Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HTML/Exploit.Mhtml! Biite um Hilfe!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.10.2005, 13:10   #1
Karaya
 
HTML/Exploit.Mhtml! Biite um Hilfe! - Standard

HTML/Exploit.Mhtml! Biite um Hilfe!



Hallo,
habe folgendes Problem:
Wenn ich im Google "cleanprog" eingebe, => Seiten auf deutsch drücke und den 7. Eintrag anklicke, dann lande ich auf einer Trojaner-Board-Seite (genau: http://www.trojaner-board.de\archiv\...p\t-12656.html).
Mein AntiVir meldet mir aber genau auf dieser Seite auch den HTML/Exploit.Mhtml-Virus. Die angegebene Datei habe ich löschen lassen.

Habe daraufhin ein HJT-Logfile erstellt und auswerten lassen - sieht sauber aus!
Habe eScan gemacht - nichts gefunden, AntiVir, ewido, Ad-Aware - nichts gefunden.

Desweiteren habe ich im Prozessmanager wdfmgr.exe gefunden. Habe die Datei bei Jotti prüfen lassen - nichts gefunden.

Kann es sein, dass AntiVir den Virus tatsächlich vollständig gelöscht hat?
Legt der Virus noch weitere Dateien an, oder zieht er welche aus dem Netz?

Hier mal die Logs:

Logfile of HijackThis v1.99.1
Scan saved at 12:55:10, on 01.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winpooch\Winpooch.exe
C:\WINDOWS\system32\imapi.exe
C:\Programme\Downloads & Misc\Installiert\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Winpooch] C:\Programme\Winpooch\Winpooch.exe
O15 - Trusted Zone: h***://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125342748015
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC0865BB-9D41-4647-A1EA-4DB28C5CDA41}: NameServer = 62.72.64.237,62.72.64.241
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe


und eScan (das habe ich gestern abend laufen lassen):


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Fri Sep 30 23:27:43 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Fri Sep 30 23:20:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Microsoft Works\". Action Taken: No Action Taken.
2: Fri Sep 30 23:20:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sonic\". Action Taken: No Action Taken.
3: Fri Sep 30 23:20:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft AntiSpyware\". Action Taken: No Action Taken.
4: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".$$$". Action Taken: No Action Taken.
5: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".1". Action Taken: No Action Taken.
6: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".avc". Action Taken: No Action Taken.
7: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".bas". Action Taken: No Action Taken.
8: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dat". Action Taken: No Action Taken.
9: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".DAT_BAK_24101". Action Taken: No Action Taken.
10: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".DAT_BAK_56488". Action Taken: No Action Taken.
11: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".DBL". Action Taken: No Action Taken.
12: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dfm". Action Taken: No Action Taken.
13: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".diskdefines". Action Taken: No Action Taken.
14: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dpr". Action Taken: No Action Taken.
15: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dt". Action Taken: No Action Taken.
16: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".frm". Action Taken: No Action Taken.
17: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".key". Action Taken: No Action Taken.
18: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ldif". Action Taken: No Action Taken.
19: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".lpk". Action Taken: No Action Taken.
20: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".part". Action Taken: No Action Taken.
21: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pas". Action Taken: No Action Taken.
22: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pcv". Action Taken: No Action Taken.
23: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rlg". Action Taken: No Action Taken.
24: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rt03". Action Taken: No Action Taken.
25: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".SDR". Action Taken: No Action Taken.
26: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tcp". Action Taken: No Action Taken.
27: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tmp". Action Taken: No Action Taken.
28: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tools". Action Taken: No Action Taken.
29: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".win". Action Taken: No Action Taken.
30: Fri Sep 30 23:20:20 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object "OpenWithList". Action Taken: No Action Taken.
31: Fri Sep 30 23:20:22 2005 => Entry "HKCR\CLSID\{7E752AAA-5A32-40AD-B150-4A2E85768E4D}" refers to invalid object "D:\BIN\WIN32\omgdwrap.dll". Action Taken: No Action Taken.
32: Fri Sep 30 23:20:22 2005 => Entry "HKCR\CLSID\{B089FE88-FB52-11d3-BDF1-0050DA34150D}" refers to invalid object "C:\Programme\Eset\nodshex.dll". Action Taken: No Action Taken.
33: Fri Sep 30 23:20:22 2005 => Entry "HKCR\CLSID\{D95DEB2F-4A47-467C-A78B-5D3038D089D5}" refers to invalid object "D:\BIN\WIN32\omgdbp.ocx". Action Taken: No Action Taken.
34: Fri Sep 30 23:22:59 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\Harry\Eigene Dateien\_HARRY\Win98 Harry\Betriebswirt\Mails und Daten\ihk.Zip is Not Scanned
35: Fri Sep 30 23:23:00 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\Harry\Eigene Dateien\_HARRY\Win98 Harry\Betriebswirt\Modul 3\PW\Zeugnis\Zeugnis.Zip is Not Scanned

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Sat Oct 01 00:28:59 2005 => Total Objects Scanned: 127033
Sat Oct 01 00:28:59 2005 => Total Virus(es) Found: 0
Sat Oct 01 00:28:59 2005 => Total Errors: 35
Sat Oct 01 00:28:59 2005 => Virus Database Date: 2005/09/30
Sat Oct 01 00:28:59 2005 => Virus Database Count: 151891
Sat Oct 01 00:30:48 2005 => Total Objects Scanned: 127033
Sat Oct 01 00:30:48 2005 => Total Virus(es) Found: 0
Sat Oct 01 00:30:48 2005 => Total Errors: 35

Über das plötzliche erscheinen von wdfmgr.exe mache ich mir schaon gedanken!! Für eine Hilfe wäre ich dankbar.

karaya

Alt 01.10.2005, 13:47   #2
Cidre
Administrator, a.D.
 
HTML/Exploit.Mhtml! Biite um Hilfe! - Standard

HTML/Exploit.Mhtml! Biite um Hilfe!



Hallo,

AntiVir deklariert fälschlicherweise diesen Code Schnipsel [1] als Bedrohung und gibt deswegen auch die Warnmeldung aus, siehe auch http://www.trojaner-board.de/showthread.php?t=21017.
Kein Grund zur Beunruhigung, denn dein System ist sauber.

bzgl. wdfmgr.exe:
http://www.spyany.com/files/wdfmgr_exe.html

[1] O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!h**p://82.179.166.68/gHQAp1SZ3M9G0AEk1Pae1ag.chm::/on-line.exe

btw:
Den unter [1] genannten Code Schnipsel werde ich wieder entfernen.
__________________

__________________

Alt 01.10.2005, 13:59   #3
Karaya
 
HTML/Exploit.Mhtml! Biite um Hilfe! - Standard

HTML/Exploit.Mhtml! Biite um Hilfe!



Hallo Cidre,

danke für die schnelle und beruhigende Antwort :aplaus:

karaya
__________________

Antwort

Themen zu HTML/Exploit.Mhtml! Biite um Hilfe!
ad-aware, adobe, antispyware, antivir, antivir meldet, application, auswerten, bho, einstellungen, explorer, google, hijack, hijackthis, html/exploit.mhtml, index.php, internet, internet explorer, modul, monitor, object, problem, prüfen, security, security suite, seiten, software, system, windows, windows xp



Ähnliche Themen: HTML/Exploit.Mhtml! Biite um Hilfe!


  1. Exploit:HTML/IframeRef.gen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (1)
  2. 100 e Trojaner der neusten Generation! biite um hilfe ,Dringend!!!!!
    Log-Analyse und Auswertung - 10.06.2012 (1)
  3. Biite liebe Gemeinde um eure Hilfe Comp geht langsam und chinesisches MP4 programm bl
    Mülltonne - 12.11.2008 (0)
  4. Hijackthis Lod file biite um hilfe
    Mülltonne - 22.09.2008 (0)
  5. Antivir Update funktioniert nicht (HTML/IFrame.Age.tih & HEUR/Exploit.HTML gefunden)
    Plagegeister aller Art und deren Bekämpfung - 05.12.2007 (1)
  6. TR/Agent.BI und HTML/Exploit.Mh.B.1
    Plagegeister aller Art und deren Bekämpfung - 27.07.2007 (19)
  7. HTML/Exploit.Mhtml Falschmeldung?
    Plagegeister aller Art und deren Bekämpfung - 21.01.2007 (3)
  8. html exploit
    Plagegeister aller Art und deren Bekämpfung - 11.01.2007 (8)
  9. AntiVir: "HTML/Exploit.Mhtml in hijackthis.log"??? Bitte anschauen...
    Log-Analyse und Auswertung - 30.12.2006 (2)
  10. Hilfe " exploit.html.codebase.exec.gen "
    Log-Analyse und Auswertung - 30.03.2006 (2)
  11. HTML/Exploit.Mhtml
    Log-Analyse und Auswertung - 12.02.2006 (2)
  12. Habe Probleme mit W32.Sinnaka.A@mm, biite Hilfe
    Log-Analyse und Auswertung - 29.09.2005 (8)
  13. Habe Probleme mit W32.Sinnaka.A@mm, biite Hilfe
    Mülltonne - 27.09.2005 (0)
  14. TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml
    Log-Analyse und Auswertung - 20.09.2005 (15)
  15. hilfe für "Exploit.HTML.Mht" virus
    Plagegeister aller Art und deren Bekämpfung - 15.05.2005 (3)
  16. JS/Small.AF und HTML/Exploit.Mhtml
    Log-Analyse und Auswertung - 23.03.2005 (8)
  17. Bitte um Hilfe wegen exploit.html.codebase.exec.gen
    Plagegeister aller Art und deren Bekämpfung - 21.01.2005 (4)

Zum Thema HTML/Exploit.Mhtml! Biite um Hilfe! - Hallo, habe folgendes Problem: Wenn ich im Google "cleanprog" eingebe, => Seiten auf deutsch drücke und den 7. Eintrag anklicke, dann lande ich auf einer Trojaner-Board-Seite (genau: http://www.trojaner-board.de\archiv\...p\t-12656.html ). Mein - HTML/Exploit.Mhtml! Biite um Hilfe!...
Archiv
Du betrachtest: HTML/Exploit.Mhtml! Biite um Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.