HTML/Exploit.Mhtml. PLEASE HELP

Hallo und allen ein frohes Neues Jahr

gleich zu meinen Problem:
Bei meinem täglich scan mit free-av meldet der mir auch diesen: HTML/Exploit.Mhtml.
- löscht ihn aber nicht.
Es passiert eigentlich auch weiterhin (noch) nichts.
Lediglich beim scan mit free-av zeigt der mir das an:
C:\_RESTORE\ARCHIVE
RG41363CB7.CAB
ArchiveType: CAB (Microsoft)
--> SYSTEM.DAT
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

und damit kann ich einfach nichts anfangen.
Der PC verhält sich völlig normal (on -und offline). Was ist zu tun? Ist überhaupt etwas zu tun, oder sollte man
diese Meldung einfach ignorieren ?
Ich nutze den IE6 und das Betriebsystem WIN ME (läuft seit 5 Jahren absolut stabil - kaum zu glauben, gell?)

Für eine message wäre ich wirklich dankbar, weil ich
inzwischen echt Schiss habe mich irgendwo einzuloggen :-(

Danke und viele Grüße


verschoben von Win9x

pjotr schrieb:

C:\_RESTORE\ARCHIVE
RG41363CB7.CAB
ArchiveType: CAB (Microsoft)
--> SYSTEM.DAT
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Zum Vergrößern anklicken....

Das wäre ein Teil der Registry in der Systemwiederherstellung, der (angeblich) mit dem Exploit gesegnet ist.

Was ist zu tun?

Zum Vergrößern anklicken....

Erst mal nichts. Lediglich vor/nach einer Systemwiederherstellung wäre eine gründlichere Prüfung angesagt - falls die dann verfügbare Version von FreeAV den Exploit noch immer meldet. Auf alle Fälle solltest Du nach einer Systemwiederherstellung die Windows Update-Seite heimsuchen und die dort angebotenen Wichtigen Updates laden und installieren lassen. Ich gehe davon aus, dass dies jetzt auch der Fall ist bzw. Dir momentan dort keine mehr angezeigt werden.

Bye,
Freudi

Einmal Sytemwiederherstellung deaktivieren (alle Punkte werden dabei gelöscht) und dann wieder aktivieren (ein neuer, sauberer wird angelegt).

erstmal danke für die infos

Ich habe unmittelbar nach der HTML/Exploit.Mhtml. Meldung die Systemwiederherstellung aktiviert und das System 7 Tage zurückgesetzt.
Danach habe ich den free-av deinstalliert und die neue Version installiert.
Anschließend mit ad-aware gescannt (keine Meldung).
Dann mit free-av gescannt und sofort diese Meldung bekommen:
C:\_RESTORE\ARCHIVE
RG41363CB7.CAB
ArchiveType: CAB (Microsoft)
--> SYSTEM.DAT
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Der exploit bleibt hartnäckig dort wo er ist (oder nicht ist?)

Hast du die Systemwiederherstellung denn inzwischen mal wieder deaktiviert, wie von Al empfohlen?

Antir hat große Schwächen im Erkennen und Beseitigen von Trojanern und Spyware.
Probiere deswegen zusätzlich Spybot Search & Destroy http://www.safer-networking.org/de/download/index.html
und scanne anschließend dein System mit HijackThis http://www.hijackthis.de

@charly,

nein, habe ich nicht, weil ich nicht weiß wie das geht resp.welche Schritte danach folgen sollen.
Vielleicht hat jemand Zeit und Geduld einem DAU zu erklären was es mit der Systemwiederherstellung auf sich hat. :-[

durch die systemwiederherstellung werden u.u. auch viren/trojaner zwischengespeichert und auf den ordner hat nur das system schreibberechtigung, so daß der antivir es nicht schafft die datei zu bereinigen (das ist dieser ordner C:\_RESTORE\...). wenn du nun die wiederherstellung deaktivierst, werden die dateien aus dem verzeichnis in dem diese zwischengespeichert werden, automatisch gelöscht => auch die viren/trojaner werden vernichtet. das machst du über hilfe+support, systemwiederherstellung, einstellungen. dort dann das häkchen für dieses laufwerk überwachen ... wegmachen, bestätigen neu starten. anschließend die wiederherstellung wieder einschalten ...

greetz

hugo

big_surfer schrieb:

Antir hat große Schwächen im Erkennen und Beseitigen von Trojanern und Spyware.

Zum Vergrößern anklicken....

für spyware ist avpe auch nicht zuständig. dies gehört zu den unerwünschten programmen, die aber dann aktualisiert werden, wenn h+bedv dann auch die dazugehörigen dateien zur analyse geschickt bekommt.

zum anderen hätte ich gerne eine quelle.

mav1976 schrieb:

zum anderen hätte ich gerne eine quelle.

Zum Vergrößern anklicken....

Guckst Du bleistiftsweise hier.

Bye,
Freudi

Moin,

nochmals danke für die infos und die schnelle Hilfe.
Folgende Schritte habe ich nun hinter mir:
Systemwiederherstellung deaktiviert wie Heute um 12:15:06 beschrieben.
Danach habe ich den free-av, ad-aware, pestpatrol und Hijack von der Platte geputzt und mir den norton AV 2005 gezogen.
gescannt und 7 Warnungen (mediaplex-cookies) gelöscht. Von HTML/Exploit.Mhtml. keine Spur mehr!
Dann wieder download vom free-av , der den HTML/Exploit.Mhtml. in der RG41363CB7.CAB findet !

free-av deaktiviert und die RG41363CB7.CAB mit norton gescannt - NICHTS!
Was ich davon halten soll weiß ich auch nicht recht. Offenbar spinnt der free-av?! :-[

pjotr schrieb:

Danach habe ich den free-av, ad-aware, pestpatrol und Hijack von der Platte geputzt und mir den norton AV 2005 gezogen.

Zum Vergrößern anklicken....

Du hast den obigen Link nicht wirklich vorher gelesen, oder? Ich zitiere mal (und kann das Geschriebene auch aus Erfahrung nur unterstützen): Auch Norton und McAfee sind nicht empfehlenswert: Zu seltene Updates und völlig nutzlose Rettungsmedien erwecken zusammen mit diversen anderen Macken den Eindruck, dass beide Hersteller im Ernstfall ihre zahlende Kundschaft im Regen stehen lassen.

Bye,
Freudi

Autor: Al Bundy Datum/Zeit: 01.01.05 um 23:01:09
Zitat einfügen
Einmal Sytemwiederherstellung deaktivieren (alle Punkte werden dabei gelöscht) und dann wieder aktivieren (ein neuer, sauberer wird angelegt).

gemacht, gescannt mit free-av - HTML/Exploit.Mhtml ist weg !!
Diese Hinweise hat free-av ausgespuckt:

Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
eBayToolbar.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
eBayToolbar1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
eBayToolbar2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
eBayToolbar3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
eBayToolbar4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt

Sorry, aber ich habe mich als DAU geoutet und mußte erstmal checken WO ich die Systemwiederherstellung deaktiviere.
Systemprogramme ---> Systemwiederherstellung war mir bekannt. Da ging's aber nicht.
----->Eigenschaften von System --->Dateisystem --->Problembehandlung.
So war's wohl richtig!?
Danke für Eure Geduld und Tips
P.S. Norton ist wieder runter!
Gruß

Hallo pjotr

diese Meldungen von AV betreffen die Sicherungen von Spybot. Diese kann AV nicht scannen und das ist auch richtig so. In so fern ist das in Ordnung und kein Grund zur Sorge.

Hallo Dakota,

das ist die beste Meldung in diesem Jahr

Danke & Gruß