trojaner: tofger.BI.1-5, classload....

Dieses Thema im Forum "Sicherheit" wurde erstellt von carl frost, 11. August 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    hi leute.

    es ist mal wieder soweit... ich hab nen trojaner von antivir angezeigt bekommen- nein nicht einen MEHRERE gleich.

    TYP: tofger.xxx mit verschiedenen endungen.

    nachdem antivir das ding nicht gelöscht hat, habe ich mich schlau gemacht.
    in einem forum hieß es man sollte den IEcache samt offline inhalte leeren, da div. classload-dateien oder so betroffen sind. das habe ich jetzt auch getan.

    antivir findet nun nichts mehr...

    kanns das wirklich gewesen sein? habt ihr noch tips was ich tun kann außer neuformatieren...
    reicht eine wiederherstellung des systems über die xp eigene sicherung aus?

    vielen dank im voraus,
    gruß carl.
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Wo hatte AntiVir die Trojaner denn gefunden?

    Wenn sie nur in den Temporary Internet Files waren hast du gute Chancen dass sie nicht aktiv waren.


    Überprüfe zur Sicherheit dein System mit einem zweiten Virenscanner (z.B. AVG), Ad-aware und Spybot S&D.

    Zusätzlich erstelle ein HijackThis Log ( http://hjt.klaffke.de/ ) und poste es hier.



     
  3. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    hi.

    danke für die prompte antwort. ich hab adaware grad gestartet, hijackthis ist durch.

    vielleicht kennst du dich da aus?


    Logfile of HijackThis v1.98.2
    Scan saved at 15:54:51, on 11.08.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
    C:\Programme\D-Link AirPlus\AirPlus.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\King\Desktop\HijackThis.exe
    C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
    O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: D-Link AirPlus.lnk = ?
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E6944A92-C816-4D92-8501-372800ADC893}: NameServer = 192.168.0.112


    bis gleich.
     
  4. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    nun jetzt habe ich ein weiteres mal mit adaware gscant und nur ein paar blöde cookies gefunden, die aber nix mit dem trojaner zu tun haben...

    und wie lautet des rätsels lösung? -kannst du mir helfen?
     
  5. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Das Log sieht sauber aus.

    Was sagt Spybot S&D?

    Die wichtigste Frage hast du nicht beantwortet:

     
  6. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    ahaa.

    tut mir leid das weis ich nicht mehr genau...
    es hatte auf alle fälle was mit einer datei zu tun die sich classload.class nennt!
    der befindet sich: C:\WINDOWS\java\Packages\DJXR977J.ZIP hier!

    hab grad eben nochmal die scans seit gestern abend durchgesehen... und jetzt halte dich fest!

    weitere toj: Dldr.agent.BQ.1
    Dldr.OpenConn.F

    waren zwei weitere kandidaten die von antivir nicht gelöscht werden konnten....

    jetzt kenn ich mich bald nicht mehr aus? - was nun?

    ps: hol mir grad noch spybot....
     
  7. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Hm, AntiVir hat so ne Tendenz zu Fehlalarmen bezüglich Trojanern in .zip Dateien mit Java .class Dateien. (Hatte ich selbst schon mal)

    Um sicher zu gehen solltest du mal einen anderen Virenscanner scannen lassen. AVG ist neben AntiVir ein guter kostenloser Scanner.

    Bist du sicher dass deine Temporary Internet Files gelöscht sind (auch die Offline-Inhalte)?

     
  8. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    ja- bin sicher!

    habs auch grad nochmal gelehrt!

    hab jetzt spybot und starte den mal.

    was ist avg?

    ach ja- danke für deine unterstützung!
     
  9. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ carl frost

    Hallo,

    lade eScan AV Toolkit (mwav.exe) runter, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken.
    Dann die "kavupd.exe" (Update) ausführen und den Scanner im abgesicherten Modus mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
    http://www.mwti.net/antivirus/free_utilities.asp

    Danach postest du die Virus Log Information von eScan.

    PS.
    Den Antivir Guard beim Scannen (eScan) abschalten!

    Edit:

    Link vergessen.:aua:
     
  10. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    thema spybot:

    was hat eigentlich die immunisierung für einen zweck?

    soll ich das machen?

    muss ich antivir während des scanens ausschalten?
     
  11. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Mit Scanner meinte ich natürlich Virenscanner.


    So wies aussieht ist dein System clean. Eine Prüfung mit einem zweiten Virenscanner sollte dazu dienen diese Vermutung zu bestätigen.


     
  12. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Aus der Hilfe:

    Ähnlich wie beim JavaCools SpywareBlaste erlaubt Ihnen dies einige internen Einstellungen zu verändern, so dass die Installation von bereits bekannter Spyware (und ähnlichen Bedrohungen) abgeblockt wird. Spybot-S&D kann alle Einträge, die in unserer Datenbank vorhanden sind, als zu blocken eintragen.


    Während Spybot scannt muss der Guard nicht aus sein.

     
  13. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    hier ist das ergebnis vom spybotscan:

    DoubleClick: Verfolgender Cookie (Internet Explorer: King) (Cookie, fixed)


    Alexa Related: Verknüpfung (Datei austauschen, fixed)
    C:\WINDOWS\Web\related.htm

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
    HKEY_USERS\S-1-5-21-220523388-854245398-281015459-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


    --- Spybot - Search && Destroy version: 1.3 ---
    2004-08-11 Includes\Cookies.sbi
    2004-08-11 Includes\Dialer.sbi
    2004-08-11 Includes\Hijackers.sbi
    2004-08-11 Includes\Keyloggers.sbi
    2004-05-12 Includes\LSP.sbi
    2004-08-11 Includes\Malware.sbi
    2004-08-11 Includes\Revision.sbi
    2004-08-11 Includes\Security.sbi
    2004-08-11 Includes\Spybots.sbi
    2004-08-11 Includes\Tracks.uti
    2004-08-11 Includes\Trojans.sbi



    die gelöschten reg-einträge sind nicht gut und deuten auf den tofger trojaner hin...
    jetzt sind sie weg!!!

    so jetzt mach ich mich an den tip von cidre ran!

    moment!
     
  14. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    hi.

    hab den link nicht gebraucht... habs gefunden.
    ist allerdings ne exe datei... und den bases ordner gibts nicht???

    im abgesicherten modus hochfahren geht mit F8 oder?
     
  15. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ carl frost

    Die mwav.exe ist eine gezipptes Archiv, die du natürlich in den von dir erstellten Ordner in C:\bases entpackst.

    Die weitere Vorgehensweise habe ich dir per PN schon beschrieben.
     
  16. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    hab jetzt alles durch von spybot, antivir, hijackthis bis hin zu eScan. der letzte war erfolgreich und hat alle (das hoffe ich) gelöscht!

    märci für die hilfe!

    viele grüsse, carl.

    ps: meine frage zwecks systemwiederherstellung ist noch offen! hat jemand ne antwort?
     
  17. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Jep.

    Bist du sicher dass die Reg-Einträge zu nem Trojaner gehören?
    Ich kann sie leider nicht komplett lesen (sie gehn etwas über den Rand) und es ist schon ne zeitlang her dass ich Spybot zum ersten mal auf einem System hab laufen lassen aber ich denke dass es sich hier um "Standardeinträge" handelt die Spybot auf jedem System beim allerersten Lauf findet und fixt, also besteht kein Grund zur Sorge.


     
  18. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Die Systemwiederherstellung schreibt Systemdateien zurück, sonst nichts. Wenn diese also befallen waren KANN es reichen, muss aber nicht. Es kommt darauf an, ob der Rechner zum Zeitpunkt des Setzens des Wiederherstellungspunktes sauber war.

     
  19. carl frost

    carl frost Byte

    Registriert seit:
    21. Dezember 2003
    Beiträge:
    54
    ich denke er war zu diesem zeitpunkt nicht befallen.
    zur sicherheit mach ich jetzt wo alles rein ist mal ein image auf cd!!!

    heute habe ich wieder viel gelernt....
     
  20. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ carl frost

    Zu deinem Spybot Log:
    Hier findest du die Lösung: http://gigafaq.hoffie.net/index.php?&action=anzeige_tipp&id=0022


     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen