Home » Spyware & Browser Hijacker Support Forum » mk:@MSITStore:C:\spe\start.chm::/start.html » Themenansicht
mk:@MSITStore:C:\spe\start.chm::/start.html |
||
|---|---|---|
| #0
| ||
|
06.09.2004, 22:52
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
07.09.2004, 08:13
Moderator
 Beiträge: 6466 |
#2
Das Log ist vermutlich unvolständig, aber Du kannst es mal damit versuchen, dass Du folgendes fixst. AOL/Browser zuvor schließen und den PC nach dem fixen rebooten, erneut kontrollieren.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=0&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=0&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=0&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=0&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=0&q= __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
07.09.2004, 11:43
...neu hier
Themenstarter Beiträge: 2 |
#3
hi Joschi,
dank deines Tipps konnte ich die Hijacker entfernen. Jetzt würde ich mich gern besser gegen solche Attacken schützen. Wie kann ich das tun? |
|
|
|
|
|
|
07.09.2004, 12:16
Member
Beiträge: 38 |
#4
1. XP immer auf dem neuesten Stand halten (updaten
2. Weniger anfälligen Browser verwenden: Mozilla Firefox: http://firebird-browser.de/ die "große" Mozilla-Suite inkl. Mailprogramm etc. ist für dich als AOL-Kunden wohl nicht so interessant. 3. Oder zumindest den Internet Explorer sicherer konfigurieren: http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm Auch der AOL-Browser ist der Internet-Explorer. Damit vermeidest du Hijacker, jedoch keine anderen Schädlinge, das ist ein anderes Thema, Einstieg: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html |
|
|
|
|
|
|
07.09.2004, 13:20
Member
Beiträge: 1095 |
#5
@streicher
Poste bitte nach einem Neustart das Logfile nocheinmal Dein original Logfile sieht so kurz aus. Das ist nicht normal Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 07.09.2004 um 13:25 Uhr von paff editiert.
|
|
|
|
|
|
|
04.10.2004, 20:25
...neu hier
Beiträge: 1 |
#6
HIer ist mal mein Logfile. Kann mir bitte einer Helfen. Habe schon mindestens 7 Programme ausprobiert aber nichts ging. Das ist von Hijackthis:
Logfile of HijackThis v1.98.2 Scan saved at 20:22:11, on 04.10.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE C:\PROGRAMME\ICQLITE\ICQLITE.EXE C:\PROGRAMME\VALVE\STEAM\STEAM.EXE C:\PROGRAMME\AOL 9.0\AOLTRAY.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\DESKTOP\ORDNER\DOWNLOAD\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\starter.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [cyberfree.exe] C:\WINDOWS\TEMP\DGED.DAT O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE" O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Corel Network monitor worker - {5167B3A2-8963-467F-924D-253B22FF71E1} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5167B3A2-8963-467F-924D-253B22FF71E1} - (no file) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra button: Corel Network monitor worker - {5167B3A2-8963-467F-924D-253B22FF71E1} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5167B3A2-8963-467F-924D-253B22FF71E1} - (no file) (HKCU) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q= |
|
|
|
|
|
|
05.10.2004, 09:35
Member
Beiträge: 1095 |
#7
@labfire
Bitte lade dir ESCAN Entpacken und updaten wie angegeben Deinen Virenscanner updaten AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!! Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O4 - HKLM\..\Run: [cyberfree.exe] C:\WINDOWS\TEMP\DGED.DAT O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q= Danach mit Escan wie oben angegeben scannen Dann mit deinen Virenscanner alle Festplatten scannen Das dauert eine Weile  Dann neustart machen und nochmal Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
05.10.2004, 20:56
...neu hier
Beiträge: 1 |
#8
Hi leute
habe nun auch das Problem mk:@MSITStore:C:\spe\start.chm::/start.html# hab ich da auf den falschen Seiten gesurft ? *g* wollte fragen ob mir jemand Punkt für Punkt erklären kann was ich nun tun kann um das wieder zu entfernen und das nicht wieder zu erhalten aber wenn es geht bitte erklärt es mir so einfach wie möglich!! kenn mich nämlich überhaupt nicht aus!! Bin in Sachen Pc der absolute Anfänger ! Danke im Vorraus Hussi |
|
|
|
|
|
|
06.10.2004, 02:50
Ehrenmitglied
 Beiträge: 29434 |
#9
Hallo @Hussi
1. HijackThis: http://www.downloads.subratam.org/hijackthis.zip Lade das Tool, scann, save und kopiere das Log ins Forum Nun oeffne noch mal das HijackThis: 2. HijackThis<Config List also minor sections (full) --««Haekchen setzen List empty sections (complete) --««Haekchen setzen HijackThis<Config<MiscTools<Generate StartupListlog (es oeffnet sich das Notepad, nun das Log abkopieren und posten) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.10.2004 um 02:51 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.10.2004, 13:03
...neu hier
Beiträge: 1 |
#10
Hey!
Also, Hussi.......auf der falschen Seite gesurft....ja!  Aber ist kein großes Problem, lösch einfach den Ordner "spe" auf deiner Festplatte und hinfort mit dem Mist! Hat jedenfalls bei mir geklappt! Was wohl bedeuted, daß ich auch auf der falschen Seite war......... Grüße aus Kiel, NTRX |
|
|
|
|
|
|
28.10.2004, 13:47
Moderator
Beiträge: 6466 |
||
|
|
|
|
|
14.11.2004, 07:44
...neu hier
Beiträge: 1 |
#12
Hi
1. ich hatte auch ein problem mit der startseite (mk:@MSITStore:C:\spe\start.chm::/start.html#) dann habe ich den spe folder in c gelöscht habe ich dann den hijacker laufen lassen und ein paar unschöne punkte gelöscht nun ist es wieder in ordnung!!! ABER habe den escan laufen lassen und habe 5 trojaner drauf File C:\WINDOWS\SYSCOM.dll infected by "TrojanDownloader.Win32.Small.zq" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\SYSCOM.dll infected by "TrojanDownloader.Win32.Small.zq" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Temp\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken. File C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Temp\ojad.dat infected by "Trojan.Win32.StartPage.od" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Dominik\Lokale Einstellungen\Temp\perfectnavUninstall.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. was nun??? danke |
|
|
|
|
|
|
14.11.2004, 09:07
Moderator
Beiträge: 6466 |
#13
Als erste Maßnahme könntest Du im abgesicherten Modus booten und einen Virenscanner laufen lassen, bzw diesen dann installieren und dann die komplette Festplatte prüfen.
www.freeav.de wäre hier zu empfehlen. Poste hier noch ein Hijackthis-Log. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
14.11.2004, 11:26
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@perlit
HijackThis: <zip< http://www.downloads.subratam.org/hijackthis.zip HijackThis-->Config-->Misc Tools-->Delete a file on reboot kopiere rein: C:\WINDOWS\SYSCOM.dll PC neustarten Das machst du mit allem, was der eScan angezeigt hat. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.11.2004 um 11:27 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe gleich 2 Probleme mit Hijackern.
Zum einen hat mein Internet Explorer jetzt die Startseite : mk:@MSITStore:C:\spe\start.chm::/start.html#
und bei meinem Aol Browser gelange ich immer wieder auf die Seite: http://www.heretofind.com/show.php?id=0&q=
Wär echt cool, wenn mir jemand helfen könnte.
Hier ist die Log file von HijackThis:
Logfile of HijackThis v1.97.7
Scan saved at 22:44:59, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Anwendungen\ICQLite\ICQ\ICQLite.exe
C:\Anwendungen\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Familie Streichsbier\Eigene Dateien\Eigene Dokumente\Chrissi\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=0&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=0&q=
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 205.188.146.146