Antivir hat was gefunden.. bin ratlos.. Trojaner!

Habe eben Antivir nochmal laufen lassen nachdem ich den Java-Cache gelöscht habe > JETZT KAM KEINE MELDUNG MEHR! *hüpf*

Kann das trotzdem sofort wieder auftauchen das Problem? Also immer mal diesen Cache leeren oder was mach ich da am besten?

Und sagt der Report irgendetwas aus was faul ist bei mir?

 

ja machmal hilft richtiges lesen bei der Lösung des Problems
ist nicht persönlich gemeint sondern bezieht sich auf alle Helfer

 

@lausitzer: OK, hab nicht alle Postings gelesen, nicht traurig sein

 

@lausitzer

.. ja muss ich richtig stellen. Erst nach der Reklamation von dir bezüglich "Pfad" kam ich auf den JAVA-CACHE von SUN.

 

Hallo Julchen,

das ist doch schon ein Fortschritt.. wenn der gelöscht ist sollte das Antiverenprogramm keinen Alarm mehr geben. Bei der Auswertung der HijackThis halte ich mich zurück, habe da zu wenig Übung. Der Steele hat da mehr Erfahrung. Aber du hast ja eine Unmenge Zeugs am rennen, wundert mich dass die maschine noch rundläuft.

Grüße
Wolfgang

 

Der JAVA-Cache wird gerade gelöscht..

 

So, hier ist jetzt erstmal der Report von diesem HijackThis.. Verstehe nur Bahnhof *schäm*

Logfile of HijackThis v1.97.7
Scan saved at 22:24:38, on 03.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Kazaa Lite K++\KazaaLite.kpp
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.1.4.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: TREND MICRO HouseCall (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0BD5468-9D09-416A-B58A-2BD0899EB378}: NameServer = 212.185.249.50 194.25.2.129

 

Habe da nochmal bei Sun nachgeschaut.. die geben folgendes Vorgehen an:

If you find one of these malicious applets on your computer, please use an anti-virus program to delete the applet, or you can clean the cache directory manually.

Here are the instructions on how to manually remove these malicious applets from the JRE cache directory:

From the Start button, click Settings > Control Panel
In the Control Panel, open the "Java Plug-in Control Panel"
Select the Cache Tab
Click the Clear button inside the Cache Tab, which will clear your JRE cache directory

 

Du hast die Java?-Software von SUN und kannst dein Cache über die Systemsteuerung -> JAVA -> Cache löschen.

Edit: Und das ergibt sich wie "Wolfgang77" schon gesagt hat aus dem Pfad der Dateien.

 

....wollen wir nicht streiten. Meldet Antivi noch verdächtige Dateien dann ist wohl die JAVA-Runtime von Sun installiert und sie muss das Verzeichnis manuell löschen. Denke die Java-VM überlebt das... (ich fahre pers. noch die alte und "schnelle" Microsoft-VM.

Grüße
Wolfgang

 

Ich bin wirklich froh das ich hier gelandet bin, unter soviel Erfahrenen... Dann hab ich ja noch Hoffnung das ich das irgendwie hin kriege mit Eurer Hilfe :-)

 

Da ist nicht nötig, denn die dateien befinden sich 100% ig in C:\Dokumente und Einstellungen\..\.jpi_cache\jar\1.0 archive.jar-27b6d962-13ef90f8.zip

und dieser wird beim löschen des Browswer-Chaches nicht gelöscht

 

Eine erneuter Scan mit AntiVir nach dem leeren des Caches sollte das bestätigen oder auch nicht..

 

Bist du dir da auch ganz sicher, dass diese Auskunft richtig ist

 

Nein die Java Classes sind da weil du Webseiten besucht hast die dir diese Dateien untergejubelt haben. Ob nun ein Schädling aktiv geworden ist und wie weit er dein System geschädigt hat hängt vom Typ u. der Version deiner VM (Java-Virtual-Machine) ab. Über die wissen wir aber bisher nichts (Sun oder Microsoft u. Version), über den StatusReport von HijackThis kann man feststellen ob da ein Trojaner/Virus oder Hijacker aktiv ist.

Grüße
Wolfgang

 

irgendwie verstehe ich die ganzen Hinweise nicht, denn laut Antivir befinden sich die Viren nicht im Cache-Ordner des IE sondern in

und da ist mit dem löschen des Chache nichts getan oder sehe ich das falsch

 

Danke, Wolfgang, das hab sogar ich kapiert :-) Das soll man also regelmässig machen? Und die Dinger aus dem Antivir-Report..? Sind also deswegen da?

 

http://www.misitio.ch/ie/ie6/ie6tips.html#4165