|
hallo zusammen, ich habe bei einem freund von mir das problem, das wenn er den ie startet immer eine pornoseite als startseite kommt. im adressfenster steht dann was mit c:\windows\start.chm usw. weiß jemand wie man das wieder weg bekommt?? ich habe es schon mit folgenden sachen probiert: AdAware SpyBot CWShredder HiJackThis SpyWare Blaster habe es aus der regedit gelöscht habe die datei selber gelöscht leider habe ich jetzt keine ideen mehr. nichts hat funktioniert. kann mir jemand helfen wie ich das wieder weg bekomme?? danke im voraus BeTZe |
so, hier auch noch die log von hijack this: Logfile of HijackThis v1.97.7 Scan saved at 10:03:16, on 08.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE D:\PROGRA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\Programme\totalcmd\TOTALCMD.EXE D:\Install\Antimistscheiss\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: SpywareBlaster.lnk = D:\Programme\SpywareBlaster\spywareblaster.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft\Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab BeTZe |
Hi BeTZe, willkommen an Board. [img]smile.gif[/img] MSIE: Internet Explorer v6.00 6.00.2600.0000) Bitte http://windowsupdate.com besuchen und alle Sicherheitsupdates installieren. Da müsste imho was sein... In Hijackthis fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html Such mal nach einer Datei start.html, die kann dann auch weg. Mehr fällt mir nicht auf. Danach Neustart, und dann sollte es das gewesen sein. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Ich habe genau das beschriebe Problem, und werde es auch nicht los. Ich bekomme immer diese Startseite: http://schuh.home.t-link.de/ss.jpg Habe schon die Dateien in WINNT gelöscht, aber das bringt auch nichts. HJackThis sagt das HIER , das hab ich auch schon gefixt, aber das bringt auch nichts. Was könnte mir noch helfen? Habe Win2000 und IE6 Vielen Dank, Gruss Thomas [ 09. April 2004, 12:13: Beitrag editiert von: schuh ] |
Diese Malware wgelangt über eine seit Ende letzten Jahres bekannte, aber bis dato von Microsoft noch nicht gefixte Sicherheitslücke im Internet Explorer auf die System IE-nutzender User. Das Problem wird bereits in mehreren Foren diskutiert. Eine Lösung wurde noch nicht gefunden, da mit den gängisten Mitteln bis dato keine Lokalisierung möglich war: http://spotlight.de/zforen/int/m/int...603-12378.html |
Wäre nett, wenn mir mal jemand diese htm-Datei zusenden könnte. |
Die "Start" Html? Gerne! Hier (die Start.chm und die Start.html mit WinRAR gepackt) Will mich nicht ewig mit dem Ding rumärger. Gibt es dann noch eine Alternative zum formatireren? Hilft das "reparieren" das kurz vor dem formatieren kommt auch schon? Gruss Thomas |
Wirst du bei einer Suche in der Registry nach der Datei start.chm fündig? |
Also ich habe das Problem gerade vielleicht behilfsmäßig gelöst. Ich habe "start.html" und "start.chm" beide jeweils mit dem Editor von WinXP geöffnet und den kompletten Inhalt einfach gelöscht. Nun habe ich beide Dateien schreibgeschützt und sie im Ordner gelassen. Dadurhc hoffe ich können keine neuen generiert werden und dadurch das "start.chm" nun leer ist wird meine Startseite auch nicht mehr umgeändert. zZ habe ich wieder meine alte Startseite und sie wurde auch noch nicht mehr geändert. Werde mich melden, falls ich wieder einen Rückfall hab ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von motoko: Werde mich melden, falls ich wieder einen Rückfall hab ;) </font>[/QUOTE]Ja bitte, ich bin an dem Thema sehr interessiert. mmk : Gibt es Neuigkeiten ? Hast du ein paar links für mich, ich bin, wie gesagt, sehr interessiert. Domino |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: Wirst du bei einer Suche in der Registry nach der Datei start.chm fündig? </font>[/QUOTE]Nein, nichts!!! |
</font><blockquote>Zitat:</font><hr />Original erstellt von motoko: Also ich habe das Problem gerade vielleicht behilfsmäßig gelöst. Ich habe "start.html" und "start.chm" beide jeweils mit dem Editor von WinXP geöffnet und den kompletten Inhalt einfach gelöscht. Nun habe ich beide Dateien schreibgeschützt und sie im Ordner gelassen. Dadurhc hoffe ich können keine neuen generiert werden und dadurch das "start.chm" nun leer ist wird meine Startseite auch nicht mehr umgeändert. zZ habe ich wieder meine alte Startseite und sie wurde auch noch nicht mehr geändert. Werde mich melden, falls ich wieder einen Rückfall hab ;) </font>[/QUOTE]Danke, habe es jetzt auch erstmal so laufen... |
Moin, Moin !! und Frohe Ostern !! Hab dasselbe doooofe Problem, wie schuh oben erwähnte, werd den Mist auch net wieder los!! Bin allerdings auch ein wenig ein Noob, hab also net ganz soviel Plan davon. Problem Nr. 1 (jetzt bitte nicht so dolle lachen...) wo, bzw. wie finde ich die registry??? Hab bisher über dateien suchen, dann start.chm, das miststück gefunden, dann gelöscht, runtergefahren, wieder hoch und systemwiederherstellung wieder aktiviert, einmal klappt das dann, wenn der browser dann neu gestartet wird, ist der sch**** wieder da !!??? danke für evtl antworten, und denkt bitte dran, nicht soviel fach-chinesisch, hier sitzt einer vom land... |
Hallo wsw - Welcome on Board </font><blockquote>Zitat:</font><hr /> wo, bzw. wie finde ich die registry??? </font>[/QUOTE]Jeder hat mal angefangen [img]smile.gif[/img] Du klickst auf Start - dann `Ausführen` anklicken und regedit eingeben und auf OK klicken. Versuchs mal hiermit Onlinescan Ein Browerwechsel ist auch zu empfehlen Firefox |
@wsw: was möchtest du denn in der registry tun? sei bitte sehr vorsichtig mit dem löschen! |
aufgrund neuerer Info´s gelöscht Domino [ 11. April 2004, 16:26: Beitrag editiert von: Domino ] |
</font><blockquote>Zitat:</font><hr />...aufgrund neuerer Info´s gelöscht...</font>[/QUOTE]Hallo Domino, hast Du mittlerweile schon nähere Infos zu dieser 'Geschichte'? Gruß, Lutz |
ja, domino macht es spannend - fortsetzung im dritten akt... [img]tongue.gif[/img] ;) |
Das Removaltool wird mittlerweile von Kaspersky als "Trojan.Win32.StartPage.fz" erkannt. Es sendet Informationen an seinen Programmierer, wahrscheinlich/vielleicht wollen die prüfen wie erfolgreich ihre Aktion war. Andererseits entfernt es aber die ominöse Startseite, das berichten verschiedene User die es ausprobiert haben. Domino |
Danke für die Info! [img]graemlins/daumenhoch.gif[/img] Ich nehme an, Du bleibst an der Sache dran? |
tach leute, ich glaub ich hab die lösung. konnte meine startseite auch nicht mehr verändern. wenn das so ist wie bei mir müsstet ihr eigentlich folgende datei auf dem rechner haben: c:\windows\system\d1ki.exe nagut, ich bin uncool und habe noch win98 :), vielleicht habt ihr die datei dann woanders. bei mir war da noch eine drin die heisst dann: d1k.exe ich hab die einfach gelöscht und das problem war weg. probiert das doch mal aus und gebt bescheid, wie es geklappt hat und ob das bei XP auch so geht. viel spass;) |
Die Datei c:\windows\system\d1ki.exe gehört jedenfalls nicht zu Windows. |
Hallo Stone und willkommen im Board, ich bin selbst nicht betroffen und kann es von daher (zum Glück!) nicht überprüfen. Aber auf jeden Fall Danke für den Hinweis. Zu d1ki.exe solltest Du Dir dies http://de.mcafee.com/virusInfo/defau...virus_k=101052 einmal anschauen, ob weitere der dort beschriebenen Dateien bei Dir vorhanden sind. Gruß, Lutz |
hallo lutz, danke erstmal für die begrüßung und für die schnelle antwort. werde gleich mal reinschauen, was bei mir sonst noch befallen sein könnte. |
Also meine behilslösung Funktioniert habe nun immer noch meine Startseite... [img]smile.gif[/img] Zwar hab ich noch die beiden start.* Dateien aufm Rechner aber die sind nun unnütz ^^ Nur nicht löschen!!! Sonst generiert irgend ein scheiß Proggi die wieder erneut und es geht von vorne los! Einfach so verfahren wie in meinem letzen Beitrag beschrieben. Gruß Major Motoko Kusanagi |
Koenntest du mir mal einen persoenlichen gefallen "tun". scan deine Windowspartition mal mit diesem Tool: http://www.heysoft.de/nt/lads.zip entpacke es und starte es von c:\ mit lads /s Es sucht nach Dateien, die sich im alternate Data Stream verstecken. Ist natuerlich nur sinnvoll, wenn man es auf eine NTFS Partition macht. [img]smile.gif[/img] Waere nett, wenn du das ergebniss hier posten koenntest. |
Kannst vergessen, weil ich trotz XP immer noch FAT32 nutze ;) |
<g> Das sieht man nur noch selten. Inzwischen sehe ich auch mehr Vor als Nachteile bei NTFS. |
Kann das sein ? Es gibt noch keine Lösung um das .chm Problem zu fixen ? :confused: Das Removaltool löst das Problem auch nicht _dauerhaft_ , so die neuesten Gerüchte. Zudem darf man es online eh nicht starten da es einiges auf dem betroffenen PC ausliest und an *****sendet. Gibt es wirklich noch keine Lösung ? Domino |
hat schon jemand das remaoval tool von master-search versucht? http://www.master-search.com hab gehört das soll helfen. ich habe das gleiche problem. manchmal hab ich ne pornoseite, manchmal ne suchseite und manchmal so ne auto-crash seite hab schon alles mögliche versucht, doch nichts klappt mfg hoomer |
@ hoomer Du hast nicht ganz zufällig die Beiträge vor deinem post gelesen ? Nein ? Mach doch einfach mal..... [img]graemlins/crazy.gif[/img] Domino |
Salü zusammen... Hab das gleiche Prob wie ihr alle auch [img]graemlins/schrei.gif[/img] Bin nicht ganz sicher ob ich es geschaft habe den scheisse dreck weg zu kiegen! Muss mal neustarten. Aber ich hab noch was in CHIP.de Forum gelesen, sollte einiges erklären: </font><blockquote>Zitat:</font><hr /> Hallo, die Ursache für diese beiden Einträge: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:\WINDOWS\start.chm::/start.html ist eine Sicherheitslücke des IE (5.01, 5.5 und 6.0), die Arman Nayyeri Ende letzten Jahres entdeckte:.ein showHelp() Restriction bypass. Dies ist eine Variante des alten showHelp()-Problems, das ebenfalls von Arman Nayyeri erkannt worden war. Es können sowohl CHM-Hilfe-Files von einer Webseite geöffnet werden, die lokal oder auf einem entfernten Server abgelegt sind! Dies geschieht über Protocol- Handlers wie ms-its; oder mk:@MSITStore: Das ist ja an sich noch nichts Schlechtes, da es sich um die Windows Help-Files handelt, aber mit Hilfe bestimmter Syntax, wie:: (doppelter Doppelpunkt, s.o. in den beiden Einträgen), können vom IE auch andere, in die *.chm-Dateien eingebettete Dateien (z.b. html-files) ausgeführt werden. In den beiden Einträgen Deines Logfiles ist die html-Datei start.html einge- bettet, welche vom IE fälschlicherweise als Help-(chm)-File angezeigt und sogar als startseite festgelegt wird. Weiterführende Details sind untenstehenden links zu entnehmen. Zur Lösung des Problems: Microsoft ist das Problem bekannt - ein Patch wurde bisher nicht bereitgestellt. Die Deaktivierung von ActiveX und ActiveScripting reicht zur Behebung des Problems nicht aus. Bis zur Bereitstellung eines Patches rät CERT als Sofortmaß- nahme zu einer Deaktivierung der betreffenden Protocol-Handler (ms-its, its, mk), die sich hier finden: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ Danach kann/wird es zu Funktionsstörungen des Help- und Support-Centers von Windows kommen, evtl. Fehlfunktionen bei der Darstellung aller help-Files. Auch ein Browserwechsel soll in Betracht gezogen werden, obwohl es theoretisch möglich ist, daß ein anderer Browser den IE dazu veranlassen kann, ITS-protocol- URLs anzuzeigen. Also nicht gerade eine zufriedenstellende Lösung, aber zumindest die Ursache. www.securityfocus.com/archive/1/348521 (Arman Nayyeri ) www.kb.cert.org/vuls/id/323070 (US Computer Emergency Readiness Team) Gruß, ixus </font>[/QUOTE]Hier nachzulesen MfG Xirius |
Hallo, hab das Teil jetzt anscheinend in den Griff gekriegt: d1k.exe d1ki.exe aus Windows Vewrzeichnis in Quarantäne befördert. Zur Sicherheit start.chm nicht nur gelöscht, sondern auch eine leere Datei mit diesem Namen angelegt und schreibgeschützt. Und die beiden Einträge mit start.chm aus der Registry auf leer gesetzt. Seitdem ist Ruhe (mehr als 24 Stunden). Gruß Partei03.de |
Achtung hinkender Vergleich: Das ist in etwa wie 'Verband auflegen bei einem offenen Bruch'. Die Blutung mag gestoppt sein, aber der Bruch bedarf weiterer Behandlung für eine Genesung. Also du solltest dich mit dem Thema weiter beschäftigen... Gruß, Lutz |
Toll partei03, das ist genau, dass was ich auch gemacht nur anscheinend regisitriert hier niemand meine Beiträge :-( |
@ motoko Denke bitte daran - die User sitzen NICHT permanent vor dem PC und warten darauf jemanden zu helfen ! Jeder hat auch ein Privatleben & Job - bitte sei nicht so ungehalten [img]smile.gif[/img] |
Hi Leute, auch ich freue mich seit einigen Tagen über eine neue Startseite im Internetexplorer. Ich habe in den letzten Tagen alle möglichen informationen zu dem Problem gesucht - und bin wie alle anderen auch nicht wirklich auf eine Lösung gestossen. Ich habe die Start.chm gelöscht, alle Registry-Einträge händisch gelöscht - hat beim ersten Mal nix geholfen. Beim 2ten Mal scheinbar schon - seit 2 Tagen habe ich wieder meine Startseite. In diesem Zusammenhang habe ich auch das Logfile meiner Hardware-Firewall durchstöbert und habe einige mir unbekannte Anforderungen gefunden: main.daily-news-com.com main.tibssystems.com ... Wobei die oben angeführten Adressen vom DNS nicht aufgelöst werden können. Sind die beiden Adressen jemandem bekannt? In welchem Zusammenhang? Grüße von RON2 |
Hi zusammen, nachdem ich mich jetzt drei Tage mit dem Problem rumgeschlagen habe, hab ich eine (zumindestens temporäre) Lösung gefunden: Neuste Version von AD-aware 6 downloaden z.B. bei www.chip.de --> instalieren und als erstes Internetupdate laden --> Ad-aware durchlaufen lassen (Hat bei mir zwei Keys und eine Datei erkannt) --> Die erkannten Dateien löschen --> Start--> Einstellungen --> Systemsteuerung --> Internetoptionen ---> TATAAAA, lässt sich wieder bearbeiten !!! Mal sehen wie lange das hält! Melde mich bei Misserfolg wieder! So long Stromie |
</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk): Achtung hinkender Vergleich: Das ist in etwa wie 'Verband auflegen bei einem offenen Bruch'. Die Blutung mag gestoppt sein, aber der Bruch bedarf weiterer Behandlung für eine Genesung. </font>[/QUOTE]Hallo Lutz, ich kann die Sicherheitslücke doch nicht schließen, solange Microsoft das im IE6 nicht tut! Außer ich wechsel zu Netscape oder sonst was. Klar ist das obige nur ein Teil der Lösung. Aber jedenfalls ist bei mir erstmal weiterhin Ruhe mit dem Teil! |
</font><blockquote>Zitat:</font><hr />Original erstellt von RON2: Hi Leute, main.daily-news-com.com main.tibssystems.com Sind die beiden Adressen jemandem bekannt? In welchem Zusammenhang? </font>[/QUOTE]Ja, zumindest die letzte wird von dem Trojaner benutzt, um sich immer wieder downzuloaden. Dabei werden die von mir bereits oben erwähnten d1k.exe / d1ki.exe Programme benutzt. Wenn man die neben localhost in die hosts-Datei einträgt und diese schreibschützt, dann sollte auch das unterbunden werden. Ich hatte bei mir nur die eine davon drin (TIBSSYSTEMS.COM) und danach kam er dann trotzdem wieder, bis ich die o.g Programme in Quarantäne befördert habe. Möglicherweise wird dann alternativ der andere von dir gefundene Server benutzt. |
</font><blockquote>Zitat:</font><hr />Original erstellt von motoko: Toll partei03, das ist genau, dass was ich auch gemacht nur anscheinend regisitriert hier niemand meine Beiträge :-( </font>[/QUOTE]Nun, du hast den zweiten Teil gemacht und damit verhindert, daß die start.chm neu geschrieben werden kann. Aber hast du die Programme d1k.exe und d1ki.exe beseitigt. Die können nämlich von der Ad-Firma auch für andere Downloads als diese Version des Wurms benutzt werden! |
@Partei03.de: </font><blockquote>Zitat:</font><hr /> d1k.exe / d1ki.exe </font>[/QUOTE]die Programme gibts bei mir nicht! :confused: Grüße von RON2 |
</font><blockquote>Zitat:</font><hr />Original erstellt von RON2: @Partei03.de: </font><blockquote>Zitat:</font><hr /> d1k.exe / d1ki.exe </font>[/QUOTE]die Programme gibts bei mir nicht! :confused: Grüße von RON2 </font>[/QUOTE]Diese beiden Dateien gehören zu einem Trojaner Downloader. http://vil.nai.com/vil/content/v_100764.htm Björn |
Hallo! Ich habe auch das start.chm-Problem. Allerdings habe ich die d1k*-Dateien nicht auf meinem PC. Komischerweise aber eine notepad.exe.bat mit zeitnahem (3min) Erstellungs-Datum wie die start.chm. Ideen? Gruß Klaus <EDIT: Ich habe mich verschrieben, es handelt sich um eine notepad.exe.bak> [ 24. April 2004, 08:16: Beitrag editiert von: KlausPeter ] |
@KlausPeter: Ich hatte glaube ich auch die Notepad.exe.bat - aber kann sie nicht finden. (Notepad.exe.lnk in "SendenTo" verweist bei mir auf notepad.exe im System32 Verzeichnis - und dort gehört die definitiv nicht hin: %SystemRoot%\system32\notepad.exe) mit diesem verbogenen Verweis wird offensichtlich die "falsche" Notepad.exe(.bat) aufgerufen. Hast Du die Notepad.exe.bat vielleicht noch - und kannst Sie mir mailen? ->> ron2@ron.at Liebe Grüße an alle Leidgenossen von RON2 |
Warum will mein PC immer nach Russland? :confused: IP: 81.211.105.70? Seitdem ich die Adresse über meine Firewall geblockt habe ist Ruhe mit der Startseite - kann aber auch Zufall sein! Kann jemand von Euch Russisch? Über Whois bekommt Ihr sogar eine Telefonnummer geliefert! Grüße von RON2 |
@Ron: Die Datei ist unterwegs zu dir Ich habe auch mal den Rat mit Ad-Aware befolgt, hat zwar was gefunden und entfernt, aber danach kommt die Seite wieder. Gruß Klaus |
Hallo Klaus, poste mal bitte ein Log von HiJack-This. Ohne geht leider bei solchen Problemen nicht viel... Hast Du den CWShredder schon einmal im abgesicherten Modus laufen lassen? Gruß, Lutz |
OK, vermutlich sollte ich mich mal als Noob in diesem Bereich outen. Ich hab jetzt folgendes gemacht: -Hijack-this und CWShredder runtergeladen und auf neueste Version gebracht -CWShredder durchlaufen lassen und die einzige Meldung ASX3TEST.exe löschen lassen -Hijack-this durchgeführt -CWShredder im abgesicherten Modus ausgeführt (keine Meldung) -Beim Neustart hat die Firewall gemeldet, daß die rundll32.exe eine Verbindung möchte, habe ich gesperrt Hier noch das Hijack-log: Logfile of HijackThis v1.97.7 Scan saved at 11:29:50, on 24.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\NILaunch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\devldr32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe C:\Programme\ZipGenius 5\zipgenius.exe C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\ZipGenius\ZGTemp\9990421\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Parse with LeechGet - file://C:\Programme\LeechGet 2002\\parser.html O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download using &LeechGet - file://C:\Programme\LeechGet 2002\\AddUrl.html O8 - Extra context menu item: Download using LeechGet &Wizard - file://C:\Programme\LeechGet 2002\\Wizard.html O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O15 - Trusted Zone: http://www.conrad.de O15 - Trusted Zone: http://www.dialego.de O15 - Trusted Zone: http://www.ils.de O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://de.trendmicro-europe.com O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...885.4681828704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{06BD99DB-F7B6-4EA7-8FD8-558D7DA2AF48}: NameServer = 216.127.92.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{57C48957-4B08-4883-A4CD-E4E331394BF6}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{B73A6F4A-4252-4959-8363-A510CE4B3993}: NameServer = 216.127.92.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D425AC-0A01-412F-95C2-5109B201A1AC}: NameServer = 216.127.92.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{D21A62A5-5F44-402D-8FB6-38EC80065F97}: NameServer = 212.185.253.9 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{06BD99DB-F7B6-4EA7-8FD8-558D7DA2AF48}: NameServer = 216.127.92.38 |
</font><blockquote>Zitat:</font><hr /> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe </font>[/QUOTE]Zumindest diese Einträge fixen. |
Hallo Leute, bin neu hier! Habe das gleiche Problem und würde gerne wissen wo ihr diese start.html findet. Die start.chm habe ich immer unter system, die start.html kann ich auf meinem PC trotz allen Suchens, auch mit Start -> Suchen nicht finden. Danke im Vorraus |
Hallo, </font><blockquote>Zitat:</font><hr />OK, vermutlich sollte ich mich mal als Noob in diesem Bereich outen.</font>[/QUOTE]Überhaupt kein Problem! [img]smile.gif[/img] Bitte folgendes mit HiJackThis im abgesicherten Modus fixen: </font><blockquote>Zitat:</font><hr /> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html . . . O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m . . . O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe </font>[/QUOTE] </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe </font>[/QUOTE]Setzt Du Lotus Notes ein? Ansonsten könnte diese Datei verdächtig sein.. Die Einträge zu O15 und O17 solltest Du einmal selbst überprüfen, ob das von Dir gewollte Einträge sind. Die Dateien C:\WINDOWS\start.chm c:\programme\Webdialer\od-teen175.exe c:\programme\Webdialer\od-teen108.exe C:\bla.MHT bitte anschließend löschen. Gruß, Lutz |
erledigt bis dahin: Ja ich benutze Lotus (Damals...) mit den O17-Einträge kann ich nichts anfangen, was bedeuten diese? Noch eine kurze Frage zum Verständnis: Warum sollte alles aus dem abgesicherten Modus laufen? Achja, mein PC wollte auch zur obengenannten IP, habe ich durch meine Firewall verboten, seitdem ist kein Popup mehr da. Keine Ahnung ob das die wirkliche Ursache ist. Auf jeden Fall schon mal ein Dankeschön! Ich muß sagen, ich bin seit Mitte der 90er im Netz und erst seit einem halben Jahr muß ich mich um Viren kümmern. Und jetzt sind auch noch Trojaner dabei. War das vorher nur Glück oder sind die erst jetzt so aktiv? Gruß Klaus |
Hallo Klaus, </font><blockquote>Zitat:</font><hr />Ja ich benutze Lotus (Damals...)</font>[/QUOTE]Dann sollte der Eintrag OK sein. </font><blockquote>Zitat:</font><hr />mit den O17-Einträge kann ich nichts anfangen, was bedeuten diese?</font>[/QUOTE]Schau mal bitte hier nach: http://www.trojaner-board.de/51130-a...ijackthis.html Der (mehrfache) Eintrag 216.127.92.38 gehört laut Who is-Abfrage zu: </font><blockquote>Zitat:</font><hr /> OrgName: Everyones Internet, Inc. OrgID: EVRY Address: 2600 Southwest Freeway Address: Suite 500 City: Houston StateProv: TX PostalCode: 77098 Country: US </font>[/QUOTE]Evtl. ein Webhoster?!? </font><blockquote>Zitat:</font><hr />212.185.253.9</font>[/QUOTE]Gehört zu 'Deutsche Telekom AG'. Wenn Du t-online-Kunde bist, ist der Eintrag wohl ok. </font><blockquote>Zitat:</font><hr />192.168.120.252,192.168.120.253</font>[/QUOTE]Hast Du ein lokales Netzwerk (LAN) eingerichtet? Imho ist der Adressbereich 192.168.*.* für lokale Netze vorbehalten... </font><blockquote>Zitat:</font><hr />Noch eine kurze Frage zum Verständnis: Warum sollte alles aus dem abgesicherten Modus laufen?</font>[/QUOTE]Nun, im abgesicherten Modus startet Windows nur mit den Prozessen, die es selbst zum 'Überleben' braucht. Bei einem 'normalen' Bootvorgang werden alle Autostartaufrufe aus der Registry mitgestartet (z. B. Prozesse, die HiJackThis unter O4 anzeigt). Wenn jetzt beispielsweise ein Malware-Prozess mitgestartet wird, lässt er sich in der Regel nicht beenden und somit auch nicht löschen. </font><blockquote>Zitat:</font><hr />...und erst seit einem halben Jahr muß ich mich um Viren kümmern. Und jetzt sind auch noch Trojaner dabei. War das vorher nur Glück oder sind die erst jetzt so aktiv?</font>[/QUOTE]Sagen wir so, es wird zumindest immer schlimmer. Und das auch immer schneller. Viele sprechen schon jetzt von 2004 als dem Malware-Jahr. Das Browser-HiJacking (Entführung auf unerwünschte Webseiten) gibt es imho seit rd. einem Jahr. Hier zeigen sich die 'Macher' scheinbar besonders aktiv und einfallsreich. Die bestehenden und bekannten Sicherheitslücken des InternetExplorers scheinen sich hierfür geradezu anzubieten... Deswegen wirst Du auch immer öfter den Tipp lesen, auf einen (zumindest zur Zeit noch) sichereren Browser umzusteigen. Gruß, Lutz |
Hallo zusammen Vorweg bin neu hier im Board hab das Problem auf einem PC hier auch. Allerdings ist mir eine Sache aufgefallen die hier bisher nicht aufgetaucht ist : Die Datei start.html die ja einige kennen lies sich bei mir erstmal nicht öffnen bzw löschen/kopieren da auf sie zugegriffen wurde... Also schau ich im taskmngr mal nach was wir so alles haben dabei finde ich diesen : "access[2].exe" erstmal beendet danach lies sich die start.html problemlos löschen/editiern. hab mich dann erstmal gefragt was das denn nu fürne exe ist. habs bis jetzt nicht rausfinden können später lief noch einmal eine "access[1].exe" konnte auf dem pc weder access.exe noch access[2].exe finden Evtl kennt das ja jemand (Das Programm "Access" ist nicht installiert) Thomas |
@KlausPeter: </font><blockquote>Zitat:</font><hr />@Ron: Die Datei ist unterwegs zu dir </font>[/QUOTE]... is wohl ne lange Leitung [img]graemlins/lach.gif[/img] - is bis jetzt noch nicht angekommen. Die Adresse lautet ron2@ron.at Grüße von RON2 |
hi ich hatte auch das Problem mit der Startseite. Hab den Inhalt auch gelöscht und es geht alles OK. Hab die Datei start.chm noch auf Diskette (falls es mal ein ordentliches Removal-Tool gibt). Ich habe das Removal-Tool von Master-search nicht mal gesehen und dann wohl auch nicht benutzt...und trotzdem ist heute als mein Rechner im I-net war und ich kein Fenster offen hatte der IE angegangen und hat diese Seite http://www.master-search.com/top/date/?cid= mit einer Dating Werbung angezeigt. Woher kann das jetzt kommen?? |
Die oben angeführten access Dateien gehören zu der Malware. Die werden bei mir im Zonealarm auch immer angezeigt. Sofort in der Firewall blocken. Leider nützt das nicht lange, auch das löschen der Datei nichts, da sie immer wieder neu genriert wird! |
Es gibt hier keine "Access-Dateien". Das Programm MicrosoftAccess wird durch die Programmdatei MSACCESS.exe gestartet. |
Access.exe ist mit Sicherheit ein Dialer. Sollte von AntiVir beseitigt werden können. Auch bei Spybot sollte der Dialer mit dem nächsten Update erkannt werden. ;) |
</font><blockquote>Zitat:</font><hr />...Access.exe ist mit Sicherheit ein Dialer...</font>[/QUOTE]Hallo Christian, hast Du eine bessere Kristallkugel als ich, oder woher nimmst Du die Sicherheit, das es ein Dialer ist? ;) Demnach wäre es ja Zufall, dass das Löschen der Start.html erst nach beenden des Dialers funktionierte... :confused: Gruß, Lutz |
Ich hatte die access.exe und od-teen175.exe sowie od-teen108.exe vor einiger Zeit eingeschickt. Alle drei Dateien, haben sich ohne "Ok-Bestätigung" über der gleichen Website eingeschlichen. |
Die access Dateien werden nicht von AntiVir erkannt, auch nicht von Panda oder Norton!! Was diese Notepad Dateien im system32 Ordner angeht, ich hab die jetzt mal geöffnet, kompletten text gelöscht, gespeichert und schreibgeschützt. Seitdem versucht auch keine "access" Datei mehr nach außen zu senden. |
Ah gut das erklaert schon ein bisschen was ich hab mir nun die hier schon oft genannte behelfslösung mit den leeren schreibgeschützten dateien auch angeschafft werde trotzdem wohl auf n andren browser wie opera o.ä. umsteigen .. trotzdem bisher wusste keiner hier warum das [1] bzw [2] am prozess der access.exe hing oder warum die datei laut windows suchfunktion nicht auf dem pc existiert.... weder access.exe noch access[1].exe noch access[3].exe @lutz es kann schon ein dialer sein, der einfach auf die start.html zugreift noch ne andere sache nebenbei Dialer sind ja für uns DSL verwöhnte nicht mehr allzuinteressant, allerdings hab ich mal gehoert das es auch dialer gibt die bei DSL verbindungen funktionieren weiss da einer was genaueres dazu??? mfg Thomas |
</font><blockquote>Zitat:</font><hr />Original erstellt von Olo: trotzdem bisher wusste keiner hier warum ... warum die datei laut windows suchfunktion nicht auf dem pc existiert.... weder access.exe noch access[1].exe noch access[3].exe </font>[/QUOTE]Um es genauer zu sagen bräuchte man wohl selber so ein versifftes System :D kleiner Tipp: in der Standardeinstellung findet Windows nicht alle Dateien bzw. zeigt Windows nicht alles an. noch ein Tipp: nur weil ein Task mit einem bestimmten Namen startet, muß später keine Datei mit diesem Namen noch existieren. </font><blockquote>Zitat:</font><hr />Original erstellt von Olo: Dialer sind ja für uns DSL verwöhnte nicht mehr allzuinteressant, allerdings hab ich mal gehoert das es auch dialer gibt die bei DSL verbindungen funktionieren weiss da einer was genaueres dazu??? </font>[/QUOTE]1. Das Internet ist sehr sehr geduldig, im WWW wirst Du ALLES lesen können. 2. Mit DSL alleine funktioniert kein Dialer, allerdings gibt es "Dialer" welche für DSL-Nutzer gedacht sind. Damit musst du während der DSL-Sitzung per Telefon eine 0190er anrufen. Sollte man aber dann doch mitbekommen :D |
Hall Thomas, </font><blockquote>Zitat:</font><hr />es kann schon ein dialer sein, der einfach auf die start.html zugreift</font>[/QUOTE]Klar, ausschließen will ich gar nichts, aber warum sollte ein Dialer auf eine lokale html-Seite zugreifen wollen? 'Sinn' würde es doch imho nur machen, wenn die start.html versuchen würde, einen Dialer zu installieren und nicht andersherum. Gruß, Lutz |
Nunja Lutz ich hab mir die html nicht genau angeschaut allerdings ist es meiner meinung nach moeglich das der dialer seiten aus dieser html ausliest Kanns nicht sagen war eher ne vermutung hab noch nie n dialer geschriebn / im assembler angeschaut oder den source von sonem ding in die hände bekommen ist eigentlich auch nicht weiter wichtig... bin ma gespannt wie sich das ganze hier weiter entwickelt |
@ Thomas, im Grunde hast Du vollkommen Recht. Eigentlich ist's egal, was da wen aufruft und warum. 'Müll' ist's allemal. Poste uns doch mal ein Log von HiJackThis, vielleicht finden wir noch etwas 'verdächtiges'... Gruß, Lutz |
So da hammer das log : Logfile of HijackThis v1.97.7 Scan saved at 21:00:04, on 26.04.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\GEARSEC.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\regsvc.exe C:\WINDOWS\system32\MSTask.exe C:\WINDOWS\system32\stisvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe C:\WINDOWS\System32\WBEM\WinMgmt.exe F:\Netprogramme\Messi\MsgPlus.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\internat.exe D:\CASIO-Loader\Plauto.exe F:\Netprogramme\ZoneAlarm\zapro.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Opera7\Opera.exe F:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Windows Explorer Update Build 1142] explorer32.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [MessengerPlus2] "F:\Netprogramme\Messi\MsgPlus.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [svshosts] svshosts.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [Windows Explorer Update Build 1142] explorer32.exe O4 - HKLM\..\RunServices: [svshosts] svshosts.exe O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\SYSTEM32\SystemConfig.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [MessengerPlus2] "F:\Netprogramme\Messi\MsgPlus.exe" /WinStart O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Photo Loader resident.lnk = D:\CASIO-Loader\Plauto.exe O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe O4 - Global Startup: ZoneAlarm Pro.lnk = F:\Netprogramme\ZoneAlarm\zapro.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download with GetRight - F:\Netprogramme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - F:\Netprogramme\GetRight\GRbrowse.htm O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/adv74/x.chm::/load.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...054.0991435185 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex...te/sdkinst.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://www.popup.to/connect/PremiumConnectLoad.cab edit: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html diesen wohl bekannten hier hab ich schon mal rausgenommen... von den anderen ist imho nur der letzte noch merkwürdig edit2: O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/adv74/x.chm::/load.exe naja 2 ma lesen is wohl besser [img]smile.gif[/img] -- fixed mfg [ 26. April 2004, 21:34: Beitrag editiert von: Olo ] |
Hallo, </font><blockquote>Zitat:</font><hr /> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm </font>[/QUOTE]finde ich sehr verdächtig! Im System-Ordner hat imho eine htm-Datei nichts zu suchen, es sei denn Du hättest sie dort angelegt! </font><blockquote>Zitat:</font><hr /> O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL</font>[/QUOTE]bitte fixen. Am besten im abgesicherten Modus von Win2000. Dies gilt übrigens für alle Fix-Maßnahmen. </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [Windows Explorer Update Build 1142] explorer32.exe </font>[/QUOTE]zumindest verdächtig: http://www.sophos.de/virusinfo/analyses/w32kwbota.html Da die Datei nicht gestartet wurde, evtl. ein Überbleibsel eines Wurms?!? Wenn Du die Datei findest, bitte einmal hier überprüfen: http://www.kaspersky.com/de/remoteviruschk.html Wenn infiziert dann löschen und den Eintrag fixen, wenn die Datei nicht (mehr) vorhanden ist, auch fixen. </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [svshosts] svshosts.exe </font>[/QUOTE]Hier gilt das gleiche, wie beim Eintrag drüber. Nur die Analyse von Sophos natürlich nicht. ;) </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\RunServices: [Windows Explorer Update Build 1142] explorer32.exe O4 - HKLM\..\RunServices: [svshosts] svshosts.exe </font>[/QUOTE]siehe oben! </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\SYSTEM32\SystemConfig.exe </font>[/QUOTE]noch mal siehe oben: Quelle: http://www.sophos.de/virusinfo/analyses/w32duloada.html </font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [internat.exe] internat.exe </font>[/QUOTE]evtl. verdächtig. Bitte auch überprüfen, bei Kaspersky, so vorhanden </font><blockquote>Zitat:</font><hr />O4 - Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe O4 - Global Startup: Photo Loader resident.lnk = D:\CASIO-Loader\Plauto.exe O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe</font>[/QUOTE]Kenn ich nicht, kann aber durchaus harmlos sein </font><blockquote>Zitat:</font><hr />O8 - Extra context menu item: Download with GetRight - F:\Netprogramme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - F:\Netprogramme\GetRight\GRbrowse.htm </font>[/QUOTE]GetRight soll imho Spy-/Adware enthalten. Bin mir aber nicht ganz sicher, da ich den nicht benutze. </font><blockquote>Zitat:</font><hr /> O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/adv74/x.chm::/load.exe </font>[/QUOTE]Fixen und die Datei C:\nosuch.mht löschen, sofern vorhanden </font><blockquote>Zitat:</font><hr /> O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://www.popup.to/connect/PremiumConnectLoad.cab </font>[/QUOTE]Verdächtig, im Zweifel fixen. Man o man, ist ja einiges zusammengekommen. :( Du solltest evtl. dein Download verhalten (Kazaa und Co) einmal überdenken. Und noch eine Frage: Hat es einen bestimmten Grund, dass Du das SP4 für Win2000 noch nicht installiert hast und wie sieht es mit anderen Windowsupdates aus? Wenn hier jemand zu formatieren und neumachen rät, werde ich nicht widersprechen. ;) Gruß, Lutz |
</font><blockquote>Zitat:</font><hr />R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm </font>[/QUOTE]datei gibts nicht werd den eintrag fixen den medialoads eintrag werd ich ebenfalls fixen zu allen unter 04 aufgeführten sachen lässt sich nur eins sagen : ehemaliger virus schlampig gelöscht *peinlichpeinlich* aber nichts dramatisches achja und die anderen programme gehören z.t. zum bildschirm nichts verdächtiges getright und spyware? hör ich zum ersten mal habs bisher nur empfohlen bekommen / nichts schlechtes drüber gehört kann ja mal die nächste zeit alle ohren und augen offenhalten was das angeht und die beiden unter 016 hab/werde ich noch fixen danke trotzdem fürs durchsehen nochmal edit: fast vergessen zu den updates und dem sp4 updates sind alle installiert warum kein sp4 gute frage werd ich auch noch machen frag mich grad selbst wieso noch net... |
</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk): </font><blockquote>Zitat:</font><hr />O8 - Extra context menu item: Download with GetRight - F:\Netprogramme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - F:\Netprogramme\GetRight\GRbrowse.htm </font>[/QUOTE]GetRight soll imho Spy-/Adware enthalten. Bin mir aber nicht ganz sicher, da ich den nicht benutze.</font>[/QUOTE]Das war früher mal so; mittlerweile ist Getright aber wohl spywarefrei. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
</font><blockquote>Zitat:</font><hr />Das war früher mal so; mittlerweile ist Getright aber wohl spywarefrei.</font>[/QUOTE]OK - Danke für die Info! Wie gesagt ich benutze es selbst nicht. Gruß, Lutz |
Der Ordnung halber noch erwähnt: </font><blockquote>Zitat:</font><hr />O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL</font>[/QUOTE]Die Datei bitte auch löschen und nicht 'nur' fixen. Interessant wäre noch, ob und wenn ja, welche weiteren Dateien sich in diesem Verzeichnis befinden. Und eine Bitte hätte ich noch: Hältst Du uns bitte auch dann auf dem Laufenden, wenn dein Problem dauerhaft behoben werden konnte. Ich weiß manchmal nicht, ob die Hilfe ausreichend war, oder die Leute entnervt woanders nach Hilfe suchen, weil es hier nicht (auf Anhieb) geklappt hat. Danke!! Lutz |
Aaaalso erstmal zum MediaLoads/kazaa das ist denke ich ebenfalls wieder so ein alter vergammelter regkey werd mich moin ma drum kümmern so zum eigentlich problem wieder zurück : ich hab die beiden dummy dateien wie hier schon beschriebn schreibgeschuetzt und leer im windows ordner ( start.chm und start.html) wie gesagt n provisorium desweiteren den key der start.chm entfernt und dann nun die 3 einträge in HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\ ebenfalls entfernt. die waren für die hilfe dateien zuständig so erstmal zu sagen die startseite hat sich seitdem nicht geändert allerdings werde ich nun doch erstmal opera benutzen bis sich hier das ganze noch ein bissl mehr aufklärt und Lutz (und alle anderen natuerlich auch) ich find die art wie hier an solche sachen rangegangen wird super! also kann nur sagen weiter so |
Zur Frage warum sich die Nummer [1), [2], [3], sich hinter der ominösen access datei bilden: Solang die Malware nicht entfernt ist und sich noch ausführbare Dateien derselbigen auf der Platte befinden, versucht die ware sich ständig neu einzuwählen. Sollte dies durch irgendeinen Blocker verhindert werden (Firewall, Antispy etc)generiert sich ein neues Programmfile, daß nur noch die entsprechende laufende Nummer angehängt bekommt. Ich kann die Theorie leider (noch) nicht beweisen (und will auch nicht in die Lage kommen, daß sich die Dateien wieder bilden, aber sie klingt mir am logischsten. Wer mich eines besseren belehren kann, soll es bitte tun. Irgendwie muss das Schei...teil doch zu knacken sein. |
Okay das hatte ich mir auch gedacht... so nun mal dazu wie es zu knacken ist hmmm also ich glaube das es auf dem pc hier durch die access.exe (oder die exe/dll die die access.exe startet runterläd) ausgelöst wid... aber wie gesagt ich hab die access.exe nicht gefunden also kann ich das auch nicht überprüfen :( evtl hat hier ja sonst jemand noch dieses problem und weiss was zu dieser .exe Wär jetzt meine Idee erstmal dazu |
Danke erstmal für eure Hilfe! Seitdem ich die IP gesperrt habe kommt die Startseite nicht mehr. Ich habe auch alle möglichen Startprozesse bereinigt. Gruß Klaus |
Gut dann schauts ja so aus als ob die provisorischen lösungen funktionieren... hatte bisher auch keine probs mehr bin allerdings nu auf allen rechnern komplett auf opera umgestiegen, da der exploit ja weiterhin besteht |
"bin allerdings nu auf allen rechnern komplett auf opera umgestiegen" Gute Wahl. Wenn man die ganzen unnötigen und verwirrenden Gimmicks abschaltet, ist es ein klasse Browser. Andreas |
</font><blockquote>Zitat:</font><hr /> Wenn man die ganzen unnötigen und verwirrenden Gimmicks abschaltet, ist es ein klasse Browser. </font>[/QUOTE]Naja ich kenn Opera schon lönger und benutz ihn auch immer mehr [img]smile.gif[/img] Diese "Gimmicks" usw sind mir gar nicht größer aufgefallen Aber ich kann jedem der diesen Thread liest nur wärmstens empfehlen auf einen anderen browser als den IE umzusteigen so denke wir können den Thread erst mal auf Eis legen bis es was Neues hinsichtlich der help exploits gibt oder jemand was neues dazu erfährt in dem sinne schönes wochenende Thomas |
Hallo Thomas und alle anderen Betroffenen, ohne selbst betroffen zu sein, habe ich in den letzten Tagen so ziemlich alles durchsucht, was es zu diesem Hijacker zu finden gab. Ein Patch von MS steht immer noch aus, auch der CWShredder kann ihn (noch) nicht löschen, aber hier habe ich etwas Interesantes gefunden: http://forums.net-integration.net/in...c=13515&st=210 Posted: Apr 28 2004, 11:27 AM </font><blockquote>Zitat:</font><hr />Ok everybody. Here you go! http://tools.zerosrealm.com/startchmfix.exe Download it. Run it and extract the folder to the desktop preferably. Open the folder after extracted. Double click the fix.bat Please make sure all Internet Explorers are closed. Only run it once or you will lose the backups although they shouldn't be needed. I managed to verify the bad dll today is 20kb. Notepad will open at the end with the bad file. Please post that line here.</font>[/QUOTE]Ist ein Megathread über mittlerweile 22 Seiten, allerdings alles in englisch... Da ich -wie gesagt- nicht betroffen bin, konnte ich das Tool nicht auf Funktionalität überprüfen. Ich habe lediglich feststellen können, dass es bei mir keinen Schaden angerichtet hat. Es werden in erster Linie Registry-Einträge entfernt und in einer Log-Datei die 'bösartige' *.dll angezeigt. Vielleicht willst Du es mal ausprobieren?!? Wenn Du fragen dazu hast, will ich sie -soweit mir möglich- gerne beantworten. Obwohl der Umstieg zu Opera richtig ist, bleibt die Infektion des IE ja bestehen. Und ich wage mal zu bezweifeln, dass ein evtl. Patch von MS - so es denn mal kommt- bei bereits befallenen Systemen hilfreich ist... Gruß, Lutz |
Klar test ich das Teil habs nu auch laufen lassen auf beiden PCs der nicht infizierte hat auch keine rückmeldung in form von "baddie" files zurückgegeben. Schlechte Neuigkeiten aber vom bereits betroffenen PC ich konnte die batch erst ausführn so wies sich gehört. allerdings hört die nach der hälfte etwa auf mit der folgenden meldung : </font><blockquote>Zitat:</font><hr />COMMAND.COM ungültig COMMAND kann nicht geladen werden, System angehalten </font>[/QUOTE]Hat wohl mit meiner Eingabeaufforderung zu tun. Das genaue Prob kenn ich atm nicht werd mal schaun ob ich was finde Allerdings entfernt das Tool schon 3 regeinträge : class.reg </font><blockquote>Zitat:</font><hr />Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}] "MenuText"="Sun Java Konsole" "CLSID"="{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}" "ClsidExtension"="{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}] "MenuText"="@shdoclc.dll,-864" "MenuStatusBar"="@shdoclc.dll,-865" "Script"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,77,00,65,00,62,00,5c,00,72,00,65,00,6c,00,61,00,74,00,65,00,\ 64,00,2e,00,68,00,74,00,6d,00,00,00 "clsid"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}" "Icon"=",4" "HotIcon"=",4" "ButtonText"="@shdoclc.dll,-866" </font>[/QUOTE]class1.reg </font><blockquote>Zitat:</font><hr />Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}\InprocServer32] @="C:\\WINDOWS\\system32\\c_10230.dll" </font>[/QUOTE]class6.reg </font><blockquote>Zitat:</font><hr />Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}] [HKEY_CLASSES_ROOT\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F}\InprocServer32] @="C:\\WINDOWS\\system32\\c_10230.dll" </font>[/QUOTE]22 seiten naja ma schaun ob ich mich durchwühlen werde [img]smile.gif[/img] wenn du hiermit schon was anfangen kannst umso besser Nachtrag #1: shdoclc.dll scheint ne system-dll zu sein mit Einträgen die den IE betreffenn was im einzelnen die nu tut weiss ich nicht aber es scheint genug angriffspunkte zu geben c_10230.dll die scheint direkt in zusammenhang mit unserem problemchen hier zu stehen Nachtrag #2 : http://www.wilderssecurity.com/showthread.php?p=165938 bin selbst noch am lesen scheint dies hier aber genau zu treffen Nachtrag #3: http://www.spywareinfo.com/forums/in...0&#entry215180 fireflyers eintrag beschreibt den auslöser "crt32_v2.dll (or maybe C_10230.DLL)" seine registry einträge und damit die möglichkeit es zu löschen ;) nur für die leute wie mich wo seine batch nicht richtig funktioniert Soweit so gut denke damit hat sich die sache erst mal geklärt. Werd mir moin evtl nochma die threads anschauen wo der kerl sich rumtreibt ob man noch was intressantes finde. aber hiermit sollte man den trojaner finden und löschen können Bleibt nur noch auf den fix von MS zu warten und den browser zu wechseln Thomas [ 30. April 2004, 23:21: Beitrag editiert von: Olo ] |
Hallo Thomas, </font><blockquote>Zitat:</font><hr />Nachtrag #1: shdoclc.dll scheint ne system-dll zu sein mit Einträgen die den IE betreffenn was im einzelnen die nu tut weiss ich nicht...</font>[/QUOTE]Das sagt MS dazu: </font><blockquote>Zitat:</font><hr /> Shdoclc.dll (Shell Document Object and Control Library) ist eine Ressourcenbibliothek, mit deren Hilfe Internet Explorer lokalisierte Elemente (wie beispielsweise Menüs, Dialogfelder und Zeichenfolgen) speichert. </font>[/QUOTE]Quelle: http://support.microsoft.com/default...d=kb;DE;323916 Ich kann mir schon vorstellen, dass man damit allerhand 'Unfug' anstellen kann. Warum das Batch bei dir nicht durchlaufen wollte, kann ich im Moment nicht erklären. Ich habe es hier unter Win98 und XP Home getestet und hatte keine Probleme. Aber wie gesagt, ich habe auch -zum Glück- kein infiziertes System zur Hand. </font><blockquote>Zitat:</font><hr /> c_10230.dll die scheint direkt in zusammenhang mit unserem problemchen hier zu stehen</font>[/QUOTE]Das sieht mir auch nach einem Volltreffer aus. BTW: Hast Du -in Bezug auf die access[1].exe mal die Temp-Files des IE und ggf. andere Temp-Ordner geleert? In den von dir verlinkten Foren wird ja mehrfach darauf hingewiesen, dass 'irgendetwas' auf die dort befindliche access[*].exe zugreift. Gruß, Lutz |
Also Lutz, die Sache mit der Batch hängt mit einem Fehler in meinem, ja wo genau der is weiss ich nicht, jedenfalls hat die Eingabeaufforderung irgendwann mal was abbekommen was sie net vertragen hat ;) istn spezifisches Problem, denke bei allen anderen funktioniert das Teil einwandfrei. Nochmal zu den temp file die hab ich als erstes gelöscht... kann da nu nich mehr viel rausziehen |
@ Lutz: Danke für Deine Hilfe! Bei mir hat startchmfix (bis jetzt) geholfen. [img]graemlins/daumenhoch.gif[/img] - Keine Zugriffe mehr auf die von mir gesperrte IP 81.211.105.70 bzw. main.daily-news-com.com main.tibssystems.com Gefunden wurde bei mir: c_10230.dll und 2 Registry-Einträge: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F} HKEY_CLASSES_ROOT\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F} (Ich hab aber schon vorher händisch einiges an "Müll" rausgelöscht.) Grüße von RON2 |
Hallo RON2, </font><blockquote>Zitat:</font><hr />Original erstellt von RON2: ...Gefunden wurde bei mir: c_10230.dll und 2 Registry-Einträge: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F} HKEY_CLASSES_ROOT\CLSID\{869EE607-5376-486d-8DAC-EDC8E239AD5F} </font>[/QUOTE]Freut mich zu hören, dass Dir das Tool weitergeholfen hat. Ich nehme an, die o.g. Sachen hast Du entfernt?!? Gruß, Lutz |
@Lutz: </font><blockquote>Zitat:</font><hr /> Ich nehme an, die o.g. Sachen hast Du entfernt?!? </font>[/QUOTE]Hat das Tool automatisch entfernt! Zur Sicherheit hab ich das erstellte !Backup-Verzeichnis (enthält die DLL und die Registry-Einträge im Original) auf CD gebrannt! Grüße von RON2 |
</font><blockquote>Zitat:</font><hr />...Hat das Tool automatisch entfernt!</font>[/QUOTE]Ja klar, war ich wohl grad im 'falschen Film'. Sorry ;) Gruß, Lutz |
Hallo Leute, bin neu hier und besitze auch das Startpage Problem. Habe nun alle eure Beiträge gelesen. Leider verstehe ich nicht alles was da so gefachsimplt wird. Hier eine weitere Variante: Die Dateien start.chm, d1k.exe sowie d1ki.exe werden über die Windows Suche nicht entdeckt. Dafür wird mir die Datei getstart.chm gemeldet. Die Suche in der Registry ergibt allerdings, das alle 3 Dateien vorhanden sind. Habe in einem seperaten Thread das log file von HijackThis eingestellt. Ich wäre sehr dankbar, wenn mir da jemand helfen könnte. Gruß Robert |
150 EUR für Dialereinwahlen habe ich heute auf meiner Telefonrechnung gefunden. Anscheinend zur gleichen Zeit wie der Trojaner aktiv war. Ich vermute das es einen Zusammenhang gibt, kenne mich mit der Materia aber nicht aus. Hat jemand Ideen oder kann evtl. aus meinen geposteden Logs etwas herauslesen? Gruß Klaus |
Hallo Leute ! Habe eventuell eine Loesung. Unvorstellbar, sobald man in der registry den eintrag START.CHM gesucht und geloescht hat, war er im selben Augenblick wieder da. Dann habe ich mir die URL mal genau angesehen und es war ein Verweiss auf c/spe/start.chm. ich habe den ordner spe einfach geloescht und...... problem geloest. mfg |
hallo ich bin ebenso neu hier in diesem forum, aber das problem das ihr habt, hatte ich auch mal. weil mein system erst 4 tage alt war und nur ein game drauf war, habe ich neuinstalliert. zugezogen hab ich mir den mist beim suchen nach einem gamecrack. habe aber nun ein programm gefunden das saemtliche einstellungen des internet explorers auf default stellt und auch hijacker loescht. das programm heisst "browser hijack recover". vielleicht ist es jemanden von nutzen ? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board