Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   JS/Small.AF und HTML/Exploit.Mhtml (https://www.trojaner-board.de/15663-js-small-af-html-exploit-mhtml.html)

eskimo 21.03.2005 16:41
JS/Small.AF und HTML/Exploit.Mhtml
 
hi leute,

hab mir soeben beim surfen die beiden dinger da eingefangen. antivir hat se erkannt und gelöscht. weiss jetzt aber net ob das schon zu spät war oder was die dinger anstellen. hab nach update von antivir und spybot beide noch ma laufen lassen. antivir hat noch 2 infizierte dateien gefunden spybot nichts. hier die hijackthis logfile.

Logfile of HijackThis v1.99.1
Scan saved at 16:33:00, on 21.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\eske\Eigene Dateien\Andreas\Diverses\Tools\Hijackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SHARKOON STATION] C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{22FCDEE7-704D-4575-8B6B-7F003AA3BB74}: NameServer = 62.52.49.83 193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEC9C86B-5E16-4A11-BDC0-9ECC470EE463}: NameServer = 10.240.1.1,10.240.1.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{22FCDEE7-704D-4575-8B6B-7F003AA3BB74}: NameServer = 62.52.49.83 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


danke schon ma im voraus.

gruss eske

Gigamail 21.03.2005 17:12
Hi,

dein Logfile sieht nicht ganz so schlecht aus, ich nehme an die beiden sitzen im Temporary Internet Files Ordner
Windowstaste+R -->cleanmgr --> enter
klick bei Temporary Internet Files
Klick bei Temp
ok

danach mal eScan laden(Haken bei All Local Drives und All Scan File)
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

eskimo 21.03.2005 23:17
danke nochma für die hilfe. escan im abgesicherten modus hat keinen virus entdeckt:

Mon Mar 21 23:08:04 2005 => Total Files Scanned: 57903
Mon Mar 21 23:08:04 2005 => Total Virus(es) Found: 0
Mon Mar 21 23:08:04 2005 => Total Disinfected Files: 0
Mon Mar 21 23:08:05 2005 => Total Files Renamed: 0
Mon Mar 21 23:08:05 2005 => Total Deleted Files: 0
Mon Mar 21 23:08:05 2005 => Total Errors: 3
Mon Mar 21 23:08:05 2005 => Time Elapsed: 01:14:08
Mon Mar 21 23:08:05 2005 => Virus Database Date: 2005/03/21
Mon Mar 21 23:08:05 2005 => Virus Database Count: 122759

Mon Mar 21 23:08:05 2005 => Scan Completed.

kann ich jetzt davon ausgehen, dass mein system wieder safe is, oder koennen die biester noch irgendwo rumschwirren? wäre cool, wenn mir noch einer was dazu sagen koennte.

eske

eskimo 22.03.2005 14:13
hab wirklich noch ein bissel bammel, ob der rechner jetzt wieder ok ist. waere echt cool, wenn irgendeiner mit dem masterplan mir noch ma helfen koennt.

greetings eske

eskimo 23.03.2005 10:14
hey leute,

brauche echt hilfe! konnte man jetzt aus der hjt logfile sehen ob die viren installiert und aktiv sind oder nicht. koennte dann echt besser schlafen, ohne das system neu machen zu muessen.

also bitte, bitte helfen!

eske

Gigamail 23.03.2005 13:01
Sorry hab dich übersehen :heulen:

Also wenn eScan nicht's findet ist das schon ein gutes Zeichen. Ich will nicht sagen das es die 100% ige Sicherheit ist, denn die bekommst Du nur mit Format C
Zitat:
konnte man jetzt aus der hjt logfile sehen ob die viren installiert und aktiv sind oder nicht
die waren nicht installiert, die befanden sich in Deinem Temporary Internet Fuiles Ordner
Du solltest für die Zukunft auf sichere Browser umsteigen und IE nur noch für Windowsupdates verwenden, die aber von Zeit zu Zeit immer wieder mal ausführen
http://filepony.de/download-opera/
http://www.mozilla.org/

Zitat:
koennte dann echt besser schlafen, ohne das system neu machen zu muessen.
kannst jetzt erst mal besser schlafen ;)

Haui45 23.03.2005 13:26
Wenn sie dein On-Access-Scanner abgefangen hat, hast du wahrscheinlich nochmal Glück gehabt. Ansonsten nicht, siehe auch http://www.antiviruslab.com/descript...212356&lang=de

Beim Browserwechsel stimme ich Gigamail zu, die Schädlinge sind auf den IE zugeschnitten.

eskimo 23.03.2005 14:47
danke für die hilfe jungs. steig dann ma auf mozilla firefox um. soll keiner sagen ich waer nicht lernfähig. :)

eskimo 23.03.2005 15:39
noch ma kurze frage:

woher seh ich denn, ob die mein on-access-scanner abgefangen hat.

eske


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55