PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : 13.09.2005,02:43:43 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Sma.bit.2.A!



Sven Udo
13.09.2005, 13:14
Wie kann das passieren? Ich habe ein wenig - ganz normal - "gegoogelt". Auf "guestbooks+guymen". Verschiedene guestbooks habe ich mir angesehen.
Plötzlch meldet mein AVGuard Trojaneralarm!
Alles wurde erkannt und gelöscht! Habe dann zur Sicherheit noch einen vollständigen Systemscan (mit Ad-Aware SE Plus) durchgefürt = OB!
Kennt das schon Jemand ?

12.09.2005,xx:xx:xx [INIT] Der AVGuard Service wird gestarted.
12.09.2005,xx:xx:xx [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
12.09.2005,xx:xx:xx [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
12.09.2005,xx:xx:xx [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID: [ID filtered]
12.09.2005,xx:xx:xx [INFO] Start Filter Device.
12.09.2005,xx:xx:xx [INIT] AntiVirService Version: 6.31.00.01 AVE Version 6.31.1.0 VDF Version: 6.31.1.235
12.09.2005,xx:xx:xx [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!

13.09.2005,xx:xx:xx [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Sma.bit.2.A!
C:\DOKUMENTE UND EINSTELLUNGEN\KLAUS\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\XNNN5T4A\ADV782[1].HTM
[INFO] Die Datei wurde gelöscht!

13.09.2005,xx:xx:xx [WARNUNG] Enthält Signatur des Java-Virus JAVA/Beyond.D3!
C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMP\AAWTMP\C43879515\1A477F\MATRIX.CLASS
[INFO] Die Datei wurde überschrieben und gelöscht!
13.09.2005,xx:xx:xx [WARNUNG] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.1!
C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMP\AAWTMP\C43879515\1A477F\COUNTER.CLASS
[INFO] Die Datei wurde überschrieben und gelöscht!
13.09.2005,xx:xx:xx [WARNUNG] Ist das Trojanische Pferd TR/Forten.Java.2!
C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMP\AAWTMP\C43879515\1A477F\DUMMY.CLASS
[INFO] Die Datei wurde überschrieben und gelöscht!
13.09.2005,xx:xx:xx [WARNUNG] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.3!
C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMP\AAWTMP\C43879515\1A477F\PARSER.CLASS
[INFO] Die Datei wurde überschrieben und gelöscht!

13.09.2005,xx:xx:xx [INFO] Stop Filter Device.
13.09.2005,xx:xx:xx [EXIT] Der AVGuard Dienst wurde beendet!

Sirius
13.09.2005, 13:22
Wie kann das passieren? Du hast dir eine präparierte Internetseite angesehen, auf der gleich fünf! Exploits versteckt waren. Du bist sozusagen mitten rein in die Kacke getreten.

Dein Scanner hat es allerdings sofort bemerkt und die Viecher noch im Cache gelöscht.

Du solltest keinen Internetexplorer benutzen. Ich sehe sowas ;-)

Sirius
13.09.2005, 15:00
Die Quelle liegt in Kiew/Ukraine: <195.95.218.173/dl/newexpl.php?adv=adv782> http://195.95.218.173
(Den Link nicht mit dem Internet-Explorer ansehen!)

Da ein ganzer Hacker-Trupp unterwegs gewesen:
http://lists.indymedia.org/pipermail/imc-taiwan/2005-July/0716-tw.html
http://www.phpbb.com/phpBB/viewtopic.php?t=310053&highlight=&sid=3da966816426859ab6053721c09824a0
http://www.computerforum.com/showthread.php?threadid=17634

Grüße

Goofy
13.09.2005, 17:41
Der Internet-Explorer ist zum sorglosen Surfen nicht geeignet. Speziell in der Default-Einstellung ist er riskant konfiguriert (aktive Inhalte aktiviert etc.). Er weist hunderte von Exploits auf, teils gepatcht, teils ungepatcht.

Andere Browser (Firefox, Opera) sind wesentlich sicherer, auch wenn man fairerweise sagen muss, dass auch für diese Browser Exploits entdeckt werden. Das jedoch nicht in dieser schönen Regelmässigkeit wie beim IE. Und Patche gibt es dann wirklich effektiv.

Ich persönlich benutze den Firefox, mit deaktivierten IDN.
Java und Javascript habe ich standardmässig abgeschaltet und schalte es nur dann kurzfristig für vertrauenswürdige Seiten zu, wenn es gebraucht wird (geht schnell).

Sven Udo
13.09.2005, 18:00
@Sirius, vielen Dank für die guten & ausführlichen Infos. Ist sehr hilfreich.
BTW, Betreff Internetexplorer, schon länger liebäugel' ich mit Wechselgedanken.
Ja, nur - es gibt so einiges an Open Soucre Browser/Syteme. Welches ins "das Richtige" = ich meine, welches ohne viel Aufwand praktikabel zu installieren wäre. Sowie gut funktional arbeitet.

Weil, mir fehlt die Zeit für Experimente usw.
Fulltime Job - stressig oft, und arbeitsintensiv "around the clock".
Naja und so...

Sirius
13.09.2005, 18:23
Welches ins "das Richtige" = ich meine, welches ohne viel Aufwand praktikabel zu installieren wäre. Sowie gut funktional arbeitet.Unter Windows den Firefox (ohne E-Mail) oder den Mozilla (mit E-Mail).

Opera ist z.Z. kostenlos erhältlich. Aber es gibt hierfür keinen Ad-Blocker, Proxy-Switcher, TinyUrl-Creator und die ganzen anderen netten Tools.

Firefox (DE, Win): http://download.mozilla.org/?product=firefox-1.0.6&os=win&lang=de-DE
Mozilla: (EN, Win): http://ftp.mozilla.org/pub/mozilla.org/mozilla/releases/mozilla1.7.11/mozilla-win32-1.7.11-installer.exe
deutsches Sprachpaket: http://www.mozilla.org/projects/l10n/mlp_status.html#moz_1.711

Grüße

homer
13.09.2005, 20:31
Unter Windows den Firefox (ohne E-Mail) oder den Mozilla (mit E-Mail).
Der Thunderbird (http://www.mozilla.org/products/thunderbird/) als Mailclient taugt auch ganz gut.
Als richtigen Mailclient für Windows empfehle ich immer noch gerne den Pegasus Mail (http://www.pmail.com/). Als ich noch mit Windoof unterwegs war (Win 3.11), war das damals schon der Client erste Wahl. Der hatte Funktionen, da hinken manche "moderne" Mailer noch meilenweit hinterher.

Sven Udo
14.09.2005, 12:27
@Sirius, da ist noch was. Beim scannen (im Zusammenhang oben) habe ich noch einen Datei - in den tiefen der Systems - gefunden, welche da nicht hingehört. War Zip komprimiert - und ich habe es nicht geöffnet! Und ersteinmal unter Quarantäne gestellt.

Name: > loaderadv782.jar-105f7d92-68ce9233.zip <

Klärst Du mich Bitte mal auf, Danke!

Sirius
14.09.2005, 15:17
loaderadv782.jar-105f7d92-68ce9233.zip Das ist eine Java-Bibliothek (Archiv) mit Funktionen, die vom Virus benötigt wird. Java-Archive werden vom Betriebssystem gesondert verwaltet und gespeichert.

Lösche die Datei und schalte Java im Internet Explorer ab.

Grüße

Sven Udo
14.09.2005, 15:54
Lösche die Datei und schalte Java im Internet Explorer ab.
@Sirius :erledigt: :goodgame: Danke!

Bretzelsepp
14.09.2005, 23:40
wenn ich auch noch kurz ein bisschen Senf zum Browser dazugeben darf:
Falls die Wahl auf den Mozi Firefox fallen sollte...
Lade dir gleich noch "Adblock" runter.
>damit kann man sich Internetseiten richtig schön werbefrei machen... :-)
Das erhöht den Komfort und die Surfgeschwindigkeit!

noch n Tipp: Auch wenn der MsIE nicht mehr benutzt wird, immer schön brav updates machen... :rolleyes:

Sven Udo
15.09.2005, 00:36
@alle...danke für die Tipps! Im Oktober habe ich noch 2 Wochen frei (Urlaub & Überstunden absetzen). Da werde ich mich - warscheinlich - mal in die Sache "reinknien"! :)

thunder
21.09.2005, 18:49
Hallo leute, hab gegoogelt und dann dass!! mei AV zeigt mehrere warnungen trojanische pferde und viren, nach dem scan zeigt er mir insgesammt 12 stück davon konnte ich noch 4 löschen die anderen, geht nicht?"....konnten nicht gelöscht werden...! und jetzt?

darf ich mal den AV - report zeigen? ich habe leider keine ahnung davon:((
Betriebssystem XP als browser Opera(wie schalte ich den die javascripts ab??) 1,5 jahre gings gut und jetzt das :mad:
Report:

ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Damian K\Anwendungsdaten\Opera\Opera\profile\cache4
dcache4.url
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml
WURDE GELÖSCHT!
opr0236A.jar
ArchiveType: ZIP
--> Matrix.class
[FUND!] Enthält Signatur des Java-Virus JAVA/Beyond.D3
--> Counter.class
[FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.1
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Forten.Java.2
--> Parser.class
[FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.3
opr0236H.jar
ArchiveType: ZIP
--> Matrix.class
[FUND!] Enthält Signatur des Java-Virus JAVA/Beyond.D3
--> Counter.class
[FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.1
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Forten.Java.2
--> Parser.class
[FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.3
C:\Dokumente und Einstellungen\Damian K\Lokale Einstellungen\Temp
MPS24.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
MPS2E.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
MPS2F.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
MPS30.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
MPS31.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Damian K\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5MZGTYJ
s_ta_ts[1].js
[FUND!] Enthält Signatur des Java-Virus JAVA/Dldr.Movie.A
WURDE GELÖSCHT!
s_ta_ts[2].js
[FUND!] Enthält Signatur des Java-Virus JAVA/Dldr.Movie.A
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Damian K\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLUBSH2F
s_ta_ts[1].js
[FUND!] Enthält Signatur des Java-Virus JAVA/Dldr.Movie.A
WURDE GELÖSCHT!

.........
Ende des Suchlaufs: Mittwoch, 21. September 2005 18:20
Benötigte Zeit: 29:34 min


6740 Verzeichnisse wurden durchsucht
117224 Dateien wurden geprüft

hab nur das wichtigste reinkopiert

14 Warnungen wurden ausgegeben
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
12 Viren bzw. unerwünschte Programme wurden gefunden

was weiter?

Sirius
21.09.2005, 19:23
Soweit ist alles in Ordnung.

Es wurden zwar 12 Viren(bestandteile) gefunden, aber die steckten z.T. in einer einzigen Datei drin.

Die MPSXX.tmp kannst du ignorieren. Das sind geöffnete Dateien eines anderen Programmes und können nicht gelöscht werden.

Die solltest zunächst im Internet Explorer und Opera den Cache löschen.

Anschließend beendest du alle Programme und führst nochmals einen Virenscan durch.

thunder
21.09.2005, 19:53
Juppi!! :D nach dem 2 ten virenscan zeigte er mir das

Ende des Suchlaufs: Mittwoch, 21. September 2005 19:26
Benötigte Zeit: 32:25 min


6744 Verzeichnisse wurden durchsucht
117032 Dateien wurden geprüft
9 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

bin aber froh :)
danke das du das bestätigst ich wäre sonst noch unsicher,
was könnten diese viecher :skull: so verursachen??
ach so und wo lösche ich den cache von opera?weiß das jemand?
Nochmals Danke!!