Trojaner-Board - Virus Warnung von AntiVir beim Speichern eines hijackthis logfiles!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virus Warnung von AntiVir beim Speichern eines hijackthis logfiles! (https://www.trojaner-board.de/10695-virus-warnung-antivir-beim-speichern-hijackthis-logfiles.html)

Virus Warnung von AntiVir beim Speichern eines hijackthis logfiles!

Hallo Ihr,

erhalte beim Speichern nach dem Scan des hijackthis-logfiles die Virenwarnung von AntiVir:"Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml". Habe zur Sicherheit bisher immer die Datei gelöscht. Soll ich diese trotzdem abspeichern, sonst kann ich den logfile hier ja schlecht anzeigen oder ?

Grüße cowboy_007

Kannst ruhig abspeichern, ist ja eh schon drauf. ;)

Hier ist er also, mein neuer logfile, die Ruhe einer Hundeseele habe ich aber trotzdem noch nicht. Kannst Du mir bitte dazu was sagen ?

Logfile of HijackThis v1.98.2
Scan saved at 22:47:52, on 12.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\YP_Technik1\Desktop\HijackThis19802.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe-Gamma-Lader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:oo.mht!http://195.225.177.13/20609/online.chm::/on-line.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4402B22E-8395-4146-98B3-DAA048B47240}: NameServer = 213.148.129.10,213.148.130.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{4402B22E-8395-4146-98B3-DAA048B47240}: NameServer = 213.148.129.10,213.148.130.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{4402B22E-8395-4146-98B3-DAA048B47240}: NameServer = 213.148.129.10,213.148.130.10

Grüße cowboy_007

Die Ruhe kannst Du auch nicht haben, die drei folgenden mußt Du mit HJT im abgesicherten Modus fixen (Nach dem scan Häkchen bei den folgenden Punkten machen und unten auf "fix checked" clicken):
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.comO16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C: oo.mht!http://195.225.177.13/20609/online.chm::/on-line.e xe

Außerdem in Deinen Internetoptionen die o.a. Teilchen aus den "vertrauenswürdigen Seiten" herauslöschen und sperren.

Kennst du die:
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

Wenn nicht, dann
hier mal online scannen.

Wenn alle Aufgaben erfüllt sind, bitte neues Log posten.
cacatoa

Hallo,

015 trusted zone hatte ich ursprünglich 7 Stück, 5 liesen sich problemlos entfernen (alles im abgesicherten Modus), die 2 lassen sich aber nicht löschen, sind gleich beim nächsten Scan obwohl vorher "gefixed" wieder da !?

Sonst mache ich jetzt mal das, wie Du es beschrieben hast, bis gleich

Grüße cowboy_007

Zitat:

015 trusted zone ... obwohl vorher "gefixed" wieder da !?

Probiers mal so: http://www.trojaner-board.de/showpos...6&postcount=31

Hallo Cidre,

danke für den Tip, hat geklappt, die Sachen "trusted" sind alle weg! Danke auch an Lutz für den Tip.

Hier mein neuer log-file, ist jetzt alles ok !?

Logfile of HijackThis v1.98.2
Scan saved at 00:10:09, on 13.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Dokumente und Einstellungen\YP_Technik1\Desktop\HijackThis19802.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe-Gamma-Lader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4402B22E-8395-4146-98B3-DAA048B47240}: NameServer = 213.148.129.10,213.148.130.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{4402B22E-8395-4146-98B3-DAA048B47240}: NameServer = 213.148.129.10,213.148.130.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{4402B22E-8395-4146-98B3-DAA048B47240}: NameServer = 213.148.129.10,213.148.130.10

Danke und Grüße
cowboy_007

Gern geschehen, dein Log-File sieht wieder sauber aus.

Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org