mk:@MSITStore:C:\spe\start.chm::/start.html# ???

eselvormberg · 22.10.2004, 20:33

hallo

hab ein dickes problem

mir wird als startseite immer "mk:@MSITStore:C:\spe\start.chm::/start.html#" angezeigt.

habe ANTIVIR durchlaufen lassen.

wird mir leider keine Report datei angezeigt, warum weiss ich nicht.

hab die dateien beim 2. mal mitgeschrieben:

ifo6_s.cab hab ich unter windows gefunden : ifo6_s als zip datei, hab ich mal gelöscht

explorer.cab auch unter windows als zip datei gefunden, auch gelöscht.

die folgenden hab ich nicht wirklich gefunden:

rbbad.cab
cjnf.dat
hiib.dat
lilh.dat
jpdm.dat
lhil.dat
nij.dat
kipp.dat
fpam.dat
ocfi.dat

hat irgendwer ne ahnung wie ich das zeugs wieder loskriege?

schreibt bitte in normalem deutsch, mit begriffen wie fixen, booten, hijack logfile erstellen etc. kann ich nicht viel anfangen.....

Lidius · 22.10.2004, 20:38

Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html (dort wird dir genau erklärt was du machen musst)

und poste das log hier

warhawk · 22.10.2004, 21:46

Zitat:

Zitat von eselvormberg

hallo

hab ein dickes problem

mir wird als startseite immer "mk:@MSITStore:C:\spe\start.chm::/start.html#" angezeigt.

Endlich, bitte schick mir unbedingt ein Spybot Report. Ich hab schon so vielen
Leuten zurueck geschrieben, dass ich ein Logfile brauche, damit ich die Ursache herausfinden kann.

Gruss
Michael

eselvormberg · 22.10.2004, 22:06

danke hab den hijack laufen lassen hier der logfile:

Logfile of HijackThis v1.98.2
Scan saved at 23:06:02, on 22.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\MSG32.EXE
C:\PROGRAMME\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SLLIGHTS.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
R3 - Default URLSearchHook is missing
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Betfair Bar - {1D62BD48-16F6-4004-A54A-3C41E4955A87} - C:\Programme\Betfair\BFTool_4.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN TOOLBAR\01.01.1601.0\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EW Message Server] msg32.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Inet Delivery] C:\Programme\Inet Delivery\INTDEL_2.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [cyberfree.exe] C:\WINDOWS\TEMP\HIOO.DAT
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo -aim
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\ZUBEHöR\YAW 3.5\fast.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\REALDOWNLOAD.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Corel Network monitor worker - {D1B2A9E8-D5B5-4F38-92FE-6DE5754B1FA5} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {D1B2A9E8-D5B5-4F38-92FE-6DE5754B1FA5} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {D1B2A9E8-D5B5-4F38-92FE-6DE5754B1FA5} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {D1B2A9E8-D5B5-4F38-92FE-6DE5754B1FA5} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {AE7E5F20-35C3-11D2-A16C-006008662F80} (Internet-Banking) - https://www.onlinebankservice.de/brokat/srwgib187.cab
O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://delivery.inet-traffic.com/intdel.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O16 - DPF: {4E6F9E15-C8E3-4E19-B987-04EF390E9824} - http://www.betfair.com/install/setup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/adv74/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330994.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://muhard.com/files/youstas/vide...:/videobox.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - ms-its:mhtml:file://C:\\MAIN.MHT!http://67.19.178.84//o//w2//i//ne2.chm::/loader.exe
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\SYSTEM\MSXWORD.DLL (file missing)
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

so hoffe ihr könnt damit etwas anfangen

22.10.2004, 22:16

Scanne zuerst mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Es könnte sein, dass du ein, zwei Backdoors drauf hast.

eselvormberg · 22.10.2004, 23:00

hier ist ja ne beschreibung wie man im abgesicherten modus startet:

http://www.bsi.de/av/texte/wiederher_me.htm

ganz unten steht:

Das geschieht in folgenden Schritten.

Neustart des Computers.
Während des Neustarts, "Strg"-Taste gedrückt halten bis das Windows Me Startmenü erscheint.
Windows Me im "abgesicherten Modus starten" auswählen und mit "Enter"-Taste bestätigen
----
nur bei mir kann ich nirgends "abgesicherter modus starten" auswählen!?

Shadowdance · 22.10.2004, 23:21

Hallo eselvormberg,

das sieht ja interessant aus. Na dann fangen wir mal an ;-)

Spybot-Forschung: arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Report und sende ihn an detections@spybot.info, mit dem Betreff "start.html#-TBOARD" mit Verweis auf diesen Thread.

Melde Dich, wenn Du damit fertig bist.

SD

eselvormberg · 23.10.2004, 00:32

so habs jetzt doch geschafft in den gesicherten modus und eScan laufen lassen

30 verdächtige
11 gelöscht

als über 10 minuten keine dateien mehr gescannt wurden, hab ich abgebrochen, konnte aber kein logfile speichern.

danach konnte ich die startseite immer noch nicht neu festlegen

@ shadowdance , danach schau ich morgen mittag, geh jetzt ins bett

eselvormberg · 23.10.2004, 16:36

@shadowdance und warhawk
ok hab die spybot report datei an eure e-mail geschickt

warhawk · 23.10.2004, 17:40

Zitat:

Zitat von eselvormberg

@shadowdance und warhawk
ok hab die spybot report datei an eure e-mail geschickt

Jo, die eMail ist angekommen.

Kann es sein, dass auf deinem Rechner der DSO und/oder CHM Exploit
noch nicht gefixed ist?

Gruss
Michael

eselvormberg · 23.10.2004, 19:12

was ist der DSO?
was ist der CHM Exploit?

was bedeutet gefixt?

warhawk · 23.10.2004, 21:56

Zitat:

Zitat von eselvormberg

was ist der DSO?
was ist der CHM Exploit?

was bedeutet gefixt?

Der "DSO-Exploit" ermöglicht es einem Webseiten-Programmierer eine beliebige Datei auf Deinem Rechner auszuführen. Das ist eine Sicherheitslücke im InternetExplorer..

DSO : http://www.greymagic.com/security/advisories/gm001-ie/

Deswegen sollte man immer versuchen die Sicherheits (fixe)updates einzuspielen um die aktuellen Luecken zu schliessen. Leider kann ein Update auch neue Fehler verursachen.

Und mein persoenlicher Tipp ist auch, dass man sich nach Alternativen umschaut, wieso zum Beispiel den Internet Explorer benutzen... Es gibt alternativen, die zwar weniger Verbreitung, aber auch weniger Beachtung
bei Leuten findet, die in ein System einbrechen wollen.

Gruss
Michael

eselvormberg · 24.10.2004, 17:17

ich denke ich bins mit spybot losgeworden, danke nochmals

Shadowdance · 25.10.2004, 04:06

@ eselvormberg

erstelle bitte ein neues Hijack This Logfile und poste es.

SD

NTRX · 28.10.2004, 11:57

Alles scheinbar ganz einfach!!! Löscht einfach den Ordner "spe" auf eurer Festplatte und schon ist der ganze Mist weg!
Hat bei mir funktioniert!
Spybot allerdings nicht!
Na ja, gut, dafür hat Spybot so 100 andere Programme gekillt!

Grüße aus Kiel!!!

22.10.2004, 22:16	#5
Christian Gast	$mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard$ mk:@MSITStore:C:\spe\start.chm::/start.html# ??? Scanne zuerst mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/42731-escan-anleitung.html Es könnte sein, dass du ein, zwei Backdoors drauf hast.

mk:@MSITStore:C:\spe\start.chm::/start.html# ???

Plagegeister aller Art und deren Bekämpfung: mk:@MSITStore:C:\spe\start.chm::/start.html# ???