Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HTML/Spoofing.Gen in C:\Dokumente...\***\...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.01.2010, 12:36   #1
Lackmulle
 
HTML/Spoofing.Gen in C:\Dokumente...\***\... - Standard

HTML/Spoofing.Gen in C:\Dokumente...\***\...



Hallo.

Ich habe folgendes Problem:

Heute wurde von Antivir folgender Fund gemeldet:

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8zhoaubp.default\Cache\_CACHE_003_'
wurde ein Virus oder unerwünschtes Programm 'HTML/Spoofing.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Könnt Ihr mir helfen den Virus loszuwerden?

Ich benutze Windows xp pro, mache regelmäßig Sicherheitsupdates, lasse täglich CCleaner laufen.

Vielen Dank,
Lackmulle

Hier mein HJThis-Log:

[edit]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:37, on 23.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Avira\AntiVir Desktop\sched.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
F:\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Logitech\SetPoint II\SetpointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
F:\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
F:\Mozilla Firefox\firefox.exe
f:\avira\antivir desktop\avcenter.exe
F:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
O4 - HKLM\..\Run: [avgnt] "F:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\AdobeReader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196178336218
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 5476 bytes
[/edit]

Alt 25.01.2010, 13:17   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HTML/Spoofing.Gen in C:\Dokumente...\***\... - Standard

HTML/Spoofing.Gen in C:\Dokumente...\***\...



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 27.01.2010, 20:58   #3
Lackmulle
 
HTML/Spoofing.Gen in C:\Dokumente...\***\... - Standard

HTML/Spoofing.Gen in C:\Dokumente...\***\...



Ok danke. Ich hoffe diesmal alles richtig gemacht zu haben.

Hier der Link.

Vielen Dank,
Lackmulle

http://www.file-upload.net/download-2202371/Lackmulle.rar.html
__________________

Alt 27.01.2010, 21:23   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HTML/Spoofing.Gen in C:\Dokumente...\***\... - Standard

HTML/Spoofing.Gen in C:\Dokumente...\***\...



Jo, alles richtig. Bitte noch ein Log mit CF, danach müssten wir eigentlich so gut wie durch sein

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.01.2010, 10:28   #5
Lackmulle
 
HTML/Spoofing.Gen in C:\Dokumente...\***\... - Standard

HTML/Spoofing.Gen in C:\Dokumente...\***\...



Ok, hab ich gemacht. Hier wieder der Link zum Log:

http://www.file-upload.net/download-2203511/Lackmulle2.rar.html

Vielen Dank

Lackmulle


Alt 28.01.2010, 10:33   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HTML/Spoofing.Gen in C:\Dokumente...\***\... - Standard

HTML/Spoofing.Gen in C:\Dokumente...\***\...



Das sieht an sich okay aus, mach aber bitte sicherheitshalber noch ein Log mit GMER und poste es.
Sind zwischendurch eigentlich wieder Meldungen aufgetreten?
__________________
--> HTML/Spoofing.Gen in C:\Dokumente...\***\...

Alt 28.01.2010, 13:03   #7
Lackmulle
 
HTML/Spoofing.Gen in C:\Dokumente...\***\... - Standard

HTML/Spoofing.Gen in C:\Dokumente...\***\...



hmmm...

Wenn ich GMER wie beschrieben herunterlade und ausführe erscheint nur ganz kurz das Fenster und schließst sich dann wieder sofort. Weder eine Abfrage nach system scan noch die Möglichkeit überhaupt etwas anzuklicken bestehen.

Hab es mehrfach gestartet und trotzdem war es immer wieder sofort weg.

Lan/WLAN waren aus, antivir ebenso.

Was mache ich falsch?

Danke, LAckmulle

Alt 28.01.2010, 13:16   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HTML/Spoofing.Gen in C:\Dokumente...\***\... - Standard

HTML/Spoofing.Gen in C:\Dokumente...\***\...



Du speicherst GMER auch auf Desktop? Beendest dann alle Programme? NICHT aus dem Browser heraus ausführen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.01.2010, 13:44   #9
Lackmulle
 
HTML/Spoofing.Gen in C:\Dokumente...\***\... - Standard

HTML/Spoofing.Gen in C:\Dokumente...\***\...



Ja, habs nochmal auf dem Desktop gespeichert. Alle Fenster und Programme beendet, Verbindung getrennt und dann ausgeführt.
Wieder das gleiche Problem: kurz taucht das Fenster auf- dann verschwindet es wieder.

Gruß
Lackmulle

Antwort

Themen zu HTML/Spoofing.Gen in C:\Dokumente...\***\...
adobe, antivir, antivir guard, avg, avira, bho, desktop, einstellungen, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, html/spoofing.gen, internet, internet explorer, monitor, mozilla, problem, programm, rundll, software, system, virus, windows, windows xp



Ähnliche Themen: HTML/Spoofing.Gen in C:\Dokumente...\***\...


  1. server spoofing in Studentenheim durch ein Macbook Pro
    Alles rund um Mac OSX & Linux - 22.09.2015 (17)
  2. eMail Spoofing
    Plagegeister aller Art und deren Bekämpfung - 24.12.2013 (1)
  3. Adress-Spoofing-Schwachstelle in iOS-Safari
    Nachrichten - 20.03.2012 (0)
  4. ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch?
    Log-Analyse und Auswertung - 08.12.2011 (6)
  5. avira meldet: HTML/Spoofing.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.05.2011 (26)
  6. Virus HTML/Drop.Agent.AB in C:/Dokumente und Einstellungen/Lokale Service
    Antiviren-, Firewall- und andere Schutzprogramme - 10.03.2011 (1)
  7. Avira Antivie meldet spoofing durch HTML/spoofing.gen Datei
    Log-Analyse und Auswertung - 23.10.2010 (20)
  8. HTML/Malicious.PDF.Gen in C:\Dokumente und Einstellungen\admin\Lokale Einstellungen gefunden.
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (1)
  9. Antivir meldet HTLM/Spoofing.Gen
    Log-Analyse und Auswertung - 20.08.2010 (21)
  10. HTML/Spoofing.Gen im Firefox Cache
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (21)
  11. Verdacht auf Spoofing via ICQ
    Log-Analyse und Auswertung - 07.03.2010 (0)
  12. Rechner infiziert? Linux/Rootkit-S Linux/Posix HTML/Spoofing.Gen adaware
    Log-Analyse und Auswertung - 26.01.2010 (1)
  13. Outlook zerschossen - Spoofing.gen
    Log-Analyse und Auswertung - 25.01.2010 (3)
  14. HTML/Spoofing - Antivir schlägt dauernd an.
    Log-Analyse und Auswertung - 04.02.2009 (0)
  15. HTML/Spoofing.Gen im Outlook PST Ordner
    Log-Analyse und Auswertung - 21.09.2008 (1)
  16. HTML/Spoofing.Gen - Malware
    Plagegeister aller Art und deren Bekämpfung - 27.05.2008 (3)
  17. mac spoofing
    Plagegeister aller Art und deren Bekämpfung - 19.06.2007 (2)

Zum Thema HTML/Spoofing.Gen in C:\Dokumente...\***\... - Hallo. Ich habe folgendes Problem: Heute wurde von Antivir folgender Fund gemeldet: In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8zhoaubp.default\Cache\_CACHE_003_' wurde ein Virus oder unerwünschtes Programm 'HTML/Spoofing.Gen' [virus] gefunden. Ausgeführte Aktion: - HTML/Spoofing.Gen in C:\Dokumente...\***\......
Archiv
Du betrachtest: HTML/Spoofing.Gen in C:\Dokumente...\***\... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.