|
Plagegeister aller Art und deren Bekämpfung: Wie kann denn das kommen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.12.2005, 15:21 | #1 |
Wie kann denn das kommen? Hallo, jetzt hab ich mal ne kleine Frage. Ich habe dieses Thread geöffnet h**p://www.trojaner-board.de/showthread.php?t=24286 Im gleichen Moment hat mein AVP angeschlagen. Meldung Datei: showthread[2].htm Name: Exploit-MhtRedir.gen Fundort: Tempfad Die Meldung ist übrigens reproduzierbar. Kommt jedes mal wenn ich dieses Thread öffne. |
06.12.2005, 15:28 | #2 |
| Wie kann denn das kommen? Servus!
__________________Möglich ist viel! Ich gehe davon aus, dass Dein Sys vielleicht nicht ganz up-to-date ist. M$ hat sich mit seinem Bulletin Microsoft Security Bulletin MS04-013 am April 13, 2004 mit diesem exploit beschäftigt! Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! stupormundi
__________________ |
06.12.2005, 15:30 | #3 |
Wie kann denn das kommen? Logfile of HijackThis v1.99.1
__________________Scan saved at 15:29:57, on 06.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\Ati2evxx.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\Ati2evxx.exe E:\WINDOWS\Explorer.EXE E:\Programme\Java\jre1.5.0_06\bin\jusched.exe E:\Programme\Analog Devices\SoundMAX\SMTray.exe E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Programme\McAfee.com\VSO\mcvsshld.exe E:\Programme\McAfee.com\VSO\oasclnt.exe E:\PROGRA~1\mcafee.com\agent\mcagent.exe e:\progra~1\mcafee.com\vso\mcvsescn.exe E:\PROGRA~1\mcafee.com\mps\mscifapp.exe E:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Messenger\msmsgs.exe E:\Programme\MSN Messenger\msnmsgr.exe E:\Programme\TerraTec\TerraCam USB\Launchpad.exe E:\Programme\VIA\RAID\raid_tool.exe e:\programme\mcafee.com\agent\mcdetect.exe e:\progra~1\mcafee.com\vso\mcvsftsn.exe e:\PROGRA~1\mcafee.com\vso\mcshield.exe e:\PROGRA~1\mcafee.com\agent\mctskshd.exe E:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe E:\Programme\Analog Devices\SoundMAX\SMAgent.exe E:\Programme\ICQLite\ICQLite.exe E:\Programme\Winamp\Winamp.exe E:\Programme\Internet Explorer\IEXPLORE.EXE E:\Programme\Internet Explorer\IEXPLORE.EXE E:\Programme\Internet Explorer\IEXPLORE.EXE E:\Dokumente und Einstellungen\eKo\Desktop\Ma!n\Security\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ogonek.net/?action=plist&pid=15602 O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - e:\programme\mcafee.com\mps\mcbrhlpr.dll O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - e:\programme\mcafee.com\mps\popupkiller.dll O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - e:\PROGRA~1\mcafee\SPAMKI~1\mcapfbho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - e:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [smapp] E:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [IE] E:\Programme\Internet Explorer\IEXPLORE.EXE O4 - HKLM\..\Run: [ATIPTA] "E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [VSOCheckTask] "E:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] E:\Programme\McAfee.com\VSO\mcvsshld.exe O4 - HKLM\..\Run: [OASClnt] E:\Programme\McAfee.com\VSO\oasclnt.exe O4 - HKLM\..\Run: [MCAgentExe] e:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] e:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [MPSExe] e:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding O4 - HKLM\..\Run: [MSKAGENTEXE] E:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe O4 - HKLM\..\Run: [MSKDetectorExe] E:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Launchpad.lnk = ? O4 - Global Startup: VIA RAID TOOL.lnk = E:\Programme\VIA\RAID\raid_tool.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - e:\PROGRA~1\mcafee\SPAMKI~1\mcapfbho.dll O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - e:\PROGRA~1\mcafee\SPAMKI~1\mcapfbho.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204[/url] O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**ps://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab[/url] O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab[/url] O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab[/url] O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab[/url] O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - h**ps://www-secure.symantec.com/techsupp/asa/SymAData.cab[/url] O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - e:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - e:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - e:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - E:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - E:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Programme\Analog Devices\SoundMAX\SMAgent.exe Dürfte eigentlich sauber sein. Geändert von JayP (06.12.2005 um 15:54 Uhr) |
06.12.2005, 15:51 | #4 |
| Wie kann denn das kommen? ~~Edit~~ doppelt gemoppelt ?! ~~/Edit~~
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
06.12.2005, 15:52 | #5 | ||
| Wie kann denn das kommen? Servus wieder! Zitat:
Zitat:
Bitte deaktiviere aber auf jeden Fall Deine links im Logfile wie in meiner Signatur unten angeführt! Wie nun dieser code in diesem thread kommt, ist mir nicht klar - ich kann ihn auch nicht finden und die von Dir zitierte Meldung nachvollziehen! stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
06.12.2005, 15:55 | #6 |
Wie kann denn das kommen? Okay ,danke. Sorry ,habe ich ebend im Eifer des Gefechts nicht dran gedacht |
06.12.2005, 15:59 | #7 |
| Wie kann denn das kommen? Hallo, ich nehme mal an du hast AntiVir als AV, sollte ein normaler Fehlalarm sein, kommt bei AntiVir häufiger vor, übrigens auch ab und an mal beim öffnen von HijackThis Logs. Grüße Wildone |
06.12.2005, 16:02 | #8 |
Wie kann denn das kommen? Nein, habe nicht AntiVir. Habe ich erst kürzlich abgeschafft und mir stattdessen McAfee Internet Security Suite 2006 geholt. Aber wird wohl trotzdem ein Fehlalarm sein. |
06.12.2005, 20:19 | #9 | ||
| Wie kann denn das kommen? Gab's hier ab und zu schon. AntiVir (oder eine anderer Virenscanner, aber meistens AntiVir ) erkennt irgendwelche Code-Schnipsel als gefährlich, in diesem Fall den ersten O16-Eintrag. Einfach mal die Zeile als Textdatei speichern und bei "jotti" oder "virustotal" scannen: Zitat:
Zitat:
|
06.12.2005, 21:14 | #10 |
Wie kann denn das kommen? Okay ,danke. Dann weiß ich jetzt bescheid |
11.12.2005, 17:02 | #11 |
| Wie kann denn das kommen? jayP ab heute stehst du nicht mehr allein da |
Themen zu Wie kann denn das kommen? |
avp, kleine, thread |