|
Adbreak & Trojaner hallo zusammen, ich bin neu hier, und hab mich registriert, weil ich derzeit arge probleme mit meinem pc habe und alleine nicht mehr weiter komme... ich nutze kaspersky als virenscanner...starte ich jedoch den scan, wird mein rechner nach knapp 10 minuten urplötzlich neu gestartet...(ich habe alternativ schon versucht, mit AntiVir zu scannen, dort habe ich jedoch genau das gleiche problem) zudem hat mir kaspersky über den anti-viren-monitor folgende trojaner angezeigt, als ich ad-aware gestartet habe: C:\Programme\Lavasoft\Ad-aware 6\Cache\GetAccess.class Infiziert Trojan.Java.ClassLoader.c C:\Programme\Lavasoft\Ad-aware 6\Cache\InsecureClassLoader.class Infiziert Exploit.Java.Bytverify C:\Programme\Lavasoft\Ad-aware 6\Cache\Dummy.class Infiziert Trojan.Java.ClassLoader.Dummy.a C:\Programme\Lavasoft\Ad-aware 6\Cache\Installer.class Infiziert TrojanDownloader.Java.OpenConnection.f diesen "cache-ordner" gibt es allerdings nicht wenn ich versuche, über den explorer auf ihn zuzugreifen... ein weiteres problem ist, dass der kaspersky-viren-monitor zwischendurch immer mal wieder einen virus?! mit dem namen "Adbreak" findet, jedoch nicht löschen kann... auch hier gibt es den ordner, in dem Adbreak gefunden wird, nicht auf meiner platte zu finden... ich hoffe, ihr habt ein paar tips für mich, ich weiss nämlich wirklich nicht weiter... lieben gruss replica |
nachtrag: ich hab mir grade mal gedanken gemacht, was den cache ordner angeht von ad-aware... hätte vielleicht mal eher drauf kommen sollen, dass der nur erstellt wird, damit gescannte dateien dort zwischengespeichert werden ;-) mal im ernst: ich habe dann mal nach von kaspersky genannten dateien manuel gesucht, und bin da auf eine zip-datei gestossen: classload.jar-1f5b6b54-11ffc711.zip alle die genannten infizierten dateien befinden sich in diesem zip-ordner... zudem ist dort noch eine weitere datei vorhanden: classload.jar-1f5b6b54-11ffc711.idx reicht es, wenn ich die beiden dateien einfach manuel lösche und die trojaner sind dann weg?! danke im vorraus für eure hilfe :-) lieben gruss replica |
Hi replica, willkommen an Board. :) Lässt Du Dir auch versteckte und Systemdateien anzeigen? Das kannst Du im Explorer in den Ordneroptionen einstellen. Bei mir gibt es das Verzeichnis "Cache" allerdings nicht. Wo liegen die von Dir angesprochenen Zip-Dateien? Du solltest beim Scannen andere Hintergrundprogramme nach Möglichkeit deaktivieren. Gruß :daumenhoc Yopie |
Einige Frage: welchen Browser verwendest du und hast du Java-Script aktiviert? Ist Dein System auf dem neuesten Stand (regelmäßige Updates)? Der Trojaner setzt auf eine Schwachstelle in Microsofts Virtual Machine an: http://www.sophos.de/virusinfo/analy...ojjdownla.html bzw.: http://www.microsoft.com/technet/sec.../MS03-011.mspx Die Files könnten sich auch im Cache deines Browsers befinden, den solltest du auch mal leeren. Falls du den IE verwendest Java-Script aktiviert hast und den entsprechenden Patch nicht drauf hast, wäre das nicht sehr gut. AdBreaker ist ein Browser-Hijacker. Du solltest zunächst unbedingt einen Virus-Scan im abgesicherten Modus machen und danach Hijackthis ausführen und ein Log posten, Anleitung siehe Yopis Signatur. |
@ replica: Ja der Cache-Ordner von Lavasoft ist ein rein temporärer Ordner währendes des Prüfvorganges. Da erfahrungsgemäß Lavasoft sich irgendwelche Dateien (ob Trojaner oder nicht) nicht aus den Fingern saugt, mal unbedingt einen Komplettscan machen. Möglicherweise hat AdAware aber (obwohl nicht seine Aufgabe) den Müll schon entsorgt. |
hallo zusammen :-) entschuldigt, ich habe es vorher nicht geschafft zu antworten... also erstmal zu den versteckten systemordnern: japp, die lasse ich mir auch mit anzeigen :-) wenn ich nen virenscan mache, sind in der regel alle programme geschlossen, auch im autostart sind ausser kaspersky keine anderen programme, die laufen könnten und so vielleicht den arbeitsspeicher überlasten oder ähnliches...ich schätze mal, der ständige neustart während des scans hat andere gründe... der pfad der dateien ist: C:\Dokumente und Einstellungen\Administrator\.jpi_cache\jar\1.0\classload.jar-1f5b6b54-11ffc711 ich nutze den internet explorer und gelegentlich auch mal netscape... das system sollte auf dem neusten sein, ich mach eigentlich sehr regelmässig updates... java-script sollte aktiv sein, ja... hmm ich leere mein cache eigentlich über den "automatischen" weg, heisst über den internet explorer bzw netscape selbst...reicht das also nicht aus?! den Log von Hijackthis mache ich wenn ich mehr zeit habe, und poste ihn euch, ok?! :-) ich danke euch für eure hilfe.... ;-) |
So, und nun der Log: Logfile of HijackThis v1.98.0 Scan saved at 00:34:29, on 24.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpm.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe" /wait O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQ.exe -minimize O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file) O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O16 - DPF: {13B03B06-C0DF-4522-BDBA-E0B2365C72A5} (Flatcast Viewer 4.7) - http://www.1mal1.com/flatcast/NpFv47.dll O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/drakken/us/win/QuickTimeInstaller.exe O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4317/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3363188F-7BD8-4C39-919C-81E4AE6DBA9F}: NameServer = 217.237.149.161 194.25.2.129 |
Das Log sieht nach http://www.hijackthis.de sauber aus; Du solltest nur schnellstens den IE mittels http://www.windowsupdate.com auf den neuesten Stand bringen. Gruß :daumenhoc Yopie |
danke, werde ich sofort in angriff nehmen :) was mich aber noch etwas "misstrauisch" macht, ist, dass wie erwähnt kein virenscan mehr vollends durchläuft, ohen dass sich der rechner neu startet... was könnte hier das problem sein?! ein virus/wurm? |
nochmal zu adbreak: F:\System Volume Information\_restore{3056B30E-786A-459A-BB4E-F33C655612C5}\RP274\A0065373.exe/WISE0021.BIN Infiziert Backdoor.Adbreak.e ich kann diese datei nirgendwo finden... wie bekommt man sie denn weg?! |
Die Datei ist in der Systemwiederherstellung. Diese deaktivieren und wieder aktivieren, und die Datei ist weg! Gruß :daumenhoc Yopie |
hmm wie mache ich das denn?! bzw wie komme ich da hinein?! :confused: |
In der klassischen Ansicht gehts so: Start-Einstellungen-Systemsteuerung-System-Systemwiederherstellung- [x] Systemwiederherstellung auf allen Laufwerken deaktivieren. HTH Gruß :daumenhoc Yopie |
danke Yopie, habe ich grade gemacht, ich hoffe, nun gibt es da keine probleme mehr... :) obwohl ich sicher langsam nerve: ich hab grade erneut versucht einen komplettvirenscan durchzuführen und nach knapp 10 minuten kam es zum neustart. hat wirklich niemand eine idee, was hier das problem sein könnte?! lieben gruss replica |
Zitat:
Gruß :daumenhoc Yopie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:54 Uhr. |
Copyright ©2000-2024, Trojaner-Board