Hallo,
ich habe ein Problem mit Trojaner.MalJava. NIS Online hat den am 06.03.2012 um 12:28:59 drei mal gefunden und behauptet gelöscht. Heute 14.03.2012 um 15:15:10 wieder drei mal gefunden. Die Orte waren die gleichen Java Cache-Bereiche:
appdata\locallow\sun\java\deployment\cache\6.0\24\44fd018-3e0a6df1
appdata\locallow\sun\java\deployment\cache\6.0\15\77572b4f-656b2981
Es sieht so aus, als wenn die drei nach acht Tagen wieder da sind. Ich habe nach der heutigen Meldung nachgeschaut, die Dateien waren noch da. Allerdings heute um 15:15 geändert. Hat NIS nur die "gefährlichen" Java-Klassen entfernt? Oder was passiert da?
Die Klassen hießen:
sfgusvpbmpvrn.class
ksjgpmfarblgmfqtwyy.class
faauvqcyhrd.class
und heute:
qcnnnchedfdday.class
easmjktgyhjyjj.class
adqnllv.class
Ich habe einen zusätzlichen Vollscan gemacht aber nichts weiter gefunden. Wenn, wie auch immer geschehen, noch ein Trojaner wirksam ist, wie kann ich den finden?
Am 29.02. hatte ich die "Plattenkiste" runtergeladen und am 06.03. "Netdetect" von Netzwelt.de. Beide waren als sicher eingestuft. Zeigten bei der Ausführung aber Warnungen:
Quelldatei:
setup.exe
Datei erstellt:
pkhlplib.exe
Datei erstellt:
pk_mp3enc.exe
Dateiaktionen
Datei: c:\plattenkiste\helpers\pk_mp3enc.exe
entfernt
Datei: c:\plattenkiste\helpers\pkhlplib.exe
entfernt
Systemeinstellungsaktionen
Ereignis: Prozessstart (Performed by c:\plattenkiste\helpers\pk_mp3enc.exe, PID:3392)
Keine Aktion unternommen
Ereignis: PE-Datei erstellen: c:\plattenkiste\helpers\cdrip.dll (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:3428)
Keine Aktion unternommen
Ereignis: PE-Datei erstellen: c:\plattenkiste\helpers\wnaspi32.dll (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:3428)
Keine Aktion unternommen
Ereignis: Prozessstart (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:4264)
Keine Aktion unternommen
Ereignis: PE-Datei erstellen: c:\plattenkiste\helpers\pk_mp3enc.exe (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:5016)
Keine Aktion unternommen
Ereignis: PE-Datei erstellen: c:\plattenkiste\helpers\lame_enc.dll (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:5016)
Keine Aktion unternommen
und:
Quelldatei:
java.exe
Datei erstellt:
jag109849.exe
Dateiaktionen
Datei: c:\users\bernd\appdata\local\temp\jag109849.exe
entfernt
Systemeinstellungsaktionen
Ereignis: Prozessstart (Performed by c:\users\bernd\appdata\local\temp\jag109849.exe, PID:928)
Keine Aktion unternommen
Gruß
Bernd