chanel
Goto Top

Java.ByteVerify!Exploit Virus

probleme mit efdfm.exe und java exploit virus..........

hi leutz,
ich hab seit längerem ein programm das mir die festplatte absucht nach doppelten dateien.....
nehmen wir an ich suche einmal wöchentlich meinen rechner mit zone alarm nach viren, spyware ab.....

resultat: kein virus gefunden.... spyware nichts gefunden..... //aber auch nicht immer face-wink
heute ist mir folgendes passiert:


ich startete efdfm.exe und wählte meine laufwerke dich ich absuchen möchte.....
er fing an zu suchen.... gleichzeitig durch zufall ist zone alarm gestartet um eine prüfung durchzuführen...... ich dachte ist nicht grad gut, wenn zwei programme auf daten zugreifen macht ja das arbeiten fast unmöglich face-wink

doch egal...... hab es zugelassen..... zone alarm war fertig mit der prüfung und das programm entdeckte einen virus unter:

c:\dokumente und einstellungen\admin\lokale einstellungen\temp

hier bin ich darauf gekommen das efdfm seine sachen dort auslagert, sobald ich die .exe im task manager schliesse ist der ordner weg oder er bleibt.... (aber nicht immer)
es kommt auch schon mal vor, dass sich das programm mitten im arbeitsprozess selber schliesst....

lösche ich den ordner und der prozess dauert an erstellt er sofort wieder einen ordner der gleich dem namen der .exe ist....
mit einem unterordner

1

2

3

komisch ist, dass er sich manchmal löschen lässt obwohl ja der prozess darauf zugreift.....

habe bereits im internet recherchiert und fand einen tipp wie man diesen virus löscht indem man in der systemsteuerung im java control panel dort den cache löscht.....
wisst ihr ob das sicher auch funktioniert, weil mit zone alarm ist jede behandlung erfolglos....

da ich mich nicht so mit java auskenne möchte ich den cache so belassen wie er ist und lediglich den ordner efdfm löschen unter doku und einstellungen doch nach einem neuen aufruf des programmes ist der ordner wieder da und der virus auch.....

was hilft da?

ist das programm mit dem virus auf irgendeiner weise verknüpft?
hilft eine deinstallation?
oder sollte ich beides tun cache löschen und programm deinstallieren und nochmals eine prüfung durchführen.....

vielen dank für eure hilfe,


chanel

Content-Key: 30448

Url: https://administrator.de/contentid/30448

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: gnarff
gnarff 14.04.2006 um 22:50:41 Uhr
Goto Top
der java.byteverify ist kein virus, mann nennt ihn auch blackbox-trojaner.

ein angreifer macht sich mit diesem exploit eine schwachstelle im byteverifier der microsoft virtual machine zu nutze um z.b. ein java-schadprogramm in eine website einfuegen zu koennen.
das exploit hat eine groesse von 9kb und erzeugt eine datei mit dem namen "blackbox.class"

NACHDEM du den exploit entfernt hast musst du unbedingt ein sicherheitsupdate fahren. unter diesem link erfaehrst du mehr ueber die schwachstelle im mvm und wo du das sicherheitsupdate bekommst:
http://www.microsoft.com/technet/security/bulletin/MS03-011.mspx

du bekommst das exploit auch mit der aktuellen version von ad-aware oder pestpatrol weg. allerdings ist mir nicht bekannt ob das auch mit der ad-aware se version (gratisversion) geht. bei pestpatrol braeuchtest du auf alle faelle die vollversion.

von hand entfernt man das wie folgt:
1. system-wiederherstellung ausschalten
2. reboot- und in den abgesicherten modus gehen

3. cache der von dir benutzten internet browser leeren, das bedeutet auch den offline content loeschen.

4.java cache leeren-keine angst passiert nichts:
control panel-java applet--cache-loeschen.

5.dann noch die .class dateien loeschen es sollten drei sein:
a. blackbox.class
b.dummy.class
c.verifybug.class

6. in der registry alle eintraege loeschen die mit den genannten 3 dateien zusammen haengen
7. reboot- und systemwiederherstellung anschalten

9. erneut scannen und schauen ob alles sauber ist
10. oben erwaehnte sicherheitsupdates und patches runterladen; und sie installieren.

zum thema efdfm.exe...
ich vermute du hast den EF-Duplicate File Manager installiert. wenn dem so ist, solltest du efdfm.exe nicht loeschen, sonst hattest du mal einen filemanager gehabt.

*solltest du wider erwartens noch probleme haben: hijack this runterladen und mir das log posten*

saludos&frohe ostern
gnarff
Mitglied: chanel
chanel 15.04.2006 um 03:29:27 Uhr
Goto Top
@t gnarff,

ich werde das ausprobieren....
doch wenn die efdfm.exe unaktiv ist findet er auch keinen virus... sobald das programm aktiv ist und er unter

c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Temp

schreibt ist der virus von den virenprogrammen zu erkennen.....
werde die manuelle version ausprobieren.....

salut, ebenfalls schöne ostern....
man schreibt sich online face-wink
Mitglied: chanel
chanel 15.04.2006 um 15:24:38 Uhr
Goto Top
hi,

danke für die hilfreichen tipps mein compi ist jetzt wieder clean


chanel
Mitglied: gnarff
gnarff 15.04.2006 um 19:46:40 Uhr
Goto Top
sehr schoen..
dass efdfm.exe den tmp ordner benutzt ist ja kein muss, erstelle einen neuen ordner und lege den speicherpfad fuer das EF-toll dahin. es duerfte sich ja sowieso nur um log-daten handeln...
wenn deine firewall das zulaesst, dann setze in der konfiguration "mobile code" auf "disabled"

saludos
gnarff
Mitglied: chanel
chanel 15.04.2006 um 21:47:33 Uhr
Goto Top
hi,

nun wie ich sehe hat er im programm selber folgenden pfad als temp/auslagerungsordner:

C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\EFSoftware\DFMCache

der andere pfad existiert überhaupt nicht.... der ordner wird erst erstellt, wenn ich eine suche nach doppelten dateien vornehme....

die einstellungen für den mobilen code sind bei mir schon immer deaktiviert.... doch ist der virus noch aktiviert sollte ich diese zusatzoption aktivieren damit werden ja keine java skripts zugelassen.... objekte etc....

was denkst du gnarff???
pest patrol hat nichts mehr gefunden...

cya online

chanel
Mitglied: gnarff
gnarff 15.04.2006 um 23:45:21 Uhr
Goto Top
dann stell das doch so ein, dass bei dir erst angefragt wird ob du die ausfuehrung zulaesst...
saludos
gnarff
Mitglied: chanel
chanel 22.04.2006 um 22:00:00 Uhr
Goto Top
finde ich ein wenig nervig....