Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: html exploit

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.01.2007, 17:35   #1
rudeboy
 
html exploit - Standard

html exploit



So kaum das neue system aufgesetzt schon der Nächste klopft an der Tür!
Wie bekomme ich diesen nun wieder los ohne alles wieder neu machen zu müssen?
Kann ich die Quelle des Dreckspacks irgendwie finden?
hicheck:
Logfile of HijackThis v1.99.1
Scan saved at 18:34:49, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\Winamp\Winampa.exe
C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Programme\Launcher.exe
E:\Programme\ConMgr.exe
E:\Programme\PhoneExplorer.exe
E:\Winamp\winamp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HijackThis.exe

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "E:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe

Alt 10.01.2007, 17:42   #2
Sunny
Administrator
> Competence Manager
 

html exploit - Standard

html exploit



Hallo.

1.) Wer hat was und wo gemeldet? Nach Möglichkeit den genauen Pfad posten sowie das Programm welches das Exploit erkannt hat.

2.)
Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:
E:\Programme\PhoneExplorer.exe
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny
__________________

__________________

Alt 10.01.2007, 17:48   #3
rudeboy
 
html exploit - Standard

html exploit



C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ep5c5z4p.default\sessionstore-1.js
war avira vor zehn minuten genau zu dem zeitpunkt als ich aufs Trojanerboard gegangen bin.
phone-explorer ist n samsung programm das kurz zuvor installiert worden ist!Orginal Software!
__________________

Alt 10.01.2007, 18:05   #4
rudeboy
 
html exploit - Standard

html exploit



Das ist der Bericht von Virustotal wie schon befürchtet nichts gefunden!

Complete scanning result of "PhoneExplorer.exe", received in VirusTotal at 01.10.2007, 18:58:20 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.10.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.10.2007 no virus found
BitDefender 7.2 01.10.2007 no virus found
CAT-QuickHeal 9.00 01.10.2007 no virus found
ClamAV devel-20060426 01.10.2007 no virus found
DrWeb 4.33 01.10.2007 no virus found
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.110 01.10.2007 no virus found
eTrust-Vet 30.3.3316 01.10.2007 no virus found
Ewido 4.0 01.10.2007 no virus found
Fortinet 2.82.0.0 01.10.2007 no virus found
F-Prot 3.16f 01.10.2007 no virus found
F-Prot4 4.2.1.29 01.10.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.10.2007 no virus found
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.10.2007 no virus found
NOD32v2 1970 01.10.2007 no virus found
Norman 5.80.02 01.10.2007 no virus found
Panda 9.0.0.4 01.09.2007 no virus found
Prevx1 V2 01.10.2007 no virus found
Sophos 4.13.0 01.10.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.10.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.10.2007 no virus found

Aditional Information
File size: 417792 bytes
MD5: 1c4244da0c8892bac1c47953fa2eb33d
SHA1: 05201f12f117ec46f53a6788e9fa996c608281ea

Alt 10.01.2007, 18:13   #5
rudeboy
 
html exploit - Standard

html exploit



HTML/Exploit.Mhtml
genauer viren etc name


Alt 10.01.2007, 19:22   #6
nochdigger
 
html exploit - Standard

html exploit



mOIn

Zitat:
Zitat von rudeboy Beitrag anzeigen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ep5c5z4p.default\sessionstore-1.js
war avira vor zehn minuten genau zu dem zeitpunkt als ich aufs Trojanerboard gegangen bin.
phone-explorer ist n samsung programm das kurz zuvor installiert worden ist!Orginal Software!
ich hab die selbe Meldung schon einige Tage, sie tritt allerdings nur auf wenn ich im Forum etwas poste also in der Textbox schreibe, zu finden ist die Datei sessionstore-1.js auch nicht, die Onlineauswertung bei Virustotal der Datei aus dem Quarantäneordner von Antivir ergibt keine Funde
Ist meiner Meinung nach eine Fehlermeldung.

MFG

Alt 11.01.2007, 04:36   #7
rudeboy
 
html exploit - Standard

html exploit



Komischerweise wurde kurz danach ein TR/Dldr.Bagle.Q gefunden als ich n Scan übers gesamte System laufen ließ!

Alt 11.01.2007, 16:22   #8
rudeboy
 
html exploit - Standard

html exploit



Hat sich das Problem nun gelöst?Waren es nur falsch Meldungen?War an meinen logfiles nicht zu erkennen?

Alt 11.01.2007, 16:32   #9
Sunny
Administrator
> Competence Manager
 

html exploit - Standard

html exploit



Zitat:
Zitat von rudeboy Beitrag anzeigen
Komischerweise wurde kurz danach ein TR/Dldr.Bagle.Q gefunden als ich n Scan übers gesamte System laufen ließ!
In welcher Datei hat denn dein AV-Scanner den besagten Trojaner gefunde?

Dein Hijacklog ist meiner Ansicht nach aber sauber, es deutet zumindest nichts auf einen Schädling hin.

Mach aber mal zusätzlich folgendes:

Arbeiten mit MWAV (eScan)


* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu html exploit
antivir, avira, bho, button, dateien, explorer, firefox, google, hijack, hijackthis, hotkey, html, icq, internet, internet explorer, messenger, mozilla, mozilla firefox, neue, object, programme, server, shockwave, system, system32, windows, windows xp



Ähnliche Themen: html exploit


  1. Exploit:HTML/IframeRef.gen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (1)
  2. Exploit: HTML/IframeRef.Z
    Plagegeister aller Art und deren Bekämpfung - 21.02.2012 (2)
  3. HTML/ADODB.Exploit.Gen in C:\WINDOWS\msn.hta.VIR.XXX.VIR
    Plagegeister aller Art und deren Bekämpfung - 11.03.2010 (11)
  4. HTML/ADODB.Exploit.Gen
    Plagegeister aller Art und deren Bekämpfung - 12.02.2008 (4)
  5. hijackthis log-file : Trojan.Exploit.Html.Iframe.Filedownload.FI
    Log-Analyse und Auswertung - 08.02.2008 (3)
  6. Antivir Update funktioniert nicht (HTML/IFrame.Age.tih & HEUR/Exploit.HTML gefunden)
    Plagegeister aller Art und deren Bekämpfung - 05.12.2007 (1)
  7. HTML/ADODB.Exploit.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.11.2007 (1)
  8. HTML/ADODB.Exploit.Gen
    Plagegeister aller Art und deren Bekämpfung - 20.09.2007 (18)
  9. HEUR/Exploit.HTML
    Plagegeister aller Art und deren Bekämpfung - 18.09.2007 (2)
  10. TR/Agent.BI und HTML/Exploit.Mh.B.1
    Plagegeister aller Art und deren Bekämpfung - 27.07.2007 (19)
  11. HTML/Exploit.Mhtml Falschmeldung?
    Plagegeister aller Art und deren Bekämpfung - 20.01.2007 (3)
  12. Trojan Exploit Html.Codebaseexe.BI
    Plagegeister aller Art und deren Bekämpfung - 09.03.2006 (1)
  13. HTML/Exploit.Mhtml
    Log-Analyse und Auswertung - 12.02.2006 (2)
  14. HTML/Exploit.Mhtml! Biite um Hilfe!
    Log-Analyse und Auswertung - 01.10.2005 (2)
  15. TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml
    Log-Analyse und Auswertung - 20.09.2005 (15)
  16. JS/Small.AF und HTML/Exploit.Mhtml
    Log-Analyse und Auswertung - 23.03.2005 (8)
  17. exploit.HTML.Mht Virus wie entfernen??
    Plagegeister aller Art und deren Bekämpfung - 13.09.2004 (6)

Zum Thema html exploit - So kaum das neue system aufgesetzt schon der Nächste klopft an der Tür! Wie bekomme ich diesen nun wieder los ohne alles wieder neu machen zu müssen? Kann ich die - html exploit...
Archiv
Du betrachtest: html exploit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.