Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: mk:@MSITStore:C:\spe\start.chm::/start.html# ???

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.10.2004, 20:33   #1
eselvormberg
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



hallo

hab ein dickes problem

mir wird als startseite immer "mk:@MSITStore:C:\spe\start.chm::/start.html#" angezeigt.

habe ANTIVIR durchlaufen lassen.

wird mir leider keine Report datei angezeigt, warum weiss ich nicht.

hab die dateien beim 2. mal mitgeschrieben:

ifo6_s.cab hab ich unter windows gefunden : ifo6_s als zip datei, hab ich mal gelöscht

explorer.cab auch unter windows als zip datei gefunden, auch gelöscht.

die folgenden hab ich nicht wirklich gefunden:

rbbad.cab
cjnf.dat
hiib.dat
lilh.dat
jpdm.dat
lhil.dat
nij.dat
kipp.dat
fpam.dat
ocfi.dat

hat irgendwer ne ahnung wie ich das zeugs wieder loskriege?

schreibt bitte in normalem deutsch, mit begriffen wie fixen, booten, hijack logfile erstellen etc. kann ich nicht viel anfangen.....

Alt 22.10.2004, 20:38   #2
Lidius
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html (dort wird dir genau erklärt was du machen musst)

und poste das log hier
__________________


Alt 22.10.2004, 21:46   #3
warhawk
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Ausrufezeichen

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



Zitat:
Zitat von eselvormberg
hallo

hab ein dickes problem

mir wird als startseite immer "mk:@MSITStore:C:\spe\start.chm::/start.html#" angezeigt.
Endlich, bitte schick mir unbedingt ein Spybot Report. Ich hab schon so vielen
Leuten zurueck geschrieben, dass ich ein Logfile brauche, damit ich die Ursache herausfinden kann.

Gruss
Michael
__________________

Alt 22.10.2004, 22:06   #4
eselvormberg
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



danke hab den hijack laufen lassen hier der logfile:

Logfile of HijackThis v1.98.2
Scan saved at 23:06:02, on 22.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\MSG32.EXE
C:\PROGRAMME\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SLLIGHTS.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
R3 - Default URLSearchHook is missing
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Betfair Bar - {1D62BD48-16F6-4004-A54A-3C41E4955A87} - C:\Programme\Betfair\BFTool_4.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN TOOLBAR\01.01.1601.0\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EW Message Server] msg32.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Inet Delivery] C:\Programme\Inet Delivery\INTDEL_2.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [cyberfree.exe] C:\WINDOWS\TEMP\HIOO.DAT
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo -aim
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\ZUBEHöR\YAW 3.5\fast.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\REALDOWNLOAD.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Corel Network monitor worker - {D1B2A9E8-D5B5-4F38-92FE-6DE5754B1FA5} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {D1B2A9E8-D5B5-4F38-92FE-6DE5754B1FA5} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {D1B2A9E8-D5B5-4F38-92FE-6DE5754B1FA5} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {D1B2A9E8-D5B5-4F38-92FE-6DE5754B1FA5} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {AE7E5F20-35C3-11D2-A16C-006008662F80} (Internet-Banking) - https://www.onlinebankservice.de/brokat/srwgib187.cab
O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://delivery.inet-traffic.com/intdel.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O16 - DPF: {4E6F9E15-C8E3-4E19-B987-04EF390E9824} - http://www.betfair.com/install/setup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/adv74/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330994.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://muhard.com/files/youstas/vide...:/videobox.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - ms-its:mhtml:file://C:\\MAIN.MHT!http://67.19.178.84//o//w2//i//ne2.chm::/loader.exe
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\SYSTEM\MSXWORD.DLL (file missing)
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}


so hoffe ihr könnt damit etwas anfangen

Alt 22.10.2004, 22:16   #5
*Christian*
Gast
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



Scanne zuerst mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Es könnte sein, dass du ein, zwei Backdoors drauf hast.


Alt 22.10.2004, 23:00   #6
eselvormberg
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



hier ist ja ne beschreibung wie man im abgesicherten modus startet:

http://www.bsi.de/av/texte/wiederher_me.htm

ganz unten steht:

Das geschieht in folgenden Schritten.

Neustart des Computers.
Während des Neustarts, "Strg"-Taste gedrückt halten bis das Windows Me Startmenü erscheint.
Windows Me im "abgesicherten Modus starten" auswählen und mit "Enter"-Taste bestätigen
----
nur bei mir kann ich nirgends "abgesicherter modus starten" auswählen!?

Alt 22.10.2004, 23:21   #7
Shadowdance
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



Hallo eselvormberg,

das sieht ja interessant aus. Na dann fangen wir mal an ;-)

Spybot-Forschung: arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Report und sende ihn an detections@spybot.info, mit dem Betreff "start.html#-TBOARD" mit Verweis auf diesen Thread.

Melde Dich, wenn Du damit fertig bist.

SD

Alt 23.10.2004, 00:32   #8
eselvormberg
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



so habs jetzt doch geschafft in den gesicherten modus und eScan laufen lassen

30 verdächtige
11 gelöscht

als über 10 minuten keine dateien mehr gescannt wurden, hab ich abgebrochen, konnte aber kein logfile speichern.

danach konnte ich die startseite immer noch nicht neu festlegen

@ shadowdance , danach schau ich morgen mittag, geh jetzt ins bett

Geändert von eselvormberg (23.10.2004 um 16:37 Uhr)

Alt 23.10.2004, 16:36   #9
eselvormberg
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



@shadowdance und warhawk
ok hab die spybot report datei an eure e-mail geschickt

Alt 23.10.2004, 17:40   #10
warhawk
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Icon27

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



Zitat:
Zitat von eselvormberg
@shadowdance und warhawk
ok hab die spybot report datei an eure e-mail geschickt
Jo, die eMail ist angekommen.

Kann es sein, dass auf deinem Rechner der DSO und/oder CHM Exploit
noch nicht gefixed ist?

Gruss
Michael

Alt 23.10.2004, 19:12   #11
eselvormberg
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



was ist der DSO?
was ist der CHM Exploit?

was bedeutet gefixt?

Alt 23.10.2004, 21:56   #12
warhawk
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Icon31

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



Zitat:
Zitat von eselvormberg
was ist der DSO?
was ist der CHM Exploit?

was bedeutet gefixt?
Der "DSO-Exploit" ermöglicht es einem Webseiten-Programmierer eine beliebige Datei auf Deinem Rechner auszuführen. Das ist eine Sicherheitslücke im InternetExplorer..

DSO : http://www.greymagic.com/security/advisories/gm001-ie/

Deswegen sollte man immer versuchen die Sicherheits (fixe)updates einzuspielen um die aktuellen Luecken zu schliessen. Leider kann ein Update auch neue Fehler verursachen.

Und mein persoenlicher Tipp ist auch, dass man sich nach Alternativen umschaut, wieso zum Beispiel den Internet Explorer benutzen... Es gibt alternativen, die zwar weniger Verbreitung, aber auch weniger Beachtung
bei Leuten findet, die in ein System einbrechen wollen.


Gruss
Michael

Alt 24.10.2004, 17:17   #13
eselvormberg
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



ich denke ich bins mit spybot losgeworden, danke nochmals

Alt 25.10.2004, 04:06   #14
Shadowdance
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



@ eselvormberg

erstelle bitte ein neues Hijack This Logfile und poste es.

SD

Alt 28.10.2004, 11:57   #15
NTRX
 
mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - Standard

mk:@MSITStore:C:\spe\start.chm::/start.html# ???



Alles scheinbar ganz einfach!!! Löscht einfach den Ordner "spe" auf eurer Festplatte und schon ist der ganze Mist weg!
Hat bei mir funktioniert!
Spybot allerdings nicht!
Na ja, gut, dafür hat Spybot so 100 andere Programme gekillt!
Grüße aus Kiel!!!

Antwort

Themen zu mk:@MSITStore:C:\spe\start.chm::/start.html# ???
.html, ahnung, als startseite, antivir, begriffe, booten, datei, dateien, deutsch, dickes, erstelle, erstellen, fixen, folge, folgende, folgenden, gefunde, hijack, hijack logfile, logfile, normalem, report, seite, startseite, unter, warum, windows, wirklich, zip datei



Ähnliche Themen: mk:@MSITStore:C:\spe\start.chm::/start.html# ???


  1. Bei Firefox start -> resource://firefox.abs.avira.com/html/blocked.html
    Log-Analyse und Auswertung - 21.09.2014 (9)
  2. Start-Search.com (Start Search) entfernen
    Anleitungen, FAQs & Links - 13.05.2014 (2)
  3. Max-Start.com (Max Start) entfernen
    Anleitungen, FAQs & Links - 13.05.2014 (2)
  4. GUV-Trojaner; Start in abgesichertem Modus nicht möglich; Start von FRST nicht möglich
    Log-Analyse und Auswertung - 20.12.2013 (1)
  5. cmd.exe bei win start
    Log-Analyse und Auswertung - 06.08.2012 (1)
  6. Trojan.Start.Page & Hijack.Start.Page
    Log-Analyse und Auswertung - 24.06.2012 (1)
  7. HEUR/HTML.Malware [heuristic] !Anzeige beim Start von Mozilla
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (5)
  8. Pc Start
    Log-Analyse und Auswertung - 09.05.2006 (18)
  9. Nach dem Start
    Alles rund um Windows - 12.04.2006 (2)
  10. Vor dem Start
    Alles rund um Windows - 16.03.2006 (11)
  11. Start-Cd
    Alles rund um Windows - 04.12.2005 (5)
  12. >>> Start >>> Ausführen....
    Alles rund um Windows - 14.07.2005 (8)
  13. xp start
    Alles rund um Windows - 03.03.2005 (4)
  14. XP-Start
    Alles rund um Windows - 23.12.2004 (1)
  15. sp.html immer beim start bitte hilfe
    Log-Analyse und Auswertung - 12.11.2004 (4)
  16. CWS Variante myexexex.com | ../spad/start.html
    Plagegeister aller Art und deren Bekämpfung - 28.05.2004 (0)
  17. Browser HiJacking a la 'start.htm' und 'start.chm'
    Plagegeister aller Art und deren Bekämpfung - 20.04.2004 (1)

Zum Thema mk:@MSITStore:C:\spe\start.chm::/start.html# ??? - hallo hab ein dickes problem mir wird als startseite immer "mk:@MSITStore:C:\spe\start.chm::/start.html#" angezeigt. habe ANTIVIR durchlaufen lassen. wird mir leider keine Report datei angezeigt, warum weiss ich nicht. hab die dateien - mk:@MSITStore:C:\spe\start.chm::/start.html# ???...
Archiv
Du betrachtest: mk:@MSITStore:C:\spe\start.chm::/start.html# ??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.