Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Dldr.small.cwj.216

Frage Sicherheit Viren und Trojaner

Mitglied: RogerRabBIT

RogerRabBIT (Level 1) - Jetzt verbinden

28.03.2007, aktualisiert 29.03.2007, 4272 Aufrufe, 3 Kommentare

Es nervte, aber es hat ein Ende gefunden

Hallo,

ich wollte mal kurz meine Erfahrung der letzten 2 Tage mit einem virus zum Besten geben.
Vielleicht hilft es ja dem Einen oder Anderen..

Gestern habe ich mir irgendwo einen Virus eingefangen, der auch durch Avira AntiVir
nicht zu killen war. Bei jedem Neustart des Rechners fand AntiVir einen Trojaner
mit der Kennung : Dldr.small.cwj.216 und löschte diese auch fein...nur gebracht hat es nichts.

Welche Auswirkungen hatte der Trojaner :

1. Der Zugriff aufs Internet wurde permanent geblockt...immer etwas in der Richtung
DNS-Error...also eine leere Seite.

2. Nach kurzzeitiger Deaktivierung und anschließender Aktivierung der Netzwerkschnittstelle
konnte man für einige Sekunden ins Internet bzw. auf die Netzwerkressourcen zugreifen,
danach ging nichts mehr.

3. Der PC war sehr sehr langsam....CPU Leistung häufig bei 100%

4. Der Taskmanager, Hijack, und auch Autoruns brachte nichts verwerfliches ans
Tageslicht....so dachte ich...alles sah ganz normal aus.

Auch ein Scan im abgesicherten Modus brachte nichts ...
Ich stand kurz vorm "Plattmachen" des Systems und neu aufsetzen.
Dann habe ich im Internet, nach längerem Suchen, einen Beitrag gefunden, in
dem von der Datei JUSCHED.EXE gesprochen wurde.

Die hatte für mich eigentlich nichts bösartiges, zumal folgender Eintrag angezeigt wurde.

SunJavaUpdateSchedJava(TM) 2 Platform Standard Edition binary (Verified) Sun Microsystems, Inc. c:\programme\java\jre1.5.0_11\bin\jusched.exe


Lange Rede kurzer Sinn, ich habe die jusched.exe einfach mal abgeschaltet, und alles war sofort in Ordnung...

Jetzt weiß ich aber auch nicht, ob es wirklich der Trojaner war, oder nur ein dummer Zufall.

Habt einer von Euch schon eine ähnliche Erfahrung gemacht ?

Dieses "Dingen" hat echt genervt..

Gruß

Roger
Mitglied: Solipsists
28.03.2007 um 16:22 Uhr
Jusched ist einfach nur der Java-Prozeß
es kann sein, das der Trojaner Java baisert ist
--> Lad dir adaware runter und scan alles!
und poste danach nochmals
Bitte warten ..
Mitglied: RogerRabBIT
28.03.2007 um 16:55 Uhr
Hallo Solipsists,

ich weiß, dass der "Jusched" ein Java-Prozeß ist, nur es war schon irgendwie
komisch, dass nach Abschalten des Prozesses auf einmal alles wieder ging.
Kann natürlich sein, dass ich auch im Zeichen der "Hektik" einen ähnlichen Namen
gesehen habe...ich hatte das gestern mit den Prozessen

svchost und svchostl

Die sehen auf den 1. Blick gleich aus, aber auch nur auf den 1. Blick.

Adaware hat auch nichts vernünftiges zu Tage gebracht.

Habe da aber eine Datei entdeckt, die damit zusammenhängen muss.

Im Rootverzeichnis der Festplatte c: befindet sich eine Datei mit dem
Namen : RSA1.Exe und eine Datei mit den Namen RSA1.PIF.

Ein Aufruf dieser Datei erzeugt genau die Virenmeldungen bei AntiVir, die ich
vorher beschrieben habe. Ergo muss es damit zusammenhängen.

Wie gesagt : Nach Abschalten des Jusched bzw. ähnlich lautendem Prozess
war alles wieder in Ordnung.

Unter RSA1.EXE habe ich auch noch nichts im Internet gefunden, scheint also
irgendwie neueren Datums zu sein.

Momentan ist Ruhe im Karton, und es ist auch kein verdächtiges Verhalten des PC´s
zu bemerken.....ich forsche mal weiter. Bin mir sicher, dass ich nicht der Einzige bin und bleibe, dem dieses passiert...

Gruß

Roger
Bitte warten ..
Mitglied: gnarff
29.03.2007 um 03:13 Uhr
Das von Dir genannte Schadprogramm fand erstmalig im Februar diesen Jahres eine signifikante Verbreitung.
Es gehoert, wie das Akronym schon sagt zu der Gruppe der "Downloader".

Einmal auf dem Rechner erstellt, bzw. laedt er folgende Dateien nach und modifiziert die Registrierdatenbank-Schluessel:
h91746.exe
%system%\dlh9jkd1q8.exe
%system%\dlh9jkd1q7.exe
%system%\qvxga6met3.exe
%system%\qvx5gamet2.exe
%system%\max1d641.exe
%system%\ma.exe.exe
vs000002.cwj_tr.exe
vxga1me4t1.exe
%profile%\local settings\temp\ixqlsxgh.exe
%system%\dlh9jkd1q6.exe
%system%\dlh9jkd1q5.exe
%system%\dlh9jkd1q2.exe
%system%\dlh9jkd1q1.exe

%system%\cubtzv32.dll
%system%\comcs32u.dll
%system%\comcs32m.dll
%system%\bofhn32.dll
ibm00002.dll
ibm00001.dll
%system%\kfejwmi.dll
%system%\dsuiexq.dll
%system%\usjbgwl.dll
%system%\ufypth.dll
shdocvs.dll

61.tmp
comcs32m.dll
comcs32u.dll
cubtzv32.dll
dlh9jkd1q2.exe
dlh9jkd1q5.exe
dlh9jkd1q6.exe
dlh9jkd1q7.exe
dsuiexq.dll
ibm00002.dll
ixqlsxgh.exe
kfejwmi.dll
ma.exe.exe
main.sys
max1d641.exe
qvxt34.game
runtime.sys
%system%\usjbgwl.dll
%system%\qvxga6met3.exe
%system%\ufypth.dll
%system%\dlh9jkd1q6.exe
%system%\dlh9jkd1q7.exe
%system%\dlh9jkd1q8.exe
%system%\dsuiexq.dll
%system%\hdefvz.sys
%system%\kfejwmi.dll
%system%\ma.exe.exe
%system%\max1d641.exe
%system%\qvx5gamet2.exe
h91746.exe
hdefvz.sys
shdocvs.dll
ufypth.dll
usjbgwl.dll
ibm00001.dll
vs000002.cwj_tr.exe
vx1t3.game
%profile%\local settings\temp\ixqlsxgh.exe
%profile%\local settings\temp\ma1xdd1.game
%profile%\local settings\temp\qv3xt3.game
%profile%\local settings\temp\qvxt34.game
%profile%\local settings\temp\qvxt42.game
vxga1me4t1.exe
%system%\bofhn32.dll
%system%\comcs32m.dll
%system%\comcs32u.dll
%system%\cubtzv32.dll
%system%\dlh9jkd1q1.exe
%system%\dlh9jkd1q2.exe
%system%\dlh9jkd1q5.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices systemtools
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload cdrecorder031
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload dcom server 60787
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\winopts firstrunr4
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\winopts prtclosedretr
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb nextinstance
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 class
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 classguid
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 configflags
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 devicedesc
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 legacy
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 service
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000\control *newlycreated*
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000\control activeservice
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example errorcontrol
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example imagepath
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example start
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example type
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb displayname
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb errorcontrol
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb imagepath
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb objectname
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb start
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb type
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\enum 0
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\enum count
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\enum nextinstance
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\parameters servicedll
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\security security
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\progid
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\typelib
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\versionindependentprogid
HKEY_CLASSES_ROOT\clsid\{2c1cd3d7-86ac-4068-93bc-a02304b60787}
HKEY_CLASSES_ROOT\clsid\{2c1cd3d7-86ac-4068-93bc-a02304b60787}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{2c1cd3d7-86ac-4068-93bc-a02304b60787}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{4f67b44e-7ba5-aef4-828e-074034113a82}
HKEY_CLASSES_ROOT\clsid\{4f67b44e-7ba5-aef4-828e-074034113a82}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{4f67b44e-7ba5-aef4-828e-074034113a82}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{a3bc5e20-0235-1abf-9ce1-00aa00512031}
HKEY_CLASSES_ROOT\clsid\{a3bc5e20-0235-1abf-9ce1-00aa00512031}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{a3bc5e20-0235-1abf-9ce1-00aa00512031}\inprocserver32 threadingmodel
HKEY_CURRENT_USER\clsid\{1862b760-0a21-1033-0729-0529050001} installation
HKEY_CURRENT_USER\clsid\{1862b760-0a21-1033-0729-0529050001} register
HKEY_CURRENT_USER\clsid\{1862b760-0a21-1033-0729-0529050001} request
HKEY_CURRENT_USER\clsid\{f862b760-0a21-1033-0729-0529050001}
HKEY_CURRENT_USER\software\adwaredisablekey4
HKEY_CURRENT_USER\software\classes\clsid\{1862b760-0a21-1033-0729-0529050001} installation
HKEY_CURRENT_USER\software\classes\clsid\{1862b760-0a21-1033-0729-0529050001} register
HKEY_CURRENT_USER\software\classes\clsid\{1862b760-0a21-1033-0729-0529050001} request
HKEY_CURRENT_USER\software\classes\clsid\{f862b760-0a21-1033-0729-0529050001}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run {1862b760-0a21-1033-0729-0529050001}
HKEY_LOCAL_MACHINE\software\adwaredisablekey4
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq asynchronous
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq dllname
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq impersonate
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq startup
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg asynchronous
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg dllname
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg impersonate
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg startup
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4f67b44e-7ba5-aef4-828e-074034113a82}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler {2c1cd3d7-86ac-4068-93bc-a02304b60787}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run usjbgwl.dll

sowie als Autostarteintrag:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run usjbgwl.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices systemtools

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Sicherheits-Tools
gelöst Migration Avira Small Business Security Suite (2)

Frage von ArnoNymous zum Thema Sicherheits-Tools ...

Linux
Small Business Server Ersatz (6)

Frage von capsob zum Thema Linux ...

Windows Server
gelöst Small business server 2011 Suche ISO oder Install Medium (3)

Frage von schnie zum Thema Windows Server ...

Sicherheits-Tools
SEP Small Business Edition - Ständig falsche High-Risk Meldungen

Frage von Fragenicht zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...