Hallo Forum, wie der Titel schon sagt, heute bin ich leider fündig geworden!;(
Vor paar Tagen auf einschlägigen XXX-Seiten, meldete F-Secure schon mal 2 Trojaner, die, wenn ich mich recht erinnere, im Cache von Mozilla entdeckt wurden, allerdings teilte mir der Virenscanner gleich mit, die besagten Dateien seien gelöscht worden. Darauf vertauend war die Sache für mich erledigt.
Nachdem mir der Esel in den letzten Tagen häufiger mal abstürzte und sich auch zwei, drei mal die Bildschirmauflösung spontan änderte, wenn ich ein Video mit dem Media-Player öffnete, was ich zunächst auf den neuesten Nvidia-Treiber zurückführte;) (Wobei das auch weiterhin am Treiber gelegen haben kann!), habe ich mich schließlich entschlossen meine beiden Platten zu durchsuchen! Vorher habe ich, wie empfohlen, die Schutzstufe auf hoch gesetzt und dann ohne Ausnahme alle Dateien überprüfen lassen.
Nach dem Scan staunte ich nicht schlecht, als sage und schreibe 14 Trojaner gefunden wurden! Und das bei ständig laufenden F-Secure mit der integrierten Firewall. :o
Alle Trajaner hatten sich tief in Java eingenistet, manche sogar mehrmals. Hier ein Auszug aus dem Protokoll:
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\GetAccess.class Infektion: Trojan.Java.ClassLoader.c
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\InsecureClassLoader.class Infektion: Exploit.Java.Bytverify
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\Dummy.class Infektion: Trojan.Java.ClassLoader.Dummy.a
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\Installer.class Infektion: TrojanDownloader.Java.OpenConnection.f
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\Beyond.class Infektion: Trojan.Java.Shiwow
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\counter.class Infektion: Trojan.Java.ClassLoader.b
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\Dummy.class Infektion: Trojan.Java.ClassLoader.Dummy.c
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\VerifierBug.class Infektion: Exploit.Java.Bytverify
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\load eradv78.jar-27714795-5b0e80b9.zip\Counter.class Infektion: Trojan.Java.ClassLoader.h
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\load eradv78.jar-27714795-5b0e80b9.zip\Matrix.class Infektion: TrojanDownloader.Java.OpenStream.c
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\load eradv78.jar-27714795-5b0e80b9.zip\Parser.class Infektion: Trojan.Java.ClassLoader.d
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\x4yi pafw1.jar-35676b62-39de62de.zip\counter.class Infektion: Trojan.Java.ClassLoader.b
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\x4yi pafw1.jar-35676b62-39de62de.zip\Dummy.class Infektion: Trojan.Java.ClassLoader.Dummy.d
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\x4yi pafw1.jar-35676b62-39de62de.zip\VerifierBug.class Infektion: Exploit.Java.Bytverify
F-Secure bot mir anschließend an, die befallenen Dateien zu desinfizieren, dem ich natürlich zustimmte. Komisch nur, das nach einem weiteren Scan genau diese 14 Trojaner wieder gefunden werden, ohne daß ich inzwischen eine Internet-Verbindung aufgebaut hätte. Wenn ich diese Archive mit WinRAR entpacke, meldet F-Secure sofort wieder eine Bedrohung und bietet die Desinfektion an - angeblich werden die Trojaner umbenannt. Ihre Endungen lauten ".class". Mich interessiert besonders:
1. Sind diese Trojaner jetzt kaltgestellt oder sollte ich sie vielleicht noch per Hand löschen?
2. Wie schwer wurde ich angegriffen, waren das nur harmlose Popups und Spyware oder hatte jemand wirklich Einblick auf meine Festplatte mit vollem Zugriff?
3. Habe ich Java diesen Schlamassel zu verdanken?
(winXP Pro, SP 1, alle Updates, F-Secure Internet Security 2004, legal erworben und auf dem neuesten Stand)

Vielen Dank für die Hilfe, Lars.

1. Sind diese Trojaner jetzt kaltgestellt oder sollte ich sie vielleicht noch per Hand löschen?
2. Wie schwer wurde ich angegriffen, waren das nur harmlose Popups und Spyware oder hatte jemand wirklich Einblick auf meine Festplatte mit vollem Zugriff?
3. Habe ich Java diesen Schlamassel zu verdanken?
(winXP Pro, SP 1, alle Updates, F-Secure Internet Security 2004, legal erworben und auf dem neuesten Stand)
mmm...

0.) Frage ist, welchen Browser du benutzt. Wenn du Firefox oder Opera benutzt, dürften die Trojaner selber sich zwar "erfolgreich" runtergeladen haben, aber sind nicht weiter ausgeführt worden...
1.) Naja, deine ganzen Trojaner befinden sich immerhin nur im Cache von Java, weshalb ich nicht glaube, das dein System weiter infiziert ist => den Inhalt vom Cache- Ordner mal eiskalt löschen und danach nochmal alles scannen ...
2.) Dadurch wurden sie aufgerufen, da F- Secure aber keine weiteren Ordner anzeigt, dürfte der Rest sauber sein. Ansonsten kannst du noch ein Log von HijackThis posten, dann können wir sehen, was alles gestartet wird ...
3.) Jein, siehe Antwort 2 => beim IE wird sowas gerne durch Active- X oder Javascript ausgeführt. Dabei wird aber erstmal nur der Download ausgeführt, die Trojaner selber sind aber auf Java angewiesen und müssen dazu auch erfolgreich aufgerufen werden, was bei dir nicht geklappt hat, denke ich zumindest ...

Gut, danke, werde auf jeden Fall noch den Scann machen lassen. Ergebnisse kommen dann aber erst später, um Neun werden hier ja erstmal die Fensterläden geschlossen! ;)

...Protokoll wird folgen!

Lars

Gut, erst mal vielen Dank für die Hilfe, Lokadamus! Nachdem ich den Cache von Java weggeschmissen hatte, waren auch die Trojaner nicht mehr auffindbar! :up:
Java Applets funktionieren noch - sollte also wieder alles in Butter sein.
Trotzdem noch zum Schluß das Protokoll von HijackThis, die unkenntlich gemachten Stellen wurden von mir schon auf ihre Richtigkeit hin untersucht.
Soweit ich sehen kann nichts wirklich Schlimmes dabei. Gut, einige Dienste laufen da unnütz, aber keine Trojaner. Wäre aber nett, wenn Du noch mal drüberschauen könntest:
Logfile of HijackThis v1.97.7
Scan saved at 01:35:27, on 07.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\backweb\7309581\program\fsbwsys.exe
C:\PROGRA~1\F-SECU~1\backweb\7309581\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\backweb\7309581\Program\BackWeb-7309581.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\PROGRA~1\MOZILLA1.6\MOZILLA.EXE
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.***.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.***.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38141.5023958333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B090E258-11AE-42FE-BCE5-979EF965DB1E}: NameServer = ***

Lars

mmm...

Dein System sieht sauber aus, hab nichts gefährliches gefunden. Nur 2 Sachen noch:

1.) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
Benutzt du einen Proxy oder ist diese Einstellung von F-Secure?

2.) O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe <-- laut Google kommt das Teil von der Firma ENGEL Technologieberatung, nur hat keiner eine Ahnung, wozu dieses Teil gehört (Tiscali?)

Also, die Festplatten habe ich erstmal mit Ad-aware auf Spyware geprüft. Ein Eintrag wurde gefunden und gelöscht. WinDSL_MTU.exe war noch da. Dann habe ich die Seite der Firma ENGEL Technologieberatung besucht, konnte aber mit ihr nichts in Verbindung bringen, komisch.
Nach etwas Suche über HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost liest man öfter, daß dieser Eintrag gelöscht werden sollte, also habe ich beide Regestry-Schlüssel mit HijackThis gelöscht und natürlich eine Sicherheitskopie angelegt.
Nach einem Neustart war leider der letztgenannte Eintrag wieder vorhanden. :kratz: Der Rechner läuft soweit gut. Nur, was ist von diesem Eintrag zu halten? Läuft da ein Server oder wie soll ich diesen Schlüssel verstehen?
Noch mal ein Protokoll des aktuellen HijackThis-Scanns:
Logfile of HijackThis v1.97.7
Scan saved at 16:09:56, on 07.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\PROGRA~1\F-SECU~1\backweb\7309581\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\backweb\7309581\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\backweb\7309581\Program\BackWeb-7309581.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Wartung\HijackThis\HijackThis.exe
C:\PROGRA~1\MOZILLA1.6\MOZILLA.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.***.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost (wieder da)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.***.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38141.5023958333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Lars

mmm...

Eigentlich wollte ich vorhin schon antworten, aber irgendwie ist der Server hin und wieder überlastet.

Also, bei dem Localhost habe ich F-Secure im Verdacht, nur benutze ich es nicht und kann darum nicht viel dazu sagen. Bei den ganzen Sachen, die F-Secure aufruft, scheint aber sowas dabei zu sein, vielleicht versucht es so, alle Verbindungen besser kontrollieren zu können :ratlos:
Warum du allerdings den untersten Eintrag mit Nameserver gelöscht hast, weiss ich nicht, normalerweise steht dort die IP vom DNS- Server deines Providers oder die IP vom Router, wenn man einen einsetzt.

Wegen der WinDSL_MTU.exe, ist das dein Privatrechner oder Firmenrechner? wenn es ein Firmenrechner ist, kannst du vielleicht in deiner IT- Abteilung nachfragen, was es machen soll (entweder gar nichts oder die Verbindung optimieren)...

Warum beim letzten Scann die unterste Zeile fehlte weiß ich nicht, vielleicht habe ich die versehentlich abgeschnitten. Aber die IPs habe ich überprüft, sie stimmt mit denen des ISPs überein. Bezüglich der WinDSL_MTU.exe kann ich leider keine IT-Abteilung in Anspruch nehmen, die bin ich sozusagen selbst - ist ein Privatrechner eines nahen Verwandten älterer Generation. :) Und diese WinDSL_MTU.exe ist wie gesagt bisher nicht wieder erschienen. Ich wüßte jetzt nicht, wie man überprüfen kann was hinter HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost steckt. Wenn Du aber sagst, daß das erstmal alles gut aussieht, würde ich es dabei belassen und den Rechner die nächste Zeit genauer beobachten.

Lars