Hallo,
jetzt hab ich mal ne kleine Frage.
Ich habe dieses Thread geöffnet h**p://www.trojaner-board.de/showthread.php?t=24286

Im gleichen Moment hat mein AVP angeschlagen.
Meldung
Datei: showthread[2].htm
Name: Exploit-MhtRedir.gen
Fundort: Tempfad

Die Meldung ist übrigens reproduzierbar.
Kommt jedes mal wenn ich dieses Thread öffne.

Servus!
Möglich ist viel!
Ich gehe davon aus, dass Dein Sys vielleicht nicht ganz up-to-date ist. M$ hat sich mit seinem Bulletin Microsoft Security Bulletin MS04-013 am April 13, 2004 mit diesem exploit beschäftigt!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

Logfile of HijackThis v1.99.1
Scan saved at 15:29:57, on 06.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Analog Devices\SoundMAX\SMTray.exe
E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\McAfee.com\VSO\mcvsshld.exe
E:\Programme\McAfee.com\VSO\oasclnt.exe
E:\PROGRA~1\mcafee.com\agent\mcagent.exe
e:\progra~1\mcafee.com\vso\mcvsescn.exe
E:\PROGRA~1\mcafee.com\mps\mscifapp.exe
E:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\MSN Messenger\msnmsgr.exe
E:\Programme\TerraTec\TerraCam USB\Launchpad.exe
E:\Programme\VIA\RAID\raid_tool.exe
e:\programme\mcafee.com\agent\mcdetect.exe
e:\progra~1\mcafee.com\vso\mcvsftsn.exe
e:\PROGRA~1\mcafee.com\vso\mcshield.exe
e:\PROGRA~1\mcafee.com\agent\mctskshd.exe
E:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
E:\Programme\Analog Devices\SoundMAX\SMAgent.exe
E:\Programme\ICQLite\ICQLite.exe
E:\Programme\Winamp\Winamp.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Dokumente und Einstellungen\eKo\Desktop\Ma!n\Security\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ogonek.net/?action=plist&pid=15602
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - e:\programme\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - e:\programme\mcafee.com\mps\popupkiller.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - e:\PROGRA~1\mcafee\SPAMKI~1\mcapfbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - e:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [smapp] E:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [IE] E:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [ATIPTA] "E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "E:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] E:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] E:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] e:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] e:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPSExe] e:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] E:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] E:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Launchpad.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = E:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - e:\PROGRA~1\mcafee\SPAMKI~1\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - e:\PROGRA~1\mcafee\SPAMKI~1\mcapfbho.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**ps://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab[/url]
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab[/url]
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab[/url]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab[/url]
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - h**ps://www-secure.symantec.com/techsupp/asa/SymAData.cab[/url]
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - e:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - e:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - e:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - E:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - E:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Dürfte eigentlich sauber sein.

~~Edit~~ doppelt gemoppelt ?! ~~/Edit~~

Servus wieder!

Zitat:

Ich gehe davon aus, dass Dein Sys vielleicht nicht ganz up-to-date ist.

Das nehme ich mal schnell zurück!

Zitat:

Dürfte eigentlich sauber sein.

Sehe ich auch so!
Bitte deaktiviere aber auf jeden Fall Deine links im Logfile wie in meiner Signatur unten angeführt!
Wie nun dieser code in diesem thread kommt, ist mir nicht klar - ich kann ihn auch nicht finden und die von Dir zitierte Meldung nachvollziehen!
stupormundi

Okay ,danke.
Sorry ,habe ich ebend im Eifer des Gefechts nicht dran gedacht

Hallo,
ich nehme mal an du hast AntiVir als AV, sollte ein normaler Fehlalarm sein, kommt bei AntiVir häufiger vor, übrigens auch ab und an mal beim öffnen von HijackThis Logs.


Grüße Wildone

Nein, habe nicht AntiVir.
Habe ich erst kürzlich abgeschafft und mir stattdessen
McAfee Internet Security Suite 2006 geholt.

Aber wird wohl trotzdem ein Fehlalarm sein.

Gab's hier ab und zu schon. AntiVir (oder eine anderer Virenscanner, aber meistens AntiVir ) erkennt irgendwelche Code-Schnipsel als gefährlich, in diesem Fall den ersten O16-Eintrag. Einfach mal die Zeile als Textdatei speichern und bei "jotti" oder "virustotal" scannen:

Zitat:

Datei: Textdatei
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
HTML/Exploit.Mhtml script-virus gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Exploit.HTML.Mht gefunden (mögliche Variante)
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Zitat:

AntiVir 6.33.0.61 12.06.2005 HTML/Exploit.Mhtml
Avast 4.6.695.0 12.06.2005 no virus found
AVG 718 12.05.2005 no virus found
Avira 6.33.0.61 12.06.2005 HTML/Exploit.Mhtml
BitDefender 7.2 12.06.2005 no virus found
CAT-QuickHeal 8.00 12.06.2005 no virus found
ClamAV devel-20051108 12.05.2005 no virus found
DrWeb 4.33 12.06.2005 no virus found
eTrust-Iris 7.1.194.0 12.06.2005 no virus found
eTrust-Vet 11.9.1.0 12.06.2005 no virus found
Fortinet 2.48.0.0 12.06.2005 no virus found
F-Prot 3.16c 12.05.2005 no virus found
Kaspersky 4.0.2.24 12.06.2005 Exploit.HTML.Mht
McAfee 4644 12.06.2005 Exploit-MhtRedir.gen
NOD32v2 1.1313 12.06.2005 no virus found
Norman 5.70.10 12.06.2005 no virus found
Panda 8.02.00 12.06.2005 no virus found
Sophos 4.00.0 12.06.2005 no virus found
Symantec 8.0 12.06.2005 Bloodhound.Exploit.6
TheHacker 5.9.1.050 12.06.2005 no virus found
VBA32 3.10.5 12.06.2005 no virus found

Von McAfee heuristisch erkannt...

Okay ,danke.
Dann weiß ich jetzt bescheid

jayP ab heute stehst du nicht mehr allein da