trojaner: tofger.BI.1-5, classload....

hi leute.

es ist mal wieder soweit... ich hab nen trojaner von antivir angezeigt bekommen- nein nicht einen MEHRERE gleich.

TYP: tofger.xxx mit verschiedenen endungen.

nachdem antivir das ding nicht gelöscht hat, habe ich mich schlau gemacht.
in einem forum hieß es man sollte den IEcache samt offline inhalte leeren, da div. classload-dateien oder so betroffen sind. das habe ich jetzt auch getan.

antivir findet nun nichts mehr...

kanns das wirklich gewesen sein? habt ihr noch tips was ich tun kann außer neuformatieren...
reicht eine wiederherstellung des systems über die xp eigene sicherung aus?

vielen dank im voraus,
gruß carl.

 

Wo hatte AntiVir die Trojaner denn gefunden?

Wenn sie nur in den Temporary Internet Files waren hast du gute Chancen dass sie nicht aktiv waren.


Überprüfe zur Sicherheit dein System mit einem zweiten Virenscanner (z.B. AVG), Ad-aware und Spybot S&D.

Zusätzlich erstelle ein HijackThis Log ( http://hjt.klaffke.de/ ) und poste es hier.

 

hi.

danke für die prompte antwort. ich hab adaware grad gestartet, hijackthis ist durch.

vielleicht kennst du dich da aus?


Logfile of HijackThis v1.98.2
Scan saved at 15:54:51, on 11.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\King\Desktop\HijackThis.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6944A92-C816-4D92-8501-372800ADC893}: NameServer = 192.168.0.112


bis gleich.

 

nun jetzt habe ich ein weiteres mal mit adaware gscant und nur ein paar blöde cookies gefunden, die aber nix mit dem trojaner zu tun haben...

und wie lautet des rätsels lösung? -kannst du mir helfen?

 

Das Log sieht sauber aus.

Was sagt Spybot S&D?

Die wichtigste Frage hast du nicht beantwortet:

 

ahaa.

tut mir leid das weis ich nicht mehr genau...
es hatte auf alle fälle was mit einer datei zu tun die sich classload.class nennt!
der befindet sich: C:\WINDOWS\java\Packages\DJXR977J.ZIP hier!

hab grad eben nochmal die scans seit gestern abend durchgesehen... und jetzt halte dich fest!

weitere toj: Dldr.agent.BQ.1
Dldr.OpenConn.F

waren zwei weitere kandidaten die von antivir nicht gelöscht werden konnten....

jetzt kenn ich mich bald nicht mehr aus? - was nun?

ps: hol mir grad noch spybot....

 

Hm, AntiVir hat so ne Tendenz zu Fehlalarmen bezüglich Trojanern in .zip Dateien mit Java .class Dateien. (Hatte ich selbst schon mal)

Um sicher zu gehen solltest du mal einen anderen Virenscanner scannen lassen. AVG ist neben AntiVir ein guter kostenloser Scanner.

Bist du sicher dass deine Temporary Internet Files gelöscht sind (auch die Offline-Inhalte)?

 

ja- bin sicher!

habs auch grad nochmal gelehrt!

hab jetzt spybot und starte den mal.

was ist avg?

ach ja- danke für deine unterstützung!

 

@ carl frost

Hallo,

lade eScan AV Toolkit (mwav.exe) runter, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken.
Dann die "kavupd.exe" (Update) ausführen und den Scanner im abgesicherten Modus mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Danach postest du die Virus Log Information von eScan.

PS.
Den Antivir Guard beim Scannen (eScan) abschalten!

Edit:

Link vergessen.

 

thema spybot:

was hat eigentlich die immunisierung für einen zweck?

soll ich das machen?

muss ich antivir während des scanens ausschalten?

 

Mit Scanner meinte ich natürlich Virenscanner.


So wies aussieht ist dein System clean. Eine Prüfung mit einem zweiten Virenscanner sollte dazu dienen diese Vermutung zu bestätigen.

 

Aus der Hilfe:

Ähnlich wie beim JavaCools SpywareBlaste erlaubt Ihnen dies einige internen Einstellungen zu verändern, so dass die Installation von bereits bekannter Spyware (und ähnlichen Bedrohungen) abgeblockt wird. Spybot-S&D kann alle Einträge, die in unserer Datenbank vorhanden sind, als zu blocken eintragen.

Während Spybot scannt muss der Guard nicht aus sein.

 

hier ist das ergebnis vom spybotscan:

DoubleClick: Verfolgender Cookie (Internet Explorer: King) (Cookie, fixed)


Alexa Related: Verknüpfung (Datei austauschen, fixed)
C:\WINDOWS\Web\related.htm

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-220523388-854245398-281015459-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-08-11 Includes\Dialer.sbi
2004-08-11 Includes\Hijackers.sbi
2004-08-11 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-08-11 Includes\Malware.sbi
2004-08-11 Includes\Revision.sbi
2004-08-11 Includes\Security.sbi
2004-08-11 Includes\Spybots.sbi
2004-08-11 Includes\Tracks.uti
2004-08-11 Includes\Trojans.sbi



die gelöschten reg-einträge sind nicht gut und deuten auf den tofger trojaner hin...
jetzt sind sie weg!!!

so jetzt mach ich mich an den tip von cidre ran!

moment!

 

hi.

hab den link nicht gebraucht... habs gefunden.
ist allerdings ne exe datei... und den bases ordner gibts nicht???

im abgesicherten modus hochfahren geht mit F8 oder?

 

@ carl frost

Die mwav.exe ist eine gezipptes Archiv, die du natürlich in den von dir erstellten Ordner in C:\bases entpackst.

Die weitere Vorgehensweise habe ich dir per PN schon beschrieben.

 

hab jetzt alles durch von spybot, antivir, hijackthis bis hin zu eScan. der letzte war erfolgreich und hat alle (das hoffe ich) gelöscht!

märci für die hilfe!

viele grüsse, carl.

ps: meine frage zwecks systemwiederherstellung ist noch offen! hat jemand ne antwort?

 

Jep.

Bist du sicher dass die Reg-Einträge zu nem Trojaner gehören?
Ich kann sie leider nicht komplett lesen (sie gehn etwas über den Rand) und es ist schon ne zeitlang her dass ich Spybot zum ersten mal auf einem System hab laufen lassen aber ich denke dass es sich hier um "Standardeinträge" handelt die Spybot auf jedem System beim allerersten Lauf findet und fixt, also besteht kein Grund zur Sorge.

 

Die Systemwiederherstellung schreibt Systemdateien zurück, sonst nichts. Wenn diese also befallen waren KANN es reichen, muss aber nicht. Es kommt darauf an, ob der Rechner zum Zeitpunkt des Setzens des Wiederherstellungspunktes sauber war.

 

ich denke er war zu diesem zeitpunkt nicht befallen.
zur sicherheit mach ich jetzt wo alles rein ist mal ein image auf cd!!!

heute habe ich wieder viel gelernt....

 

@ carl frost

Zu deinem Spybot Log:

Hier findest du die Lösung: http://gigafaq.hoffie.net/index.php?&action=anzeige_tipp&id=0022