Bytverify /Classloader
 

Könnte mal jemand hier bitte einen Blick auf unten stehendes log-file werfen?

Der Rechner wird seit 2 Tagen immer langsamer, und online kann ich auch nicht mehr gehen. Mein Antivirenprogram (BitDefender) spuckte mir eine Liste mit Trojan.Exploit.Java.Bytverify oder Trojan.Java.Classloader.H aus. Soweit möglich, wurden die Trojaner vom Program bzw. nachher per Hand im abgesicherten modus gelöscht, aber das war´s wohl noch nicht.

Danke im Voraus,
ThomasW




Logfile of HijackThis v1.99.1
Scan saved at 17:29:42, on 03.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mozilla.org\Mozilla\mozilla.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.xxx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\System32\jegdo.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,uymhywd.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\iexplore.exe
O4 - HKLM\..\Run: [Olympic] C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKLM\..\Run: [defender] C:\\dfndref_7.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdef_7.exe
O4 - HKLM\..\Run: [slsqop] C:\WINDOWS\System32\ttoyor.exe reg_run
O4 - HKLM\..\Run: [pop06ap] C:\WINDOWS\pop06ap2.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [egr33516] RUNDLL32.EXE w27048c5.dll,n 002335140000000a27048c5
O4 - HKLM\..\Run: [newname] c:\\nwnmef_7.exe
O4 - HKLM\..\Run: [xload] "C:\WINDOWS\xload.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [oiarp] C:\WINDOWS\System32\ttoyor.exe reg_run
O4 - HKCU\..\Run: [wuqr] c:\stub_113_4_0_4_0newer.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS\System32\dmonwv.dll (file missing)
O9 - Extra 'Tools' menuitem: Java - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS\System32\dmonwv.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet7_22.dll' missing
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.mmohsix.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: *.sxload.com
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {19F4A690-10EE-0F32-CC00-000000000000} - h**p://65.89.40.111/pripic.com/flkwi1a/g732hdv.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - h**p://promo.dollarrevenue.com/activex/promocache/3138302D2D2D.exe
O16 - DPF: {5526B4C6-63D6-41A1-9783-0FABF529859A} (mm06ocx.mm06ocxf) - mk:@MSITStore:C:\DOKUME~1\xxx\LOKALE~1\Temp\mma.chm::/joysavsht.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - h**p://www.mt-download.com/MediaTicketsInstaller.cab?refid=3084
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - mk:@MSITStore:C:\DOKUME~1\xxx\LOKALE~1\Temp\winfix.chm::/SystemDoctor2006FreeInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{3336ADB1-C21E-4B08-A0BA-2A70DD452575}: NameServer = 139.17.128.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{3336ADB1-C21E-4B08-A0BA-2A70DD452575}: NameServer = 139.17.128.10
O18 - Filter: text/html - {7147713B-F7B8-421E-9435-E9380ED7A49E} - C:\WINDOWS\System32\mrd.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\m8ju0i19e8.dll
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Programme\Intel\ASF Agent\ASFAgent.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Iap - Unknown owner - C:\Programme\Dell\OpenManage\Client\Iap.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - c:\programme\softwin\bitdefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo,

ich hoffe dieses Log ist nur ein Witz und Du willst uns zeigen wie ein Honeypot Rechner aussieht.

Gehe diese Anleitung durch und ändere alle an diesem Rechner verwandten Zugangsdaten.

Gruß :)

Schrulli

Bytverify /Classloader
 

Schrulli: Danke erst mal für die prompte Antwort!

Wenn ich Dich richtig verstanden habe (sorry, bin kein Computer-Experte, sonst wäre ich wohl auch nicht hier), fungierte der Rechner als eine Art "Scheinangriffsziel" für Netzwerkattacken. Wie und woran lässt sich das im log-file erkennen und ggf. in Zukunft umgehen?
Gäbe es eine Möglichkeit, dass Trojaner-Problem (welches ja das eigentliche Problem ist) anders als mit der finalen Methode "Neuaufsetzen" zu lösen? Die Platte ist natürlich nicht partitioniert, d. h. müsste komplett mit allen Daten formatiert werden.

ThomasW

Hallo,

Dein Rechner ist kein Ziel, er ist eine Drohne geworden.
Das Programm tauscht Dateien aus, kommuniziert mit einem Server im Internet und solch schöne Sachen.
Ich habe mir das mal installiert (Virtuelles XP) und da hatte ich nach schließen des Programms immernoch ca. 60 Dateien die geöffnet waren, im Log sieht Du das nicht.
Für Dich führt kein Weg an einem Neuaufsetzen vorbei.
Nächstes mal vorsichtiger :)

Gruß

Schrulli