Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: MHTMLRedir.Exploit HILFE !!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.10.2004, 16:06   #1
Vwaesche
 
MHTMLRedir.Exploit   HILFE !! - Standard

MHTMLRedir.Exploit HILFE !!



Hallo liebe Forum Leute...

habe meinen Rechner gerade mal online von Symantec überprüfen lassen und habe folgenden Trojaner gefunden: MHTMLRedir.Exploit

Habe mal das Hijackthis-Log angehängt, danke für eure Hilfe!!

Gruss, Volker

Logfile of HijackThis v1.98.2
Scan saved at 17:06:16, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Tools\Eumex 504 PC SE\Capictrl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\Tools\WinFax\WFXMOD32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Tools\ICQ\Icq.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Tools\WINZIP~1.0\winzip32.exe
C:\DOKUME~1\Volker\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\tools\quicktime 6.0 pro\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,73/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/204e37b65f2fa1fb2206/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - h**ps://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9AAB28-0763-44A4-84C4-03667BDEF5FF}: NameServer = 128.176.0.12 128.176.0.13

[edit]
links entfernt
[/edit]

Geändert von GUA (28.10.2005 um 04:27 Uhr)

Alt 19.10.2004, 17:57   #2
chaosman
 
MHTMLRedir.Exploit   HILFE !! - Standard

MHTMLRedir.Exploit HILFE !!



@Vwaesche
wechsle in den abgesicherten modus und fixe
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

wenn du diesen eintrag nicht kennst, dann fixen
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
fixen
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

neu starten
diesen datei online hier überprufen lassen
http://www.kaspersky.com/de/remoteviruschk.html
C:\WINDOWS\System32\WFXSVC.EXE
ergebnis und neue HJT scan hier wieder posten
chaosman
__________________

__________________

Alt 19.10.2004, 18:04   #3
Vwaesche
 
MHTMLRedir.Exploit   HILFE !! - Standard

MHTMLRedir.Exploit HILFE !!



Hallo Chaosman....

danke für deine Antwort, aber was meinst du mit fixen? Wie soll ich das machen? In der Eingabeaufforderung löschen?

Den Ipix EIntrag kenn ich nicht!

DANKE, Gruss Volker
__________________

Alt 19.10.2004, 18:35   #4
Cidre
Administrator, a.D.
 
MHTMLRedir.Exploit   HILFE !! - Standard

MHTMLRedir.Exploit HILFE !!



Fixen bedeutet:
Haken vor den genannten Einträgen setzen und auf Fix Checked klicken.
__________________
Gruß, Cidre


Alt 28.10.2005, 03:55   #5
marchosias1808
 
MHTMLRedir.Exploit   HILFE !! - Standard

MHTMLRedir.Exploit HILFE !!



hallo,

ich habe mir mir auch diesen MHTMLRedir.Exploit eingefangen! Dank durch das bisher vierte installierte Anitvirentool Norten Antivirus, den man für solche Sachen dann doch gut gebrauchen kann! Ist das was schlimmes, habe bisjetzt herrausgefunden, dass das irgendwas mit hijacking zu tun hat!!!
Habe als BS WIN XP Professional und natürlich direkt nach der Installation unter Verwaltung/Dienste den Remoteprozeduraufruf verstellt und überall "keine Aktion durchführen" vorgenommen! So und merkwürdigerweise hat sich ein Sybol im Startmenü unter Programme breit gemacht welches war: Remoteunterstützung mit einer Hand, welches eine Maus hält
Das habe ich dort noch nie gesehen!!! Ist glaube ich nicht normal oder? Hat das der Schwachkopf am anderen Ende der Leitung dort plaziert oder was! Ich hoffe mal nicht, dass mein Computer irgendwie schon missbraucht wurde! Bitte um Hilfe! Response please!
marchosias1808


Alt 28.10.2005, 14:40   #6
irrlicht
 
MHTMLRedir.Exploit   HILFE !! - Standard

MHTMLRedir.Exploit HILFE !!



Zwei Fehler hast du gemacht.Erstens hättest du einen Neuen Thread erstellen sollen und zweitens verstellt man nicht wild den Remoteprozeduraufruf.Der wird teilweise innerhalb des Systems durchaus gebraucht.Ich hoffe du hast dir gemerkt was du verstellt hast und wo ? Stell es zurück und besorge dir über Google "Windowsdienste abschalten" das führst du dann aus.Danach sind alle überflüssigen Dienste aus.
Ein kleines "Nachdenkerle" noch :
Am "anderen Ende der Leitung" hat niemand was plaziert.Wenn schon,dann in deiner Kiste.Denn wenn dir jemand was unterjubelt,glaubst du er würde dir das sagen oder anzeigen ?
Würde das denn Sinn machen ?
Irrlicht

Antwort

Themen zu MHTMLRedir.Exploit HILFE !!
adobe, antivirus, antivirus scan, application, avg, bho, danke, danke für eure hilfe!, dateien, excel, explorer, hijack, hilfe, icq, internet, internet explorer, messenger, microsoft, pdf, programme, registry, rojaner gefunden, software, sun java, symantec, system, system32, tcpip, temp, trojaner, trojaner gefunden, windows, windows messenger, windows xp




Ähnliche Themen: MHTMLRedir.Exploit HILFE !!


  1. EXP/CVE-2010-0840.HG(Exploit), EXP/JAVA.Ternub.Gen(Exploit) und TR/Agent.464.4(Trojaner) - nicht totzukriegen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (12)
  2. AVG-Meldungen: "Exploit Blackhole Exploit KIT" und "Infected Virus found JD/Redir" - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 23.12.2011 (11)
  3. noch ein Myspace Exploit -- Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 03.01.2008 (2)
  4. Pop Ups, exploit gen entfernen! Hilfe
    Plagegeister aller Art und deren Bekämpfung - 10.11.2007 (3)
  5. Hilfe. Exploit... Virus?
    Plagegeister aller Art und deren Bekämpfung - 24.04.2006 (16)
  6. Hilfe hab mir den hier eingefangen.-->MHTMLRedir.Exploit
    Plagegeister aller Art und deren Bekämpfung - 20.11.2005 (3)
  7. HTML/Exploit.Mhtml! Biite um Hilfe!
    Log-Analyse und Auswertung - 01.10.2005 (2)
  8. MHTMLRedir.Exploit
    Log-Analyse und Auswertung - 10.09.2005 (1)
  9. MHTMLRedir.Exploit eingefangen bitte um HILFE.!!!
    Plagegeister aller Art und deren Bekämpfung - 30.04.2005 (2)
  10. Bitte um Hilfe wegen exploit.html.codebase.exec.gen
    Plagegeister aller Art und deren Bekämpfung - 21.01.2005 (4)
  11. Bitte um Hilfe wegen Mhtmlredir.exploit
    Plagegeister aller Art und deren Bekämpfung - 20.01.2005 (16)
  12. Hilfe, was mach ich mit DOS Exploit?
    Log-Analyse und Auswertung - 08.01.2005 (10)
  13. Bitte um hilfe bezüglich dso exploit
    Log-Analyse und Auswertung - 29.12.2004 (6)
  14. Hilfe! DCOM Exploit attacken!
    Plagegeister aller Art und deren Bekämpfung - 17.11.2004 (8)
  15. exploit-byteVerify,JS/Exploit-DialogArg.b,Exploit-mhtRedir.gen. logfile auswerten
    Log-Analyse und Auswertung - 29.10.2004 (4)
  16. MHTMLRedir.Exploit
    Plagegeister aller Art und deren Bekämpfung - 07.10.2004 (2)
  17. Trojaner: Exploit-URLSpoof.gen (wsasc.xml) - HILFE!!
    Plagegeister aller Art und deren Bekämpfung - 19.07.2004 (14)

Zum Thema MHTMLRedir.Exploit HILFE !! - Hallo liebe Forum Leute... habe meinen Rechner gerade mal online von Symantec überprüfen lassen und habe folgenden Trojaner gefunden: MHTMLRedir.Exploit Habe mal das Hijackthis-Log angehängt, danke für eure Hilfe!! Gruss, - MHTMLRedir.Exploit HILFE !!...
Archiv
Du betrachtest: MHTMLRedir.Exploit HILFE !! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.