7
Java.ByteVerify!Exploit Virus
probleme mit efdfm.exe und java exploit virus..........
hi leutz,
ich hab seit längerem ein programm das mir die festplatte absucht nach doppelten dateien.....
nehmen wir an ich suche einmal wöchentlich meinen rechner mit zone alarm nach viren, spyware ab.....
resultat: kein virus gefunden.... spyware nichts gefunden..... //aber auch nicht immer
heute ist mir folgendes passiert:
ich startete efdfm.exe und wählte meine laufwerke dich ich absuchen möchte.....
er fing an zu suchen.... gleichzeitig durch zufall ist zone alarm gestartet um eine prüfung durchzuführen...... ich dachte ist nicht grad gut, wenn zwei programme auf daten zugreifen macht ja das arbeiten fast unmöglich
doch egal...... hab es zugelassen..... zone alarm war fertig mit der prüfung und das programm entdeckte einen virus unter:
c:\dokumente und einstellungen\admin\lokale einstellungen\temp
hier bin ich darauf gekommen das efdfm seine sachen dort auslagert, sobald ich die .exe im task manager schliesse ist der ordner weg oder er bleibt.... (aber nicht immer)
es kommt auch schon mal vor, dass sich das programm mitten im arbeitsprozess selber schliesst....
lösche ich den ordner und der prozess dauert an erstellt er sofort wieder einen ordner der gleich dem namen der .exe ist....
mit einem unterordner
1
2
3
komisch ist, dass er sich manchmal löschen lässt obwohl ja der prozess darauf zugreift.....
habe bereits im internet recherchiert und fand einen tipp wie man diesen virus löscht indem man in der systemsteuerung im java control panel dort den cache löscht.....
wisst ihr ob das sicher auch funktioniert, weil mit zone alarm ist jede behandlung erfolglos....
da ich mich nicht so mit java auskenne möchte ich den cache so belassen wie er ist und lediglich den ordner efdfm löschen unter doku und einstellungen doch nach einem neuen aufruf des programmes ist der ordner wieder da und der virus auch.....
was hilft da?
ist das programm mit dem virus auf irgendeiner weise verknüpft?
hilft eine deinstallation?
oder sollte ich beides tun cache löschen und programm deinstallieren und nochmals eine prüfung durchführen.....
vielen dank für eure hilfe,
chanel
hi leutz,
ich hab seit längerem ein programm das mir die festplatte absucht nach doppelten dateien.....
nehmen wir an ich suche einmal wöchentlich meinen rechner mit zone alarm nach viren, spyware ab.....
resultat: kein virus gefunden.... spyware nichts gefunden..... //aber auch nicht immer
heute ist mir folgendes passiert:
ich startete efdfm.exe und wählte meine laufwerke dich ich absuchen möchte.....
er fing an zu suchen.... gleichzeitig durch zufall ist zone alarm gestartet um eine prüfung durchzuführen...... ich dachte ist nicht grad gut, wenn zwei programme auf daten zugreifen macht ja das arbeiten fast unmöglich
doch egal...... hab es zugelassen..... zone alarm war fertig mit der prüfung und das programm entdeckte einen virus unter:
c:\dokumente und einstellungen\admin\lokale einstellungen\temp
hier bin ich darauf gekommen das efdfm seine sachen dort auslagert, sobald ich die .exe im task manager schliesse ist der ordner weg oder er bleibt.... (aber nicht immer)
es kommt auch schon mal vor, dass sich das programm mitten im arbeitsprozess selber schliesst....
lösche ich den ordner und der prozess dauert an erstellt er sofort wieder einen ordner der gleich dem namen der .exe ist....
mit einem unterordner
1
2
3
komisch ist, dass er sich manchmal löschen lässt obwohl ja der prozess darauf zugreift.....
habe bereits im internet recherchiert und fand einen tipp wie man diesen virus löscht indem man in der systemsteuerung im java control panel dort den cache löscht.....
wisst ihr ob das sicher auch funktioniert, weil mit zone alarm ist jede behandlung erfolglos....
da ich mich nicht so mit java auskenne möchte ich den cache so belassen wie er ist und lediglich den ordner efdfm löschen unter doku und einstellungen doch nach einem neuen aufruf des programmes ist der ordner wieder da und der virus auch.....
was hilft da?
ist das programm mit dem virus auf irgendeiner weise verknüpft?
hilft eine deinstallation?
oder sollte ich beides tun cache löschen und programm deinstallieren und nochmals eine prüfung durchführen.....
vielen dank für eure hilfe,
chanel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 30448
Url: https://administrator.de/contentid/30448
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
7 Kommentare
Neuester Kommentar
der java.byteverify ist kein virus, mann nennt ihn auch blackbox-trojaner.
ein angreifer macht sich mit diesem exploit eine schwachstelle im byteverifier der microsoft virtual machine zu nutze um z.b. ein java-schadprogramm in eine website einfuegen zu koennen.
das exploit hat eine groesse von 9kb und erzeugt eine datei mit dem namen "blackbox.class"
NACHDEM du den exploit entfernt hast musst du unbedingt ein sicherheitsupdate fahren. unter diesem link erfaehrst du mehr ueber die schwachstelle im mvm und wo du das sicherheitsupdate bekommst:
http://www.microsoft.com/technet/security/bulletin/MS03-011.mspx
du bekommst das exploit auch mit der aktuellen version von ad-aware oder pestpatrol weg. allerdings ist mir nicht bekannt ob das auch mit der ad-aware se version (gratisversion) geht. bei pestpatrol braeuchtest du auf alle faelle die vollversion.
von hand entfernt man das wie folgt:
1. system-wiederherstellung ausschalten
2. reboot- und in den abgesicherten modus gehen
3. cache der von dir benutzten internet browser leeren, das bedeutet auch den offline content loeschen.
4.java cache leeren-keine angst passiert nichts:
control panel-java applet--cache-loeschen.
5.dann noch die .class dateien loeschen es sollten drei sein:
a. blackbox.class
b.dummy.class
c.verifybug.class
6. in der registry alle eintraege loeschen die mit den genannten 3 dateien zusammen haengen
7. reboot- und systemwiederherstellung anschalten
9. erneut scannen und schauen ob alles sauber ist
10. oben erwaehnte sicherheitsupdates und patches runterladen; und sie installieren.
zum thema efdfm.exe...
ich vermute du hast den EF-Duplicate File Manager installiert. wenn dem so ist, solltest du efdfm.exe nicht loeschen, sonst hattest du mal einen filemanager gehabt.
*solltest du wider erwartens noch probleme haben: hijack this runterladen und mir das log posten*
saludos&frohe ostern
gnarff
ein angreifer macht sich mit diesem exploit eine schwachstelle im byteverifier der microsoft virtual machine zu nutze um z.b. ein java-schadprogramm in eine website einfuegen zu koennen.
das exploit hat eine groesse von 9kb und erzeugt eine datei mit dem namen "blackbox.class"
NACHDEM du den exploit entfernt hast musst du unbedingt ein sicherheitsupdate fahren. unter diesem link erfaehrst du mehr ueber die schwachstelle im mvm und wo du das sicherheitsupdate bekommst:
http://www.microsoft.com/technet/security/bulletin/MS03-011.mspx
du bekommst das exploit auch mit der aktuellen version von ad-aware oder pestpatrol weg. allerdings ist mir nicht bekannt ob das auch mit der ad-aware se version (gratisversion) geht. bei pestpatrol braeuchtest du auf alle faelle die vollversion.
von hand entfernt man das wie folgt:
1. system-wiederherstellung ausschalten
2. reboot- und in den abgesicherten modus gehen
3. cache der von dir benutzten internet browser leeren, das bedeutet auch den offline content loeschen.
4.java cache leeren-keine angst passiert nichts:
control panel-java applet--cache-loeschen.
5.dann noch die .class dateien loeschen es sollten drei sein:
a. blackbox.class
b.dummy.class
c.verifybug.class
6. in der registry alle eintraege loeschen die mit den genannten 3 dateien zusammen haengen
7. reboot- und systemwiederherstellung anschalten
9. erneut scannen und schauen ob alles sauber ist
10. oben erwaehnte sicherheitsupdates und patches runterladen; und sie installieren.
zum thema efdfm.exe...
ich vermute du hast den EF-Duplicate File Manager installiert. wenn dem so ist, solltest du efdfm.exe nicht loeschen, sonst hattest du mal einen filemanager gehabt.
*solltest du wider erwartens noch probleme haben: hijack this runterladen und mir das log posten*
saludos&frohe ostern
gnarff
@t gnarff,
ich werde das ausprobieren....
doch wenn die efdfm.exe unaktiv ist findet er auch keinen virus... sobald das programm aktiv ist und er unter
c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Temp
schreibt ist der virus von den virenprogrammen zu erkennen.....
werde die manuelle version ausprobieren.....
salut, ebenfalls schöne ostern....
man schreibt sich online
ich werde das ausprobieren....
doch wenn die efdfm.exe unaktiv ist findet er auch keinen virus... sobald das programm aktiv ist und er unter
c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Temp
schreibt ist der virus von den virenprogrammen zu erkennen.....
werde die manuelle version ausprobieren.....
salut, ebenfalls schöne ostern....
man schreibt sich online
hi,
danke für die hilfreichen tipps mein compi ist jetzt wieder clean
chanel
danke für die hilfreichen tipps mein compi ist jetzt wieder clean
chanel
sehr schoen..
dass efdfm.exe den tmp ordner benutzt ist ja kein muss, erstelle einen neuen ordner und lege den speicherpfad fuer das EF-toll dahin. es duerfte sich ja sowieso nur um log-daten handeln...
wenn deine firewall das zulaesst, dann setze in der konfiguration "mobile code" auf "disabled"
saludos
gnarff
dass efdfm.exe den tmp ordner benutzt ist ja kein muss, erstelle einen neuen ordner und lege den speicherpfad fuer das EF-toll dahin. es duerfte sich ja sowieso nur um log-daten handeln...
wenn deine firewall das zulaesst, dann setze in der konfiguration "mobile code" auf "disabled"
saludos
gnarff
hi,
nun wie ich sehe hat er im programm selber folgenden pfad als temp/auslagerungsordner:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\EFSoftware\DFMCache
der andere pfad existiert überhaupt nicht.... der ordner wird erst erstellt, wenn ich eine suche nach doppelten dateien vornehme....
die einstellungen für den mobilen code sind bei mir schon immer deaktiviert.... doch ist der virus noch aktiviert sollte ich diese zusatzoption aktivieren damit werden ja keine java skripts zugelassen.... objekte etc....
was denkst du gnarff???
pest patrol hat nichts mehr gefunden...
cya online
chanel
nun wie ich sehe hat er im programm selber folgenden pfad als temp/auslagerungsordner:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\EFSoftware\DFMCache
der andere pfad existiert überhaupt nicht.... der ordner wird erst erstellt, wenn ich eine suche nach doppelten dateien vornehme....
die einstellungen für den mobilen code sind bei mir schon immer deaktiviert.... doch ist der virus noch aktiviert sollte ich diese zusatzoption aktivieren damit werden ja keine java skripts zugelassen.... objekte etc....
was denkst du gnarff???
pest patrol hat nichts mehr gefunden...
cya online
chanel
dann stell das doch so ein, dass bei dir erst angefragt wird ob du die ausfuehrung zulaesst...
saludos
gnarff
saludos
gnarff
finde ich ein wenig nervig....
