Hallo liebe Forum Leute...

habe meinen Rechner gerade mal online von Symantec überprüfen lassen und habe folgenden Trojaner gefunden: MHTMLRedir.Exploit

Habe mal das Hijackthis-Log angehängt, danke für eure Hilfe!!

Gruss, Volker

Logfile of HijackThis v1.98.2
Scan saved at 17:06:16, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Tools\Eumex 504 PC SE\Capictrl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\Tools\WinFax\WFXMOD32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Tools\ICQ\Icq.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Tools\WINZIP~1.0\winzip32.exe
C:\DOKUME~1\Volker\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\tools\quicktime 6.0 pro\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,73/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/204e37b65f2fa1fb2206/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - h**ps://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9AAB28-0763-44A4-84C4-03667BDEF5FF}: NameServer = 128.176.0.12 128.176.0.13

[edit]
links entfernt
[/edit]

@Vwaesche
wechsle in den abgesicherten modus und fixe
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

wenn du diesen eintrag nicht kennst, dann fixen
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
fixen
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

neu starten
diesen datei online hier überprufen lassen
http://www.kaspersky.com/de/remoteviruschk.html
C:\WINDOWS\System32\WFXSVC.EXE
ergebnis und neue HJT scan hier wieder posten
chaosman

Hallo Chaosman....

danke für deine Antwort, aber was meinst du mit fixen? Wie soll ich das machen? In der Eingabeaufforderung löschen?

Den Ipix EIntrag kenn ich nicht!

DANKE, Gruss Volker

Fixen bedeutet:
Haken vor den genannten Einträgen setzen und auf Fix Checked klicken.

hallo,

ich habe mir mir auch diesen MHTMLRedir.Exploit eingefangen! Dank durch das bisher vierte installierte Anitvirentool Norten Antivirus, den man für solche Sachen dann doch gut gebrauchen kann! Ist das was schlimmes, habe bisjetzt herrausgefunden, dass das irgendwas mit hijacking zu tun hat!!!
Habe als BS WIN XP Professional und natürlich direkt nach der Installation unter Verwaltung/Dienste den Remoteprozeduraufruf verstellt und überall "keine Aktion durchführen" vorgenommen! So und merkwürdigerweise hat sich ein Sybol im Startmenü unter Programme breit gemacht welches war: Remoteunterstützung mit einer Hand, welches eine Maus hält
Das habe ich dort noch nie gesehen!!! Ist glaube ich nicht normal oder? Hat das der Schwachkopf am anderen Ende der Leitung dort plaziert oder was! Ich hoffe mal nicht, dass mein Computer irgendwie schon missbraucht wurde! Bitte um Hilfe! Response please!
marchosias1808

Zwei Fehler hast du gemacht.Erstens hättest du einen Neuen Thread erstellen sollen und zweitens verstellt man nicht wild den Remoteprozeduraufruf.Der wird teilweise innerhalb des Systems durchaus gebraucht.Ich hoffe du hast dir gemerkt was du verstellt hast und wo ? Stell es zurück und besorge dir über Google "Windowsdienste abschalten" das führst du dann aus.Danach sind alle überflüssigen Dienste aus.
Ein kleines "Nachdenkerle" noch :
Am "anderen Ende der Leitung" hat niemand was plaziert.Wenn schon,dann in deiner Kiste.Denn wenn dir jemand was unterjubelt,glaubst du er würde dir das sagen oder anzeigen ?
Würde das denn Sinn machen ?
Irrlicht