fund in der heuristik?

#0
19.09.2006, 16:25
...neu hier

Beiträge: 6
#1 hallo zusammen,kann mir vielleicht jemand helfen und was zu den beiden funden nach dem scann mit antivir sagen ,der meldet für diese beiden,
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temporary Internet Files\Content.IE5\210TWT23\AD(ZH)[1].htm
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453792bb.qua' verschoben!
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SLEJQ1W9\winopen_beitou[1].js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML,

ich hab keine vernünftigen angaben zu den beiden sachen gefunden hab leider auch nicht so viel ahnung vom pc.hoffe mir kann jemand helfen bei der sache..

so wie ichs grad sehe muß ich wohl noch ein paar logfiles einfügen sorry.

Logfile of HijackThis v1.99.1
Scan saved at 17:10:03, on 19.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\admin\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122352203781
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B739C3E-D8C9-43E3-99E0-BD74219402F7}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

das war das hijackthis,

und dies ist das datfind der letzten 3 monate.

lume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F46E-12E3

Verzeichnis von C:\WINDOWS\system32

19.09.2006 11:44 2.206 wpa.dbl
14.09.2006 09:51 176.167 rmoc3260.dll
14.09.2006 09:51 5.632 pndx5032.dll
14.09.2006 09:51 6.656 pndx5016.dll
14.09.2006 09:51 278.528 pncrt.dll
11.09.2006 19:37 8.960.936 MRT.exe
01.09.2006 09:21 14 getfile.dat
01.09.2006 09:21 0 x_dtrace_log
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll

das cleanup hab ich gemacht combofix will nicht klappen

vielen dank schon mal für die beiden antworten auf meine fragen!!

hier jetzt die drei letzten logs vom datfind.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F46E-12E3

Verzeichnis von C:\DOKUME~1\admin\LOKALE~1\Temp

20.09.2006 07:17 49.152 ~DF8B3A.tmp
19.09.2006 18:18 49.152 ~DFA09F.tmp
19.09.2006 11:44 49.152 ~DFAF8F.tmp
3 Datei(en) 147.456 Bytes
0 Verzeichnis(se), 36.213.211.136 Bytes frei

fff Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F46E-12E3

Verzeichnis von C:\WINDOWS

20.09.2006 07:18 26.898 ntbtlog.txt
20.09.2006 07:18 714 win.ini
20.09.2006 07:17 5.382 setupapi.log
20.09.2006 07:16 157 wiadebug.log
20.09.2006 07:16 1.130.715 WindowsUpdate.log
20.09.2006 07:16 50 wiaservc.log
20.09.2006 07:16 0 0.log
20.09.2006 07:16 2.048 bootstat.dat
19.09.2006 18:45 32.622 SchedLgU.Txt
19.09.2006 17:48 54.156 QTFont.qfn
18.09.2006 12:08 49 NeroDigital.ini
11.09.2006 16:23 635 Sof.INI
14.08.2006 10:35 0 PowerReg.dat
03.08.2006 10:59 17.255 mozver.dat
29.07.2006 11:24 0 RingtoneMaker.INI
13.07.2006 12:29 230 homeDVD-Fotos4_dlx.INI
26.06.2006 07:34 1.409 QTFont.for
02.06.2006 17:00 619 eReg.dat
09.04.2006 11:01 84 gimmy.txt
29.12.2005 12:36 477 ODBC.INI
05.12.2005 15:53 107.132 UninstallFirefox.exe
07.11.2005 10:48 3.037 mgxoschk.ini
18.10.2005 10:16 60.416 ALCFDRTM.VER
01.10.2005 14:19 316.640 WMSysPr9.prx
22.09.2005 10:13 335 nsreg.dat
09.08.2005 10:49 1.125 winamp.ini
26.07.2005 16:37 227 system.ini
12.07.2005 17:42 8.330 RestoreFlyakiteOSX.txt
01.07.2005 09:07 10 WININIT.INI
23.06.2005 11:02 0 ROUTE
23.06.2005 11:02 0 SEARCH
23.06.2005 10:43 4.161 ODBCINST.INI
23.06.2005 09:23 24 AM_D8.PRF
27.05.2005 01:22 10.752 hh.exe
22.05.2005 17:34 9 sierra.ini
20.05.2005 14:46 597 Sof2.INI
18.05.2005 14:23 46 mxcdr.INI
30.04.2005 12:25 51 mscpt.dat
22.03.2005 15:56 326.656 opuc.dll
21.02.2005 13:49 701 QIII.INI
16.02.2005 17:18 3.365 Ascd_tmp.ini
14.02.2005 12:38 85 magix.ini
13.02.2005 18:37 0 control.ini
13.02.2005 18:37 299.552 WMSysPrx.prx
13.02.2005 18:36 749 WindowsShell.Manifest
13.02.2005 18:34 37 vbaddin.ini
13.02.2005 18:34 36 vb.ini
13.02.2005 18:05 0 Sti_Trace.log
13.02.2005 14:15 60.416 ALCFDRTM.EXE
04.08.2004 09:58 288.768 winhlp32.exe
04.08.2004 09:58 32.866 slrundll.exe
04.08.2004 09:58 153.600 regedit.exe
04.08.2004 09:58 70.144 notepad.exe
04.08.2004 09:57 1.035.264 explorer.exe
04.08.2004 09:57 50.688 twain_32.dll
27.07.2004 18:01 68.096 soundman.exe
27.02.2004 19:14 208.896 alcupd.exe
02.02.2004 19:44 139.264 alcrmv.exe
03.03.2003 16:25 34.304 ieuninst.exe
28.02.2003 18:26 46.352 setdebug.exe
28.02.2003 16:35 6.550 jautoexp.dat
29.08.2002 14:00 2 desktop.ini
29.08.2002 14:00 65.978 Seifenblase.bmp
29.08.2002 14:00 9.522 Zapotek.bmp
29.08.2002 14:00 82.944 clock.avi
29.08.2002 14:00 15.872 TASKMAN.EXE
29.08.2002 14:00 94.800 twain.dll
29.08.2002 14:00 65.832 Santa Fe-Stuck.bmp
29.08.2002 14:00 49.680 twunk_16.exe
29.08.2002 14:00 25.600 twunk_32.exe
29.08.2002 14:00 1.272 Blaue Spitzen 16.bmp
29.08.2002 14:00 17.062 Kaffeetasse.bmp
29.08.2002 14:00 80 explorer.scf
29.08.2002 14:00 17.362 Rhododendron.bmp
29.08.2002 14:00 18.944 vmmreg32.dll
29.08.2002 14:00 17.336 Angler.bmp
29.08.2002 14:00 1.405 msdfmap.ini
29.08.2002 14:00 16.730 Feder.bmp
29.08.2002 14:00 141.312 REGEDIT.COM
29.08.2002 14:00 141.312 R.COM
29.08.2002 14:00 26.680 F„cher.bmp
29.08.2002 14:00 257.568 winhelp.exe
29.08.2002 14:00 26.582 Granit.bmp
29.08.2002 14:00 65.954 Pr„riewind.bmp
29.08.2002 14:00 48.680 winnt.bmp
29.08.2002 14:00 48.680 winnt256.bmp
29.08.2002 14:00 34.818 wmprfDEU.prx
29.08.2002 14:00 707 _default.pif
09.08.2002 22:17 4.292.608 una2setup.exe
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
91 Datei(en) 10.833.495 Bytes
0 Verzeichnis(se), 36.213.202.944 Bytes frei

g Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F46E-12E3

Verzeichnis von C:\

20.09.2006 07:35 0 sys.txt
20.09.2006 07:33 4.717 system.txt
20.09.2006 07:29 390 systemtemp.txt
20.09.2006 07:29 106.031 system32.txt
29.07.2006 12:08 37.960 SDSSetup.log
30.05.2006 08:32 222 boot.ini
01.10.2005 14:20 516.328 MSIInstall.log
29.09.2005 11:06 2 MSDOS.SYS
26.07.2005 16:37 222 BOOT.BKK
26.07.2005 07:22 47.564 NTDETECT.COM
26.07.2005 07:22 251.184 ntldr
17.07.2005 11:44 0 23990098.$$$
17.07.2005 11:44 4 AVPCallback.log
25.02.2005 11:09 5.164 CLDMA.LOG
13.02.2005 18:37 0 IO.SYS
13.02.2005 18:37 0 CONFIG.SYS
13.02.2005 18:37 0 AUTOEXEC.BAT
29.08.2002 14:00 4.952 bootfont.bin
18 Datei(en) 974.740 Bytes
0 Verzeichnis(se), 36.213.198.848 Bytes frei

sustem 32txt hab ich ja schon gepostet.

mein mozilla ist immer auf dem neuesten stand und der ärger fing eigentlich erst an als ich streaming prog.zum bundesliga online schauen runtergeladen hab.
Dieser Beitrag wurde am 20.09.2006 um 07:39 Uhr von walliewiese editiert.
Seitenanfang Seitenende
19.09.2006, 18:57
Member

Beiträge: 130
#2 datfind.bat gibt dir 4 text dateien:

1. Doppel-klick DATFINDBAT

2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

3. auf das Command Fenster klicken und beliebige Taste druecken

4. Es öffnet sich der Texteditor. Speichern als temp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

6. Wiederhole Schritt 3 und speichere als c.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

7. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)
Seitenanfang Seitenende
19.09.2006, 19:35
Moderator
Avatar joschi

Beiträge: 6466
#3 Ein Exploit nutzt eine Schwachstelle in einem Programm aus. In deime Fall ist handelt es sich vermutlich um eine Exploit, dass für eine der zahlreichen Schwachstellen in Browsern geschrieben wurde. Manche davon können durchaus als sehr kritisch eingestuft werden.

Ob es sich um ein Explot für eine Schwachstelle in einem Mozilla/Firefox-Browser oder für den IE handelt ist so nicht erkennbar, allerdings sollte an dieser Stelle erwähnt sein, dass man Programme generell stets auf dem aktuellsten Stand halten sollte !

Sofern das kein Fehlalarm ist, zeigt die Tatsache eines Exploit im IE-Cache. dass Du mit dem IE wohl auch auf Seiten surfst, die man nicht als ausgesprochen seriös bezeichnen würde. Könnte auch mal ins Auge gehen....

Über Schwachstellen in häufig verwendeten Programmen informieren Newsletter wie von http://www.buerger-cert.de . Alternativ auch http://www.frsirt.com (bis zu 2x täglich)

Das ganze kann beispielhaft so aussehen. (vom 15.09.06)

Zitat

Technische Warnung des Buerger-CERT

[Bcert-2006-0167/1]:
Sicherheitsluecke im Internet Explorer

Risiko: Hoch

Betroffene Systeme:
Microsoft Internet Explorer, alle Versionen der Reihe 6
Microsoft Internet Explorer 5.01 auf Windows 2000

Voraussetzungen:
Besuch einer manipulierten Webseite


Empfehlung:

Bisher wurde von Microsoft noch kein Update bereitgestellt, mit dem die
Luecke geschlossen werden kann.


Bis das Sicherheitsupdate bereitsteht, sollten moeglichst nur
vertrauenswuerdige Webseiten aufgerufen werden.

Als Behelfsmassnahme kann die Darstellung von ActiveX im Internet
Explorer deaktiviert werden. Dazu wird die Sicherheitsstufe der
Sicherheitszone "Internet" und "Intranet" auf "hoch" gesetzt.

Technische Empfehlung:
Verwenden Sie das kill-Bit, um das betroffene ActiveX Control zu
deaktivieren. Erzeugen Sie dazu das Feld "Compatibility Flags" unter der
CLSID {D7A7D7C3-D47F-11D0-89D3-00A0C90833E6} und weisen Sie diesem den
Wert "0x00000400" zu.
(...)
Eigentlich eine empfehlenswerte und komfortable Sache um über die wichtigsten Schwachstellen auf dem Laufenden zu sein. Eintragen kann sich jeder, Spam ist absolut keiner zu erwarten....
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
04.10.2006, 17:15
...neu hier

Themenstarter

Beiträge: 6
#4 hallo und guten tag,könnte sich das mal bitte jemand anschauen hatte nach dem post vom erstenmal diese beiden meldungen nach einem scann.nachdem keiner sorecht wußte hab ich das zeug aus dem quarantaine ordner gelöscht nochmal gescannt und es war weg.habe irgendwann letzte woch ganz normal wieder mal das av durchlaufenlassen und siehe da hatte das gleiche wieder. vielleicht weiß ja mittlerweile schon jemand was neues zu der sache? wie der kollege joschi meint das ich mit dem ins netz gehe kann eigentlich nicht sein weil ich immer mit dem mozilla loslege und auch auf dem neusten stand bin mit dem neusten update.

19.09.2006, 16:25
walliewiese Suche Beiträge von walliewiese
...neu hier


Beiträge: 1
hallo zusammen,kann mir vielleicht jemand helfen und was zu den beiden funden nach dem scann mit antivir sagen ,der meldet für diese beiden,
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temporary Internet Files\Content.IE5\210TWT23\AD(ZH)[1].htm
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453792bb.qua' verschoben!
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SLEJQ1W9\winopen_beitou[1].js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML,
Seitenanfang Seitenende
04.10.2006, 18:34
Moderator
Avatar joschi

Beiträge: 6466
#5 Häng die zwei Dateien doch einfach mal hier an einen Post an.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
05.10.2006, 10:14
...neu hier

Themenstarter

Beiträge: 6
#6

Zitat

joschi postete
Häng die zwei Dateien doch einfach mal hier an einen Post an.
:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SLEJQ1W9\winopen_beitou[1].js

C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temporary Internet Files\Content.IE5\210TWT23\AD(ZH)[1].htm

hallo joschi das rot markierte sind die beiden ordner und wenn ich diese öffne kann ich aber die dateien nicht darin finden
Seitenanfang Seitenende
06.10.2006, 00:20
Moderator
Avatar joschi

Beiträge: 6466
#7 Schau auf deinen eigenen Post

Zitat

C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temporary Internet Files\Content.IE5\210TWT23\AD(ZH)[1].htm
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453792bb.qua' verschoben!

__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
25.12.2006, 11:04
Member

Beiträge: 26
#8 Hallo zusammen, mein AntiVir meldet das in Mozilla Firefox: HEUR/Exploit.HTML gefunden wurde. Ist dies ein bösartiger Code? Habe Datei ins Quarantäne Verzeichnis geschoben, wie soll ich mit der Datei verweilen? Hijackthis logfile ergab nichts.

MFG

Ratze

PS: der genaue pfad lautet:C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Mozilla\Firefox\Profiles\1fgy0cw9.default\sessionstore-1.js
Seitenanfang Seitenende
25.12.2006, 22:31
Moderator
Avatar joschi

Beiträge: 6466
#9

Zitat

Ist dies ein bösartiger Code?
Kann sein. Möglich ist, dass es sich um ein Exploit für den IE oder den Firefox handelt. Evtl. handelt es sich aber um einen Fehlalarm.
Du kannst die Datei hier posten, bei virustotal.com mal prüfen, bzw. selbst öffnen und das script genauer untersuchen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
30.12.2006, 11:01
Member

Beiträge: 26
#10 Hallo Joschi,Mein Antivir schlägt alle 20 Sek. ALarm mit diesem Heur. Treffer, untersuchung bei virustotal.com zeigte, dass nur Antivir ihn als Virus identifiziert, alle anderen sagen, es sei keine Bedrohung. Wie kann ich Antivir einstellen, dass er die Datei nicht mehr beachtet.

mfg

Ratze
Seitenanfang Seitenende
30.12.2006, 15:11
Moderator
Avatar joschi

Beiträge: 6466
#11 Also zuerst: Es ist nahezu sicher, das es sich um einen Fehlalarm handelt.
Infos zu sessionstore.js in Firefox.
Du könntest nun deaktivieren, dass Firefox die Sessions, die beim Schließen des Browsers offen sind, abspeichert und die vorhandene sessionstore.js-Dateien löschen. Damit verhinderst Du zukünftige Fehlalarme.

2. Möglichkeit:
Schau doch mal in der Konfiguration des Hintergrund-Wächters (Guard) nach (Experten-Modus in der Konfig. aktivieren) und setze die Win32-Dateiheuristik mal stufenweise herunter. (hoch - mitte l- niedrig - aus). Die Datei einfach zwischendurch mittels r. Mausklick die "Eigenschaften" aufrufen. Hier müsste dann eine Reaktion des Guards erfolgen, bzw. eben keine mehr.
Nachteil: Die Heuristik ist eben "systemweit" auf niedriger Stufe, bzw. ausgeschaltet.

Schicke die Datei auf jeden Fall mit den entspr. Hinweisen an virus@free-av.de
Hänge die Datei doch bitte hier an deinen nächsten Post mit an. Packe sie vorher in ein Zip-Archiv.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
30.12.2006, 15:59
Member

Beiträge: 26
#12 Alles klar, im Anhang befindet sich die Datei!

MFG

Ratze

Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: