Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HTML/Exploit.Mhtml! Biite um Hilfe! (https://www.trojaner-board.de/22340-html-exploit-mhtml-biite-um-hilfe.html)

Karaya 01.10.2005 12:10
HTML/Exploit.Mhtml! Biite um Hilfe!
 
Hallo,
habe folgendes Problem:
Wenn ich im Google "cleanprog" eingebe, => Seiten auf deutsch drücke und den 7. Eintrag anklicke, dann lande ich auf einer Trojaner-Board-Seite (genau: http://www.trojaner-board.de\archiv\...p\t-12656.html).
Mein AntiVir meldet mir aber genau auf dieser Seite auch den HTML/Exploit.Mhtml-Virus. Die angegebene Datei habe ich löschen lassen.

Habe daraufhin ein HJT-Logfile erstellt und auswerten lassen - sieht sauber aus!
Habe eScan gemacht - nichts gefunden, AntiVir, ewido, Ad-Aware - nichts gefunden.

Desweiteren habe ich im Prozessmanager wdfmgr.exe gefunden. Habe die Datei bei Jotti prüfen lassen - nichts gefunden.

Kann es sein, dass AntiVir den Virus tatsächlich vollständig gelöscht hat?
Legt der Virus noch weitere Dateien an, oder zieht er welche aus dem Netz?

Hier mal die Logs:

Logfile of HijackThis v1.99.1
Scan saved at 12:55:10, on 01.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winpooch\Winpooch.exe
C:\WINDOWS\system32\imapi.exe
C:\Programme\Downloads & Misc\Installiert\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Winpooch] C:\Programme\Winpooch\Winpooch.exe
O15 - Trusted Zone: h***://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125342748015
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC0865BB-9D41-4647-A1EA-4DB28C5CDA41}: NameServer = 62.72.64.237,62.72.64.241
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe


und eScan (das habe ich gestern abend laufen lassen):


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Fri Sep 30 23:27:43 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Fri Sep 30 23:20:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Microsoft Works\". Action Taken: No Action Taken.
2: Fri Sep 30 23:20:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sonic\". Action Taken: No Action Taken.
3: Fri Sep 30 23:20:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft AntiSpyware\". Action Taken: No Action Taken.
4: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".$$$". Action Taken: No Action Taken.
5: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".1". Action Taken: No Action Taken.
6: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".avc". Action Taken: No Action Taken.
7: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".bas". Action Taken: No Action Taken.
8: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dat". Action Taken: No Action Taken.
9: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".DAT_BAK_24101". Action Taken: No Action Taken.
10: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".DAT_BAK_56488". Action Taken: No Action Taken.
11: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".DBL". Action Taken: No Action Taken.
12: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dfm". Action Taken: No Action Taken.
13: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".diskdefines". Action Taken: No Action Taken.
14: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dpr". Action Taken: No Action Taken.
15: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dt". Action Taken: No Action Taken.
16: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".frm". Action Taken: No Action Taken.
17: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".key". Action Taken: No Action Taken.
18: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ldif". Action Taken: No Action Taken.
19: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".lpk". Action Taken: No Action Taken.
20: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".part". Action Taken: No Action Taken.
21: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pas". Action Taken: No Action Taken.
22: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pcv". Action Taken: No Action Taken.
23: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rlg". Action Taken: No Action Taken.
24: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rt03". Action Taken: No Action Taken.
25: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".SDR". Action Taken: No Action Taken.
26: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tcp". Action Taken: No Action Taken.
27: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tmp". Action Taken: No Action Taken.
28: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tools". Action Taken: No Action Taken.
29: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".win". Action Taken: No Action Taken.
30: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object "OpenWithList". Action Taken: No Action Taken.
31: Fri Sep 30 23:20:22 2005 => Entry "HKCR\CLSID\{7E752AAA-5A32-40AD-B150-4A2E85768E4D}" refers to invalid object "D:\BIN\WIN32\omgdwrap.dll". Action Taken: No Action Taken.
32: Fri Sep 30 23:20:22 2005 => Entry "HKCR\CLSID\{B089FE88-FB52-11d3-BDF1-0050DA34150D}" refers to invalid object "C:\Programme\Eset\nodshex.dll". Action Taken: No Action Taken.
33: Fri Sep 30 23:20:22 2005 => Entry "HKCR\CLSID\{D95DEB2F-4A47-467C-A78B-5D3038D089D5}" refers to invalid object "D:\BIN\WIN32\omgdbp.ocx". Action Taken: No Action Taken.
34: Fri Sep 30 23:22:59 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\Harry\Eigene Dateien\_HARRY\Win98 Harry\Betriebswirt\Mails und Daten\ihk.Zip is Not Scanned
35: Fri Sep 30 23:23:00 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\Harry\Eigene Dateien\_HARRY\Win98 Harry\Betriebswirt\Modul 3\PW\Zeugnis\Zeugnis.Zip is Not Scanned

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Sat Oct 01 00:28:59 2005 => Total Objects Scanned: 127033
Sat Oct 01 00:28:59 2005 => Total Virus(es) Found: 0
Sat Oct 01 00:28:59 2005 => Total Errors: 35
Sat Oct 01 00:28:59 2005 => Virus Database Date: 2005/09/30
Sat Oct 01 00:28:59 2005 => Virus Database Count: 151891
Sat Oct 01 00:30:48 2005 => Total Objects Scanned: 127033
Sat Oct 01 00:30:48 2005 => Total Virus(es) Found: 0
Sat Oct 01 00:30:48 2005 => Total Errors: 35

Über das plötzliche erscheinen von wdfmgr.exe mache ich mir schaon gedanken!! Für eine Hilfe wäre ich dankbar.

karaya

Cidre 01.10.2005 12:47
Hallo,

AntiVir deklariert fälschlicherweise diesen Code Schnipsel [1] als Bedrohung und gibt deswegen auch die Warnmeldung aus, siehe auch http://www.trojaner-board.de/showthread.php?t=21017.
Kein Grund zur Beunruhigung, denn dein System ist sauber.

bzgl. wdfmgr.exe:
http://www.spyany.com/files/wdfmgr_exe.html

[1] O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!h**p://82.179.166.68/gHQAp1SZ3M9G0AEk1Pae1ag.chm::/on-line.exe

btw:
Den unter [1] genannten Code Schnipsel werde ich wieder entfernen.

Karaya 01.10.2005 12:59
Hallo Cidre,

danke für die schnelle und beruhigende Antwort :aplaus:

karaya


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55