|
Log-Analyse und Auswertung: MHTMLRedir.Exploit HILFE !!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.10.2004, 16:06 | #1 |
| MHTMLRedir.Exploit HILFE !! Hallo liebe Forum Leute... habe meinen Rechner gerade mal online von Symantec überprüfen lassen und habe folgenden Trojaner gefunden: MHTMLRedir.Exploit Habe mal das Hijackthis-Log angehängt, danke für eure Hilfe!! Gruss, Volker Logfile of HijackThis v1.98.2 Scan saved at 17:06:16, on 19.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Tools\Eumex 504 PC SE\Capictrl.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\WFXSVC.EXE C:\Tools\WinFax\WFXMOD32.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Tools\ICQ\Icq.exe C:\Programme\Internet Explorer\iexplore.exe C:\Tools\WINZIP~1.0\winzip32.exe C:\DOKUME~1\Volker\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\tools\quicktime 6.0 pro\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: CAPIControl.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://www.ipix.com/viewers/ipixx.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,73/mcinsctl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/204e37b65f2fa1fb2206/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - h**ps://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9AAB28-0763-44A4-84C4-03667BDEF5FF}: NameServer = 128.176.0.12 128.176.0.13 [edit] links entfernt [/edit] Geändert von GUA (28.10.2005 um 04:27 Uhr) |
19.10.2004, 17:57 | #2 |
| MHTMLRedir.Exploit HILFE !! @Vwaesche
__________________wechsle in den abgesicherten modus und fixe O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) wenn du diesen eintrag nicht kennst, dann fixen O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab fixen O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe neu starten diesen datei online hier überprufen lassen http://www.kaspersky.com/de/remoteviruschk.html C:\WINDOWS\System32\WFXSVC.EXE ergebnis und neue HJT scan hier wieder posten chaosman
__________________ |
19.10.2004, 18:04 | #3 |
| MHTMLRedir.Exploit HILFE !! Hallo Chaosman....
__________________danke für deine Antwort, aber was meinst du mit fixen? Wie soll ich das machen? In der Eingabeaufforderung löschen? Den Ipix EIntrag kenn ich nicht! DANKE, Gruss Volker |
19.10.2004, 18:35 | #4 |
Administrator, a.D. | MHTMLRedir.Exploit HILFE !! Fixen bedeutet: Haken vor den genannten Einträgen setzen und auf Fix Checked klicken. |
28.10.2005, 03:55 | #5 |
| MHTMLRedir.Exploit HILFE !! hallo, ich habe mir mir auch diesen MHTMLRedir.Exploit eingefangen! Dank durch das bisher vierte installierte Anitvirentool Norten Antivirus, den man für solche Sachen dann doch gut gebrauchen kann! Ist das was schlimmes, habe bisjetzt herrausgefunden, dass das irgendwas mit hijacking zu tun hat!!! Habe als BS WIN XP Professional und natürlich direkt nach der Installation unter Verwaltung/Dienste den Remoteprozeduraufruf verstellt und überall "keine Aktion durchführen" vorgenommen! So und merkwürdigerweise hat sich ein Sybol im Startmenü unter Programme breit gemacht welches war: Remoteunterstützung mit einer Hand, welches eine Maus hält Das habe ich dort noch nie gesehen!!! Ist glaube ich nicht normal oder? Hat das der Schwachkopf am anderen Ende der Leitung dort plaziert oder was! Ich hoffe mal nicht, dass mein Computer irgendwie schon missbraucht wurde! Bitte um Hilfe! Response please! marchosias1808 |
28.10.2005, 14:40 | #6 |
| MHTMLRedir.Exploit HILFE !! Zwei Fehler hast du gemacht.Erstens hättest du einen Neuen Thread erstellen sollen und zweitens verstellt man nicht wild den Remoteprozeduraufruf.Der wird teilweise innerhalb des Systems durchaus gebraucht.Ich hoffe du hast dir gemerkt was du verstellt hast und wo ? Stell es zurück und besorge dir über Google "Windowsdienste abschalten" das führst du dann aus.Danach sind alle überflüssigen Dienste aus. Ein kleines "Nachdenkerle" noch : Am "anderen Ende der Leitung" hat niemand was plaziert.Wenn schon,dann in deiner Kiste.Denn wenn dir jemand was unterjubelt,glaubst du er würde dir das sagen oder anzeigen ? Würde das denn Sinn machen ? Irrlicht |
Themen zu MHTMLRedir.Exploit HILFE !! |
adobe, antivirus, antivirus scan, application, avg, bho, danke, danke für eure hilfe!, dateien, excel, explorer, hijack, hilfe, icq, internet, internet explorer, messenger, microsoft, pdf, programme, registry, rojaner gefunden, software, sun java, symantec, system, system32, tcpip, temp, trojaner, trojaner gefunden, windows, windows messenger, windows xp |