Forum
Tipps
News
Menu-Icon

Windows XP: HEUR/HTML.Malware

liebe leute,
ich wende mich an euch, weil ich nicht weiter weiß.
(meine freunde, die sich mit pcs auskennen und an die ich mich wenden könnte sind grad alle nicht erreichbar!)

eins vorweg:
ich kenn mich so gut wie gar nicht aus!

hab jetzt schon echt lange damit verbracht selbst zu recherchieren, was ich tun könnte, aber ich versteh nur bahnhof!

aaalso:
hab n eeepc von asus und seit ein paar tagen ist er echt lahm!
seit gestern geht meine rechte maustaste nicht mehr und mein avira virenscanner sagt, ich hab mir folgendes eingefangen

HEUR/HTML.Malware

veoh- mediaplayer war wohl die trägerdatei!(oder wie das auch heißen mag!)

hab das in quarantäne stecken lassen und dann (und ich befürchte jetzt, das warn arger fehler) die ursprungsdatei gelöscht!

die is jetzt auch nich mehr da...
die probleme schon(virenscanner findet allerdings keine viren mehr!)...

in der 'infected' datei ist die quarantäne datei allerdings noch!

oh mann.
ihr seht wohl an meiner wirren schreibe, dass ich null plan hab...
vor allem, wie ich jetzt vorgehen soll!

könnt ihr mir helfen?
a la 'virenhilfe für dummies'
oder soll ich warten bis sich n freund das angucken kann?

und wenn letzteres, darf ich den rechner überhaupt benutzen bis dahin..
oder macht das alles nur schlimmer!

schon fast peinlich mein thread, aber ich brauch halt hilfe...
und fragen kostet ja nicht!

bin dankbar für jeden, der sich meiner annimmt!

ganz lieben gruß
claudia


Mein Computer-System:
   
Mein PC ist etwa 0-2 Jahre alt.



Antworten zu Windows XP: HEUR/HTML.Malware:

http://www.computerhilfen.de/info/anleitung-zum-loeschen-von-viren-und-trojanern.html
abarbeiten..Logfile und Report posten (beides zusammen/nacheinander)

 

Zitat
HEUR/HTML.Malware
Gefahrenpotenzial: Niedrig !

Alles halb so wild, eventuell war die Malware auf einer Webseite die Du besucht hast, die Heuristik des AV-Programmes hat dann angeschlagen:
Lese hier mal selbst nach->  HEUR/HTML.Malware - Heuristic

Dann bist Du etwas schlauer....

 

Zitat
seit gestern geht meine rechte maustaste nicht mehr 

Liegt mit Sicherheit nicht daran !

Vielleicht hast Du Dir noch mehr " eingefangen", ein VOLL-Scan mit Malwarebytes ist empfehlenswert: http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

den malwarebytes report hab ich jetzt, aber wo bekomm ich dieses "logfile" her, das relevant ist???

oh mann, ich danke euch sehr für eure hilfe!

claudia

 

Zitat
den malwarebytes report hab ich jetzt,

Und, wurde was gefunden, steht doch im Report drin ?

ok. hab alles...
JA, es wurde was gefunden...
hier ist jetzt erst der hijack report, dann malware

WHAT TO DO NEXT???

hab cccleaner runtergeladen, soll ich den durchlaufen lassen?
und wie geht das mit der systemwiederherstellung???
also wo aktivier ich die?

puh!

HIIIIILFEEEEE!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:00, on 24.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\Programme\EeePC\ACPI\AsTray.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Asus\LiveUpdate\LiveUpdate.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.web.de/suchbox/webdesuche?su=%s
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynAsusAcpi] C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe
O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
O4 - HKLM\..\Run: [LiveUpdate] C:\Programme\Asus\LiveUpdate\LiveUpdate.exe auto
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup:  SuperHybridEngine.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{788A1864-6C3B-4924-9851-DDA98EB2BC74}: NameServer = 192.168.0.1,192.168.0.2
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 7068 bytes


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3627
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.01.2010 18:35:46
mbam-log-2010-01-24 (18-35-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 180718
Laufzeit: 51 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Claudia Funke\Lokale Einstellungen\Temp\msgpl_94ad.exe (Adware.Agent) -> No action taken.
D:\Downloads\FLVDirect.exe (Adware.MediaPass) -> No action taken.
C:\Programme\setup.exe (Rogue.Installer) -> No action taken.




 

 

Zitat
hab cccleaner runtergeladen, soll ich den durchlaufen lassen?

Wozu ?  :o
CCleaner kann keine Viren/Trojaner löschen sondern z.B. die Registry aufräumen( Temporäre daten löschen usw.)

 

Zitat
und wie geht das mit der systemwiederherstellung???

Vergiß es, auch dort kann der Befall schon drin sein.
Malware/Trojaner und co. sind nämlich schlauer als Du denkst.... 8)

..wegen dem Malewarebytes Report..warst du auf alle Funde löschen?
wenn nicht Malewarebytes Updaten und neuen scan/alle Funde löschen und den Report posten.

ok.scan und funde entfernt.
dann kommt das:
(was sagt das aus???
was soll ich als nächstes tun?
oh mann, was n kack.
voll zermürbend!
aber ich danke euch sehr, ich wär sonst aufgeschmissen!
oder besser: aufgeschmissenER!)

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3628
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.01.2010 21:04:01
mbam-log-2010-01-24 (21-03-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 204390
Laufzeit: 1 hour(s), 0 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Claudia Funke\Lokale Einstellungen\Temp\msgpl_94ad.exe (Adware.Agent) -> No action taken.
D:\Downloads\FLVDirect.exe (Adware.MediaPass) -> No action taken.
C:\Programme\setup.exe (Rogue.Installer) -> No action taken.


 

Ein Rat der dir viel Zeit erspart und am sichersten ist:
Daten sichern, Festplatte formatieren, System neu aufspielen.
Und in Zukunft dringend brain.exe verwenden.
Gruß
l.

Ein kleiner Nachtrag: Hast du Schädlinge auf deinem System, kann man sich nie sicher sein, was sie angerichtet haben, zum Vergleich: Nehmen wir an ein Dieb hat dir deinen Wohnungschlüssel gestohlen, es würde nicht ausreichen, ihm den Schlüssek wieder abzunehmen, da du nicht weißt, wieviel Nachschlüssel, kaputte Fenster und Türen, Geheimschächte, etc er hin terlassen hat.

nach Neustart MBAM wiederholen.

ach ..... mann...
so´n ärger!

ich hab halt n netbook...
wie kann ich da das system neu draufspielen?
hab halt kein cd laufwerk und ach überhaupt...

aus fehlern wird man klug und brain.exe ist n super tipp, den ich mir zu herzen nehme, und zwar sowas von, aber was kann ich jetzt akut tun?

wenn ich ne externe festplatte anschließe, um meine daten zu sichern ist doch der virus dann auch dadrauf!!!

verbreitet sich der virus jetzt eigentlich weiter, wenn ich das netbook nutze?

oh mann...

bitte nochmal inständig um euren rat!

lieben gruß
claudia

wo ist das Protokoll vom MBAM nach Neustart ??

Netbook
... schau mal beim Start , ob "Boot von Recover" geht ?? 

« Letzte Änderung: 25.01.10, 18:55:32 von HCK »

« Windows XP: Router Ereignisprotokoll vom Juni 2009Trojaner TR/Hijacker.GEN »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Malware
Mit Malware bezeichnet man allgemein Schadprogramme, die dazu entwickelt worden schädliche Funktionen auf Computern auszuführen. Das Wort setzt sich zusammen au...

Directory
Ordner im Dateisystem eines Computers. Siehe auch Ordner ...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...