriert seit:
    21. Juni 2004
    Beiträge:
    140
    Weil man dann nicht nachdenken muss. Format C: rulez!
     
  15. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Von mir stammen die Sprüche von korrumpierten Systemen und ständiger Formatiererei nicht...

    Ich wüßte nicht, wann ich das letze Mal auf meinen Rechnern irgendeine Platte Formatiert hätte.
    Ach doch, vor 2 Monaten, da habe ich mir nämlich eine größere Datenplatte zugelegt ;-)
     
  16. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Auch so ein Schwachkopf Troll?
    Fang den Fisch...
     
  17. DerExperte

    DerExperte Kbyte

    Registriert seit:
    21. Juni 2004
    Beiträge:
    140
    Ey, du bist böse!

    Die ganzen selbsternannten Virendoktoren kannste in de Tonne kloppen! Hast du einen Virus, hast du auch ein Programm zum wegmachen. Hast du ihn weggemacht dann ist er weg. So einfach ist das. Da brauchst du nicht formatieren.
     
  18. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Nö, bin nicht böse, mich überkommt nur mehr und mehr das Mitleid, weil ich das Gefühl habe, die armen Trolle finden den Weg nach Hause nicht mehr.... Tztztz

    Wenn ich einen Virus habe, dann hole ich mir Wirksame Medikamente beim Doc meines Vertrauens.

    Auf den Rechner gehören keine, also bleiben die auch da weg und so brauche ich mich nicht um selbsternannte Sicherheitsexperten und Virendoktoren zu kümmern, geschweige denn zu formatieren!

    Im Übrigen:
    Für den Fall der Fälle hat man ein sauberes, geprüftes Image auf CD respektive DVD....
     
  19. DerExperte

    DerExperte Kbyte

    Registriert seit:
    21. Juni 2004
    Beiträge:
    140
    Hast du nen komischen doktor. Der erzählt dir Mist! Gegen Viren gibt es keine wirksamen Medikamente.

    Also mein Schwager hatte mal einen virus auf dem computer. Da hat er den mit seinem Norton antivirus weggemacht. Da brauchte der kein Forum für. Der computer geht immer noch, also der von meinem schwager.
     
  20. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Also mit dem Lesen und Verstehen klappt es auch nicht...
    Armer Wicht...
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen