Home » Viren, Trojaner & Malware Forum » verbindung activex.microsoft.com und exploit.html.objdata » Themenansicht
verbindung activex.microsoft.com und exploit.html.objdata |
||
|---|---|---|
| #0
| ||
|
29.05.2004, 21:18
Member
Beiträge: 15 |
||
 
|
|
|
|
30.05.2004, 11:03
Ehrenmitglied
 Beiträge: 29434 |
#2
fällt selbst mir als laiem sofort der letzte punkt auf. ich hab ihn schon mehrfach gefixt .........
Was meinst du damit ???? -------------------------------------------------------------------------------------------------------- 1.Lade von dieser Site AdAware (free)...updaten Cwshredder Spybot(Search&Destroy) Sphjfix.exe http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html 2.Lade e-scann (mwav.exe) http://www.mwti.net/antivirus/free_utilities.asp ------------------------------------------------------------------------- 3.Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) und scanne mit allen diesen Tools (ohne Internetverbindung) 3.1. scanne mit deinem Virus ebenfalls im abgesicherten Modus ------------------------------------------------------------------------- normal neustarten 4.Lade ClearProg und loesche die TemporaryInternetFiles und Cookies http://www.clearprog.de/ 4.1.Ist der Virus noch nicht entfernt, ueberpruefe ihn mit Kaspersky http://www.kaspersky.com/remoteviruschk.html 5.Stell bitte unter InternetOptionen eine Startseite ein . Dann poste das Log noch einmal . MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.05.2004 um 11:23 Uhr von Sabina editiert.
|
|
|
|
|
|
|
30.05.2004, 11:24
Moderator
 Beiträge: 6466 |
#3
Dr Scott meint den Nameserver-Eintrag !?
Da kannst Du fixen bis zum Sanktnimmerleins-Tag  .Ist aber nicht ratsam, da dieser Eitnrag bei der Einwahl zum ISP entsteht und völlig i.O ist ! Was für einen Scanner und welches Email-Programm verwendest Du ? Evtl kann man das Mail ja ausfindig machen und einfach löschen. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
30.05.2004, 12:07
Member
Themenstarter Beiträge: 15 |
#4
Zitat Dr Scott meint den Nameserver-Eintrag !?genau den meine ich. aber gut...wenn dieser punkt in ordnung ist!? als scanner benutze ich das gdata anti-virus-profi paket. zusätzlich gelegentlich stinger, e-scann und spy-bot. als mail-programm habe ich derzeit netscape 7.1 hier meldet der scanner immer die inbox als infizierte datei. wie gesagt. wenn ich die "infizierte datei" dann lösche, ist meine ganze inbox weg. ich werd jetzt mal das programm von sabina durchziehen und melde mich dann nochmal. vorab besten dank! |
|
|
|
|
|
|
30.05.2004, 13:18
Ehrenmitglied
Beiträge: 29434 |
#5
Wichtig ist, im abgesicherten Modus zu scannen ("exploit.html.objdata" dauerhaft loeschen)
MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.05.2004 um 13:19 Uhr von Sabina editiert.
|
|
|
|
|
|
|
30.05.2004, 14:05
Member
Themenstarter Beiträge: 15 |
#6
hallo,
och 2 zwischenfragen: 1. wielange läuft denndas programm sphjfix bevor es mir sagt, dass ich neu starten soll? 2. ist denn "exploit.html.objdata" auch für die anwahlversuche ins net verantwortlich? grüße markus |
|
|
|
|
|
|
30.05.2004, 14:18
Ehrenmitglied
Beiträge: 29434 |
#7
exploit.html.objdata ist ein Virus, der sich in der Mailbox versteckt.
Ich habe aber ueber <googeln< nichts konkretes finden koennen, nur dass Kaspersky ihn entfernt. also alle Virenscanner im <abgesicherten Modus < laufen lassen scanne mit dem sphjfix erst ganz zum Schluss, wenn alles andere abgearbeitet ist(ohne InternetVerbindung...scannen lassen und neustarten) MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.05.2004 um 14:18 Uhr von Sabina editiert.
|
|
|
|
|
|
|
30.05.2004, 20:19
Member
Themenstarter Beiträge: 15 |
#8
halo sabina,
aaaalsooo.... ich hab jetzt mal alles gescannt. diesen exploit.html.objdata hab ich dabei im abgesicherten modus gelöscht. ich denke und hoffe, der is jetzt mal erledigt. was nicht funktioniert hat war die sache mit dem sphjfix. das programm ist jetzt 6 stunden gelaufen und ich habe leider keine aufforderung zum neustart bekommen. wenn ich manuel neustarte, startet sich das programm leider nicht wei versprochen mit. was (wahrscheinlich deshalb) noch immer ein problem ist, ist der anwahlversuch ins internet. komisch daran ist, dass der versuch erst gestartet wird, wenn ich meine t-online software starte. der anwahlversuch wird von activex.microsoft.com gestartet. grüße markus sicherheitshalber hier noch ein log Logfile of HijackThis v1.97.7 Scan saved at 20:18:26, on 30.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Antivirus-Profi-Paket\AVKService.exe C:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NEOLEC\Wireless Desktop\KbdAp32A.exe C:\Programme\NEOLEC\NEOLEC Mouse1.1\MOUSE32A.EXE C:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE E:\NETSCAPE7.01\NETSCP.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\NEOLEC\Wireless Desktop\KbdAp32A.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NEOLEC\NEOLEC Mouse1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [SfWinStartInfo] e:\sfirm32\sfWinStartupInfo.exe O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE" O4 - Global Startup: SFIRM32 Automat.lnk.disabled O17 - HKLM\System\CCS\Services\Tcpip\..\{AF30706D-3784-474D-BF38-934B577B26B4}: NameServer = 217.237.150.141 194.25.2.129 |
|
|
|
|
|
|
30.05.2004, 21:01
Moderator
Beiträge: 6466 |
#9
Habe auch so ein Mail in meiner Inbox:
Hier mal der Quelltext davon: Zitat Content-Type: text/htmlFällt beim Scanner Kaspersky unter die Kategorie "Verdacht". Das einzigst auffällige habe ich fett markiert und das ist es auch genau, worauf der Scanner anspringt. Habe genau diese Zeile in eine html-Datei kopiert und anschl. gescannt. Nur <iframe src=3D"cid: spielt dabei für den Alarm eine Rolle. Was danach kommt ist belanglos für den Scanner. Je nach verwendetem Client können hier Dateien angesprochen und automatisch ausgeführt werden. Wie das genauer funktioniert: http://www.gaijin.at/mansecmail.shtml#aaa __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
30.05.2004, 22:46
Member
Themenstarter Beiträge: 15 |
#10
@joschi
aja...dann ist das also nicht ganz so gut. oder? naja...wie gesagt. zunächst habe ich ja mal ruhe davor....wer weiss wie lange :-( aber nochmal zum programm sphjfix warum tut dat bei mir nicht? *grmbl* das log sagt folgendes: 0.05.2004 22:36:17 SPhjFix started v1.07 30.05.2004 22:36:17 Stealth-String not found -> Programm terminated was ist denn stelth-string und warum findet der das bei mir nicht? grüße markus |
|
|
|
|
|
|
31.05.2004, 08:43
Moderator
Beiträge: 6466 |
||
|
|
|
|
|
31.05.2004, 09:48
Member
Themenstarter Beiträge: 15 |
#12
hmm..ja, kann schon sein.
is ja irgendwie schön...aber ich hab ja dann noch immer diesen doofen anwahlversuch und weiss dann endgültig nicht woher :-( was für ein käse! |
|
|
|
|
|
|
31.05.2004, 11:18
Ehrenmitglied
Beiträge: 29434 |
#13
http://smb.sygate.com/products/spf_standard.htm
Lade die Firewall dort unter <Aplikationen< siehst du alles, was noch so auf dem Comp. ist (was wir hier nicht sehen) und kannst es <blocken< http://www.chip.de/artikel/c_artikel_10859235.html Lies dir das durch (die Windows-Firewall brauchst du nicht einzuschalten, wenn du den Sygate laedst) #Ueberpruefe mal. was das ist und ob du es nicht besser aus dem Autostart rausnimmst. O4 - HKLM\..\Run: [SfWinStartInfo] e:\sfirm32\sfWinStartupInfo.exe http://www.kaspersky.com/remoteviruschk.html MfG Sabina  __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.05.2004 um 11:27 Uhr von Sabina editiert.
|
|
|
|
|
|
|
31.05.2004, 19:22
Member
Themenstarter Beiträge: 15 |
#14
hallo,
ich hab mir jetzt die firewall mal runtergeladen und instaliert. leider fehlt mir der blick für die schlimmen sachen. soll heissen. ich habe keine ahnung :-( wärst du so lieb, mal einen blick auf mein logfile dieser firewall zu werfen? ichweiss nur nicht, ob ich dass hier posten kann. ich denke, dass kommt nicht so doll raus. darf ich dir das mal mailen? grüße markus |
|
|
|
|
|
|
06.06.2004, 10:51
Moderator
Beiträge: 6466 |
#15
Kaspersky hat unter http://www.viruslist.com/eng/viruslist.html?id=1625393 eine kurze Beschreibung in seine encyclopedia aufgenommen.
Die MS-Bulletins: - Microsoft Security Bulletin MS03-032 - Microsoft Security Bulletin MS03-040 sind in diesem Zusammenhang auch von Interesse. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
mein pc baut mal wieder direkt beim starten meines t-online-decoders eine separate verbindung zum i-net auf wenn ich mir mein log so anschaue fällt selbst mir als laiem sofort der letzte punkt auf. ich hab ihn schon mehrfach gefixt aber das hilft nix. kommt immer wieder. was mach ich falsch oder was muss ich sonst noch so machen?
ausserdem habe ich das problem, dass mein virenscanner immer in meiner inboc einen viirus namens "exploit.html.objdata" findet. wenn ich diesen in meinem antivirusprofi in die quarantäne verschiebe kann ich ihn nicht heilen also bleibt mir nur das löschen. wass meine gesamten eingegangenen mails mitlöscht. ist ja auch nicht so toll. weiss jemand rat?? sonst finde ich leider keine infos darüber.
vielen dank im voraus
viele grüße
markus
hier mein log:
Logfile of HijackThis v1.97.7
Scan saved at 21:10:07, on 29.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivirus-Profi-Paket\AVKService.exe
C:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NEOLEC\Wireless Desktop\KbdAp32A.exe
C:\Programme\NEOLEC\NEOLEC Mouse1.1\MOUSE32A.EXE
C:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\NETSCAPE7.01\NETSCP.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\NEOLEC\Wireless Desktop\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NEOLEC\NEOLEC Mouse1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [SfWinStartInfo] e:\sfirm32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE"
O4 - Global Startup: SFIRM32 Automat.lnk.disabled
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF30706D-3784-474D-BF38-934B577B26B4}: NameServer = 217.237.150.141 194.25.2.129