@ hoomer


Du hast nicht ganz zufällig die Beiträge vor deinem post gelesen ? Nein ? Mach doch einfach mal..... [img]graemlins/crazy.gif[/img]


Domino

Salü zusammen...

Hab das gleiche Prob wie ihr alle auch [img]graemlins/schrei.gif[/img]
Bin nicht ganz sicher ob ich es geschaft habe den scheisse dreck weg zu kiegen! Muss mal neustarten.

Aber ich hab noch was in CHIP.de Forum gelesen, sollte einiges erklären:

</font><blockquote>Zitat:</font><hr />
Hallo,
die Ursache für diese beiden Einträge:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:\WINDOWS\start.chm::/start.html

ist eine Sicherheitslücke des IE (5.01, 5.5 und 6.0), die Arman Nayyeri Ende
letzten Jahres entdeckte:.ein showHelp() Restriction bypass. Dies ist eine Variante
des alten showHelp()-Problems, das ebenfalls von Arman Nayyeri erkannt worden
war.
Es können sowohl CHM-Hilfe-Files von einer Webseite geöffnet werden, die
lokal oder auf einem entfernten Server abgelegt sind! Dies geschieht über Protocol-
Handlers wie ms-its; oder mk:@MSITStore:
Das ist ja an sich noch nichts Schlechtes, da es sich um die Windows Help-Files
handelt, aber mit Hilfe bestimmter Syntax, wie:: (doppelter Doppelpunkt, s.o.
in den beiden Einträgen), können vom IE auch andere, in die *.chm-Dateien eingebettete
Dateien (z.b. html-files) ausgeführt werden.
In den beiden Einträgen Deines Logfiles ist die html-Datei start.html einge-
bettet, welche vom IE fälschlicherweise als Help-(chm)-File angezeigt und sogar
als startseite festgelegt wird.
Weiterführende Details sind untenstehenden links zu entnehmen.

Zur Lösung des Problems:
Microsoft ist das Problem bekannt - ein Patch wurde bisher nicht bereitgestellt.
Die Deaktivierung von ActiveX und ActiveScripting reicht zur Behebung des Problems
nicht aus. Bis zur Bereitstellung eines Patches rät CERT als Sofortmaß-
nahme zu einer Deaktivierung der betreffenden Protocol-Handler (ms-its, its, mk),
die sich hier finden:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\
Danach kann/wird es zu Funktionsstörungen des Help- und Support-Centers
von Windows kommen, evtl. Fehlfunktionen bei der Darstellung aller help-Files.
Auch ein Browserwechsel soll in Betracht gezogen werden, obwohl es theoretisch
möglich ist, daß ein anderer Browser den IE dazu veranlassen kann, ITS-protocol-
URLs anzuzeigen.

Also nicht gerade eine zufriedenstellende Lösung, aber zumindest die Ursache.

www.securityfocus.com/archive/1/348521 (Arman Nayyeri )
www.kb.cert.org/vuls/id/323070 (US Computer Emergency Readiness Team)

Gruß,
ixus
</font>[/QUOTE]Hier nachzulesen

MfG Xirius

Hallo,

hab das Teil jetzt anscheinend in den Griff gekriegt:

d1k.exe
d1ki.exe
aus Windows Vewrzeichnis in Quarantäne befördert.

Zur Sicherheit start.chm nicht nur gelöscht, sondern auch eine leere Datei mit diesem Namen angelegt und schreibgeschützt.

Und die beiden Einträge mit start.chm aus der Registry auf leer gesetzt.

Seitdem ist Ruhe (mehr als 24 Stunden).

Gruß
Partei03.de

Achtung hinkender Vergleich:

Das ist in etwa wie 'Verband auflegen bei einem offenen Bruch'. Die Blutung mag gestoppt sein, aber der Bruch bedarf weiterer Behandlung für eine Genesung.

Also du solltest dich mit dem Thema weiter beschäftigen...

Gruß,
Lutz

Toll partei03, das ist genau, dass was ich auch gemacht nur anscheinend regisitriert hier niemand meine Beiträge :-(

@ motoko

Denke bitte daran - die User sitzen NICHT permanent vor dem PC und warten darauf jemanden zu helfen !

Jeder hat auch ein Privatleben & Job - bitte sei nicht so ungehalten

[img]smile.gif[/img]

Hi Leute,

auch ich freue mich seit einigen Tagen über eine neue Startseite im Internetexplorer. Ich habe in den letzten Tagen alle möglichen informationen zu dem Problem gesucht - und bin wie alle anderen auch nicht wirklich auf eine Lösung gestossen.

Ich habe die Start.chm gelöscht, alle Registry-Einträge händisch gelöscht - hat beim ersten Mal nix geholfen. Beim 2ten Mal scheinbar schon - seit 2 Tagen habe ich wieder meine Startseite.

In diesem Zusammenhang habe ich auch das Logfile meiner Hardware-Firewall durchstöbert und habe einige mir unbekannte Anforderungen gefunden:

main.daily-news-com.com
main.tibssystems.com
...

Wobei die oben angeführten Adressen vom DNS nicht aufgelöst werden können.

Sind die beiden Adressen jemandem bekannt? In welchem Zusammenhang?

Grüße von RON2

Hi zusammen,

nachdem ich mich jetzt drei Tage mit dem Problem rumgeschlagen habe, hab ich eine (zumindestens temporäre) Lösung gefunden:

Neuste Version von AD-aware 6 downloaden z.B. bei www.chip.de

--&gt; instalieren und als erstes Internetupdate laden

--&gt; Ad-aware durchlaufen lassen (Hat bei mir zwei Keys und eine Datei erkannt)

--&gt; Die erkannten Dateien löschen

--&gt; Start--&gt; Einstellungen --&gt; Systemsteuerung --&gt;
Internetoptionen ---&gt; TATAAAA, lässt sich wieder bearbeiten !!!

Mal sehen wie lange das hält! Melde mich bei Misserfolg wieder!

So long

Stromie

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk):
Achtung hinkender Vergleich:

Das ist in etwa wie 'Verband auflegen bei einem offenen Bruch'. Die Blutung mag gestoppt sein, aber der Bruch bedarf weiterer Behandlung für eine Genesung.
</font>[/QUOTE]Hallo Lutz, ich kann die Sicherheitslücke doch nicht schließen, solange Microsoft das im IE6 nicht tut! Außer ich wechsel zu Netscape oder sonst was.

Klar ist das obige nur ein Teil der Lösung.
Aber jedenfalls ist bei mir erstmal weiterhin Ruhe mit dem Teil!

</font><blockquote>Zitat:</font><hr />Original erstellt von RON2:
Hi Leute,

main.daily-news-com.com
main.tibssystems.com
Sind die beiden Adressen jemandem bekannt? In welchem Zusammenhang?
</font>[/QUOTE]Ja, zumindest die letzte wird von dem Trojaner benutzt, um sich immer wieder downzuloaden. Dabei werden die von mir bereits oben erwähnten d1k.exe / d1ki.exe Programme benutzt.

Wenn man die neben localhost in die hosts-Datei einträgt und diese schreibschützt, dann sollte auch das unterbunden werden. Ich hatte bei mir nur die eine davon drin (TIBSSYSTEMS.COM) und danach kam er dann trotzdem wieder, bis ich die o.g Programme in Quarantäne befördert habe. Möglicherweise wird dann alternativ der andere von dir gefundene Server benutzt.

</font><blockquote>Zitat:</font><hr />Original erstellt von motoko:
Toll partei03, das ist genau, dass was ich auch gemacht nur anscheinend regisitriert hier niemand meine Beiträge :-( </font>[/QUOTE]Nun, du hast den zweiten Teil gemacht und damit verhindert, daß die start.chm neu geschrieben werden kann.

Aber hast du die Programme d1k.exe und d1ki.exe beseitigt. Die können nämlich von der Ad-Firma auch für andere Downloads als diese Version des Wurms benutzt werden!

@Partei03.de:

</font><blockquote>Zitat:</font><hr /> d1k.exe / d1ki.exe </font>[/QUOTE]die Programme gibts bei mir nicht!

Grüße von RON2

</font><blockquote>Zitat:</font><hr />Original erstellt von RON2:
@Partei03.de:

</font><blockquote>Zitat:</font><hr /> d1k.exe / d1ki.exe </font>[/QUOTE]die Programme gibts bei mir nicht!

Grüße von RON2 </font>[/QUOTE]Diese beiden Dateien gehören zu einem Trojaner Downloader.
http://vil.nai.com/vil/content/v_100764.htm

Björn

Hallo!

Ich habe auch das start.chm-Problem. Allerdings habe ich die d1k*-Dateien nicht auf meinem PC.

Komischerweise aber eine notepad.exe.bat mit zeitnahem (3min) Erstellungs-Datum wie die start.chm.

Ideen?

Gruß
Klaus

&lt;EDIT: Ich habe mich verschrieben, es handelt sich um eine notepad.exe.bak&gt;

[ 24. April 2004, 08:16: Beitrag editiert von: KlausPeter ]

@KlausPeter: Ich hatte glaube ich auch die Notepad.exe.bat - aber kann sie nicht finden.

(Notepad.exe.lnk in "SendenTo" verweist bei mir auf notepad.exe im System32 Verzeichnis - und dort gehört die definitiv nicht hin: %SystemRoot%\system32\notepad.exe) mit diesem verbogenen Verweis wird offensichtlich die "falsche" Notepad.exe(.bat) aufgerufen.

Hast Du die Notepad.exe.bat vielleicht noch - und kannst Sie mir mailen? -&gt;&gt; ron2@ron.at

Liebe Grüße an alle Leidgenossen von RON2