Zur Frage warum sich die Nummer [1), [2], [3], sich hinter der ominösen access datei bilden:

Solang die Malware nicht entfernt ist und sich noch ausführbare Dateien derselbigen auf der Platte befinden, versucht die ware sich ständig neu einzuwählen. Sollte dies durch irgendeinen Blocker verhindert werden (Firewall, Antispy etc)generiert sich ein neues Programmfile, daß nur noch die entsprechende laufende Nummer angehängt bekommt.

Ich kann die Theorie leider (noch) nicht beweisen (und will auch nicht in die Lage kommen, daß sich die Dateien wieder bilden, aber sie klingt mir am logischsten. Wer mich eines besseren belehren kann, soll es bitte tun. Irgendwie muss das Schei...teil doch zu knacken sein.

Okay das hatte ich mir auch gedacht...
so nun mal dazu wie es zu knacken ist hmmm also ich glaube das es auf dem pc hier durch die access.exe (oder die exe/dll die die access.exe startet runterläd) ausgelöst wid...

aber wie gesagt ich hab die access.exe nicht gefunden also kann ich das auch nicht überprüfen

evtl hat hier ja sonst jemand noch dieses problem und weiss was zu dieser .exe

Wär jetzt meine Idee erstmal dazu

Danke erstmal für eure Hilfe!
Seitdem ich die IP gesperrt habe kommt die Startseite nicht mehr. Ich habe auch alle möglichen Startprozesse bereinigt.

Gruß

Klaus

Gut dann schauts ja so aus als ob die provisorischen lösungen funktionieren...
hatte bisher auch keine probs mehr
bin allerdings nu auf allen rechnern komplett auf opera umgestiegen, da der exploit ja weiterhin besteht

"bin allerdings nu auf allen rechnern komplett auf opera umgestiegen"

Gute Wahl. Wenn man die ganzen unnötigen und verwirrenden Gimmicks abschaltet, ist es ein klasse Browser.

Andreas

</font><blockquote>Zitat:</font><hr /> Wenn man die ganzen unnötigen und verwirrenden Gimmicks abschaltet, ist es ein klasse Browser. </font>[/QUOTE]Naja ich kenn Opera schon lönger und benutz ihn auch immer mehr [img]smile.gif[/img]
Diese "Gimmicks" usw sind mir gar nicht größer aufgefallen


Aber ich kann jedem der diesen Thread liest nur wärmstens empfehlen auf einen anderen browser als den IE umzusteigen


so denke wir können den Thread erst mal auf Eis legen bis es was Neues hinsichtlich der help exploits gibt
oder jemand was neues dazu erfährt

in dem sinne schönes wochenende
Thomas

Hallo Thomas und alle anderen Betroffenen,

ohne selbst betroffen zu sein, habe ich in den letzten Tagen so ziemlich alles durchsucht, was es zu diesem Hijacker zu finden gab.
Ein Patch von MS steht immer noch aus, auch der CWShredder kann ihn (noch) nicht löschen, aber hier habe ich etwas Interesantes gefunden:


http://forums.net-integration.net/in...c=13515&st=210
Posted: Apr 28 2004, 11:27 AM
</font><blockquote>Zitat:</font><hr />Ok everybody. Here you go!

http://tools.zerosrealm.com/startchmfix.exe

Download it. Run it and extract the folder to the desktop preferably.

Open the folder after extracted.

Double click the fix.bat

Please make sure all Internet Explorers are closed.

Only run it once or you will lose the backups although they shouldn't be needed.

I managed to verify the bad dll today is 20kb.

Notepad will open at the end with the bad file. Please post that line here.</font>[/QUOTE]Ist ein Megathread über mittlerweile 22 Seiten, allerdings alles in englisch...
Da ich -wie gesagt- nicht betroffen bin, konnte ich das Tool nicht auf Funktionalität überprüfen. Ich habe lediglich feststellen können, dass es bei mir keinen Schaden angerichtet hat. Es werden in erster Linie Registry-Einträge entfernt und in einer Log-Datei die 'bösartige' *.dll angezeigt.

Vielleicht willst Du es mal ausprobieren?!?
Wenn Du fragen dazu hast, will ich sie -soweit mir möglich- gerne beantworten.

Obwohl der Umstieg zu Opera richtig ist, bleibt die Infektion des IE ja bestehen. Und ich wage mal zu bezweifeln, dass ein evtl. Patch von MS - so es denn mal kommt- bei bereits befallenen Systemen hilfreich ist...

Gruß,
Lutz

Klar test ich das Teil
habs nu auch laufen lassen auf beiden PCs

der nicht infizierte hat auch keine rückmeldung in form von "baddie" files zurückgegeben.

Schlechte Neuigkeiten aber vom bereits betroffenen PC
ich konnte die batch erst ausführn so wies sich gehört. allerdings hört die nach der hälfte etwa auf mit der folgenden meldung :

</font><blockquote>Zitat:</font><hr />COMMAND.COM ungültig

COMMAND kann nicht geladen werden, System angehalten </font>[/QUOTE]Hat wohl mit meiner Eingabeaufforderung zu tun. Das genaue Prob kenn ich atm nicht werd mal schaun ob ich was finde


Allerdings entfernt das Tool schon 3 regeinträge :


class.reg
</font><blockquote>Zitat:</font><hr />Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
"MenuText"="Sun Java Konsole"
"CLSID"="{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"
"ClsidExtension"="{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}]
"MenuText"="@shdoclc.dll,-864"
"MenuStatusBar"="@shdoclc.dll,-865"
"Script"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,77,00,65,00,62,00,5c,00,72,00,65,00,6c,00,61,00,74,00,65,00,\
64,00,2e,00,68,00,74,00,6d,00,00,00
"clsid"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Icon"=",4"
"HotIcon"=",4"
"ButtonText"="@shdoclc.dll,-866"
</font>[/QUOTE]class1.reg
</font><blockquote>Zitat:</font><hr />Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}\InprocServer32]
@="C:\\WINDOWS\\system32\\c_10230.dll"

</font>[/QUOTE]class6.reg
</font><blockquote>Zitat:</font><hr />Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}]

[HKEY_CLASSES_ROOT\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}\InprocServer32]
@="C:\\WINDOWS\\system32\\c_10230.dll"

</font>[/QUOTE]22 seiten naja ma schaun ob ich mich durchwühlen werde [img]smile.gif[/img]
wenn du hiermit schon was anfangen kannst umso besser


Nachtrag #1:
shdoclc.dll scheint ne system-dll zu sein mit Einträgen die den IE betreffenn
was im einzelnen die nu tut weiss ich nicht aber es scheint genug angriffspunkte zu geben

c_10230.dll die scheint direkt in zusammenhang mit unserem problemchen hier zu stehen

Nachtrag #2 :
http://www.wilderssecurity.com/showthread.php?p=165938

bin selbst noch am lesen scheint dies hier aber genau zu treffen


Nachtrag #3:
http://www.spywareinfo.com/forums/in...0&#entry215180

fireflyers eintrag beschreibt den auslöser "crt32_v2.dll (or maybe C_10230.DLL)" seine registry einträge und damit die möglichkeit es zu löschen nur für die leute wie mich wo seine batch nicht richtig funktioniert


Soweit so gut denke damit hat sich die sache erst mal geklärt. Werd mir moin evtl nochma die threads anschauen wo der kerl sich rumtreibt ob man noch was intressantes finde. aber hiermit sollte man den trojaner finden und löschen können

Bleibt nur noch auf den fix von MS zu warten und den browser zu wechseln

Thomas

[ 30. April 2004, 23:21: Beitrag editiert von: Olo ]

Hallo Thomas,


</font><blockquote>Zitat:</font><hr />Nachtrag #1:
shdoclc.dll scheint ne system-dll zu sein mit Einträgen die den IE betreffenn
was im einzelnen die nu tut weiss ich nicht...</font>[/QUOTE]Das sagt MS dazu:

</font><blockquote>Zitat:</font><hr /> Shdoclc.dll (Shell Document Object and Control Library) ist eine Ressourcenbibliothek, mit deren Hilfe Internet Explorer lokalisierte Elemente (wie beispielsweise Menüs, Dialogfelder und Zeichenfolgen) speichert. </font>[/QUOTE]Quelle: http://support.microsoft.com/default...d=kb;DE;323916

Ich kann mir schon vorstellen, dass man damit allerhand 'Unfug' anstellen kann.

Warum das Batch bei dir nicht durchlaufen wollte, kann ich im Moment nicht erklären. Ich habe es hier unter Win98 und XP Home getestet und hatte keine Probleme. Aber wie gesagt, ich habe auch -zum Glück- kein infiziertes System zur Hand.


</font><blockquote>Zitat:</font><hr />
c_10230.dll die scheint direkt in zusammenhang mit unserem problemchen hier zu stehen</font>[/QUOTE]Das sieht mir auch nach einem Volltreffer aus.

BTW: Hast Du -in Bezug auf die access[1].exe mal die Temp-Files des IE und ggf. andere Temp-Ordner geleert? In den von dir verlinkten Foren wird ja mehrfach darauf hingewiesen, dass 'irgendetwas' auf die dort befindliche access[*].exe zugreift.

Gruß,
Lutz

Also Lutz, die Sache mit der Batch hängt mit einem Fehler in meinem, ja wo genau der is weiss ich nicht, jedenfalls hat die Eingabeaufforderung irgendwann mal was abbekommen was sie net vertragen hat
istn spezifisches Problem, denke bei allen anderen funktioniert das Teil einwandfrei.

Nochmal zu den temp file die hab ich als erstes gelöscht... kann da nu nich mehr viel rausziehen

@ Lutz:

Danke für Deine Hilfe!

Bei mir hat startchmfix (bis jetzt) geholfen. [img]graemlins/daumenhoch.gif[/img] - Keine Zugriffe mehr auf die von mir gesperrte IP
81.211.105.70 bzw.
main.daily-news-com.com
main.tibssystems.com

Gefunden wurde bei mir: c_10230.dll und 2 Registry-Einträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}

HKEY_CLASSES_ROOT\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}

(Ich hab aber schon vorher händisch einiges an "Müll" rausgelöscht.)

Grüße von RON2

Hallo RON2,

</font><blockquote>Zitat:</font><hr />Original erstellt von RON2:
...Gefunden wurde bei mir: c_10230.dll und 2 Registry-Einträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}

HKEY_CLASSES_ROOT\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}
</font>[/QUOTE]Freut mich zu hören, dass Dir das Tool weitergeholfen hat. Ich nehme an, die o.g. Sachen hast Du entfernt?!?

Gruß,
Lutz

@Lutz: </font><blockquote>Zitat:</font><hr /> Ich nehme an, die o.g. Sachen hast Du entfernt?!? </font>[/QUOTE]Hat das Tool automatisch entfernt!

Zur Sicherheit hab ich das erstellte !Backup-Verzeichnis (enthält die DLL und die Registry-Einträge im Original) auf CD gebrannt!

Grüße von RON2

</font><blockquote>Zitat:</font><hr />...Hat das Tool automatisch entfernt!</font>[/QUOTE]Ja klar, war ich wohl grad im 'falschen Film'. Sorry

Gruß,
Lutz

Hallo Leute,
bin neu hier und besitze auch das Startpage Problem.
Habe nun alle eure Beiträge gelesen. Leider verstehe ich nicht alles was da so gefachsimplt wird.
Hier eine weitere Variante:
Die Dateien start.chm, d1k.exe sowie d1ki.exe werden über die Windows Suche nicht entdeckt. Dafür wird mir die Datei getstart.chm gemeldet.
Die Suche in der Registry ergibt allerdings, das alle 3 Dateien vorhanden sind.
Habe in einem seperaten Thread das log file von HijackThis eingestellt.
Ich wäre sehr dankbar, wenn mir da jemand helfen könnte.
Gruß
Robert