bla.exe

zu deinen fragen:

Ist diese Prefetch-Datei denn auch vom Trojaner erstellt bzw. gehört dazu?

die prefetch datei wird vom system erzeugt, nicht vom trojaner. im prefetch-ordner werden alle programme die aufgerufen wurden verlinkt, so daß bei einem erneuten aufruf das system das programm schneller findet.

Kann man sich das Vieh auch normal beim surfen einfangen?

ja, hier http://www.sophos.de/virusinfo/analyses/trojdloadersf.html mal lesen, da wird erklärt wie und durch was die bla.exe erzeugt wird ...

In welcher Form gelang das Ding auf den Rechner?

siehe link oben ...

wie kann ich mich am besten vor dem Ding schützen?

einen teil hast du ja schon vollzogen: firewall, virenwächter usw. natürlich das surfverhalten überprüfen und einen eingeschränkten user zum surfen benutzen, ntfs als filesystem einsetzten und über die ntfsberechtigungen den eingeschränkten user nochmehr einschränken, z.b. daß er nur in einen ordner c:\temp schreiben darf usw. das thema wurde ja schon in vielen threads ausführlichst besprochen, mal im forum stöbern. auch die tips und artikel auf wintotal.de lesen ...

greetz

hugo

Ah ja, danke!

Sehe ich das dann richtig, dass ich - wenn die bla.exe und die my.class-204956be-3d91a904.class entfernt sind und auch nach Neustart nicht mehr von selbst wieder auftauchen - von dem Trojaner befreit bin?
Ich bin vielleicht wirklich zu paranoid aber ich hab Angst, dass das Ding noch irgendwo verkappt und unerkant rumliegt und aus heiterem Himmel wieder erscheinen wird.

In der Beschreibung in deinem Link steht, dass er sich nach WINAMP.EXE in C:\ kopiert und versucht BLA.EXE zu löschen... äh, das kapier ich nicht. Winamp wird mir auch nicht als infiziert gemeldet !?

Klaus

winamp ist ja auch nicht infiziert, sondern die datei die mit winamp heruntergeladen wird. und normalerweise versucht der trojaner sich selber zu entfernen und löscht die bla.exe. scheitert nun das löschen aus irgendeinem grund, so bleibt die bla.exe erhalten, so ists wahrscheinlich bei dir gewesen. wenn du den thrad von anfang an gelesen hast, sollte dir aufgefallen sein, daß beim thread-eröffner die bla.exe fehlt. und das java problem ist auch erklärt, wenn du den sophos-tip weiterverfolgst kommt man zu dem backdoor-trojaner hier http://www.sophos.de/virusinfo/analyses/trojbdoorav.html und ich denke jetzt, daß eigentlich genug infos zur verfügung stehn. der bösewicht ist ja eindeutig erkannt, jetzt bereinige dein system, wenn nichts mehr gefunden wird, ist die kiste auch relativ sauber ...

greetz

hugo