Startseite verändert

otron · 08.04.2004

habe seit heute das gleiche problem

immer wieder kommt

mk

MSITStore:C:\WINDOWS\start.chm::/start.html

als URL-Angabe der Startseite

hijackthis, cw_shredder, sysclean alle upgedated und drüberlaufen lassen

cookies per hand gelöscht etc.

krieg es nicht weg

dabei hab ich die letzten tage nur sichere seiten besucht ....

otron · 08.04.2004

Logfile of HijackThis v1.97.7
Scan saved at 15:50:15, on 08.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Utilities\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk

MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk

MSITStore:C:\WINDOWS\start.chm::/start.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.185.255.231:80
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe -atboottime
O4 - HKCU\..\Run: [MSMSGS] C:\Program Files\Messenger\msmsgs.exe /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F7DBC9-5513-41DC-B33D-DD7095EF79B4}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{03F7DBC9-5513-41DC-B33D-DD7095EF79B4}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{03F7DBC9-5513-41DC-B33D-DD7095EF79B4}: NameServer = 192.168.0.1

otron · 08.04.2004

mir scheint, das hat was mit der folgenden IE-Sicherheitslücke zu tun

http://www.heise.de/security/news/meldung/43283

keine Ahnung ob es da schon nen patch gibt, oder ob ich da richtig liege, aber mehr konnte ich nicht finden über google zu meinem (unserem) problem

Meldung vom 31.12.2003 15:21 [<< Vorige] [Nächste >>]

Hilfefunktion des Internet Explorer hilft den Falschen

Auf der Sicherheits-Mailingliste Bugtraq hat Arman Nayyeri eine neue Schwachstelle veröffentlicht, über die es möglich ist, den Internet Explorer beliebige Programme starten zu lassen. Nach ersten Tests von heise Security funktioniert die vorgestellte Methode tatsächlich mit einem vollständig gepachten Internet Explorer 6 unter Windows XP.

Nayyeri nutzt dazu die eingebaute showhelp()-Funktion des IE, über die Windows Hilfeseiten anzeigt. Microsoft hatte die Funktion bereits im Frühjahr überarbeitet, nachdem bekannt wurde, dass Angreifer damit beliebigen Code auf dem Rechner eines IE-Nutzers ausführen konnte. Insbesondere ist es mit den aktuellen Patches nicht mehr möglich, mit showhelp() Dateien via file:// URL zu öffnen und sogenannte Shortcuts zu verwenden.

Doch Nayyeri hat herausgefunden, dass sich diese Beschränkungen über Aufrufe der Form

showHelp(mkMSITStore:iexplore.chm::..\\..\\..\\..\\chmfile.chm::/fileinchm.html);

umgehen lassen. Dies öffnet die in der Hilfedatei chmfile.chm eingebettete HTML-Seite fileinchm.html -- und zwar mit den Rechten des lokalen Systems. Mit diesen lassen sich dann quasi beliebige Aktivitäten wie das Herunterladen und Starten weiterer Programme realisieren.

Dazu muss sich die Hilfedatei bereits vorher auf dem Windows-Systemlaufwerk befinden. Es gibt jedoch auf Windows-Systemen mehrere bekannte Mechanismen, Dateien ohne Mitwirkung des Anwenders unter einem bekannten Pfad auf dessen System abzulegen. Nayyeri nutzt in seiner Demonstration den Skin-Support von Winamp (Version 1,2,5), um eine Winamp-Skin-Datei (*.wsz) unter C:\Program Files\WinAmp\skins\ abzulegen und anschließend als Hilfedatei zu öffnen. Er betont dabei, dass dies auch mit anderen Dateitypen wie ICQ-Sound-Schemes geht. Die in seiner Hilfedatei eingepackte HTML-Datei enthält ein ausführbares EXE-File, das automatisch ausgepackt und gestartet wird. Wer Nayyeris Demo-Exploit ausprobiert, sollte unbedingt vorher die Datei notepad.exe sichern, denn diese wird dabei überschrieben.

Dies ist bereits das zweite Sicherheitsloch, über das sich Nutzer des Internet Explorer trotz aller aktuellen Sicherheitsupdates auf bösartigen Web-Sites zum Beispiel Trojanische Pferde oder Dialer einhandeln können. Das andere nutzt einen Fehler in der Behandlung von MHTML-Dateien aus und ist bereits seit über einem Monat bekannt, ohne dass es dafür einen Patch gibt. Auf dem c't-Browsercheck können Sie testen, ob Ihr Browser für diese Schwachstelle anfällig ist.

Microsoft hat bislang keine Stellungnahme zu den Fehlern abgegeben, kündigte aber unabhängig davon die Veröffentlichung neuer Sicherheitspatches für den 13. Januar 2004 an. Als zusätzlichen Service bietet das Unternehmen seinen Kunden die Möglichkeit, sich am 14. Januar in einer Webcast-Sitzung (online live meeting) über technische Details der Sicherheitspatches zu informieren.

Flöckchen · 08.04.2004

otron schrieb:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein Patchstand ist veraltet. Mal WindowsUpdate machen.

Running Processes:
C:\Program Files\Internet Explorer\iexplore.exe

Der soll aber bei der Überprüfung ausgeschaltet sein.

Folgendes fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk

MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk

MSITStore:C:\WINDOWS\start.chm::/start.html

Danach auch mal schauen, ob du die Dateien im Windows Verzeichnis findest und dementsprechend dann löschen.
Ob es dein Problem beheben wird, das kann ich dir nicht sagen, konnte ebenfalls nicht wirklich viele Infos dazu finden.

otron · 08.04.2004

hab das Problem bisher noch nicht in den Griff bekommen

alle WinXP - Updates gemacht und alle nur halbwegs nicht identifizierbaren Dinge im HijackThis - Log gelöscht ....

allerdings sind alle Startseiten, die ich so im Wechsel angezeigt bekomme von diesem tollen hijacker mit der seite www. **ster-s**rch.com verlinkt

wenn ich jetzt auf:

www. **ster-s**rch.com

gehe, dann erscheint nur folgender text:

Having problems?
Please use this utility for the removal

Please wait up to 2 hours for the removal process to complete.

durch anklicken des Textes Please use this utility for the removal
läd man eine Datei namens remove.exe runter

nur die jetzt ausführen und dann 2 Stunden warten ^^

was macht diese Datei dann wohl in den 2 Stunden ????

hmm, ich wills lieber nicht probieren

naja, noch steh ich doof da und suche mal weiter ....

falls jemand ne Idee hat ...

Links editiert

Flöckchen · 08.04.2004

Hat sich denn dein Log von HijackThis mittlerweile geändert?

otron · 09.04.2004

es ist kleiner geworden:

Logfile of HijackThis v1.97.7
Scan saved at 00:39:23, on 09.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Utilities\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\start.html
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38085.498587963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F7DBC9-5513-41DC-B33D-DD7095EF79B4}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{03F7DBC9-5513-41DC-B33D-DD7095EF79B4}: NameServer = 192.168.0.1

die beiden hab ich schon 100x rausgehauen, aber die kommen immer wieder ^^

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\start.html

ansonsten hab ich alles gemacht, was mir eingefallen ist. alle *.tmp gelöscht, alle cookies die auf dem kompletten rechner waren, alle gängigen anti-spy progs / ad-awares / xp-cleans / antivir etc. laufen lassen

alle unbekannte registrys gekilled.

alle index.dat files 40x überschrieben

alle möglichen dateien per hand gelöscht und neu gebooted etc.

bin echt ratlos

das einzige was mir hoffnung macht ist, daß ich nicht der einzige bin und irgendwann irgendjemand sicher was dagegen erfinden wird ^^

otron · 09.04.2004

wen es interessiert, es gibt schon nen paar neue fälle und andere foren in denen man ratlos ist ^^

http://www.spywareinfo.com/forums/index.php?s=4f8c90910e70a5e48ece3bd4d78454b3&showtopic=38765

http://www.spywareinfo.com/forums/index.php?s=4f8c90910e70a5e48ece3bd4d78454b3&showtopic=38722

http://www.pcguide.com/vb/showthread.php?s=&threadid=28901

Al Bundy · 09.04.2004

die beiden hab ich schon 100x rausgehauen, aber die kommen immer wieder ^^

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\start.html

Nicht nur die Einträge fixen sondern auch die Dateien ( C:\WINDOWS\start.html ) löschen!

otron · 09.04.2004

das hab ich auch schon 100x gemacht ;D

ich bin der meinung es ist ne neue geschichte, die seit 2-3 Tagen grassiert

mal abwarten was kommt ^^

otron · 09.04.2004

und mal wieder nen interessanter Threas aus dem CHIP - Forum

http://www.chip.de/forum/thread.html?bwthreadid=618751

anscheinend nutzt der neue hijack die sicherheitslücke, die ich oben bereits beschrieben habe, nen mittel dagegen gibts anscheinend bisher nicht, außer:

Posting von ixus
Zur Lösung des Problems:
Microsoft ist das Problem bekannt - ein Patch wurde bisher nicht bereitgestellt.
Die Deaktivierung von ActiveX und ActiveScripting reicht zur Behebung des Problems
nicht aus. Bis zur Bereitstellung eines Patches rät CERT als Sofortmaß-
nahme zu einer Deaktivierung der betreffenden Protocol-Handler (ms-its, its, mk),
die sich hier finden:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\
Danach kann/wird es zu Funktionsstörungen des Help- und Support-Centers
von Windows kommen, evtl. Fehlfunktionen bei der Darstellung aller help-Files.
Auch ein Browserwechsel soll in Betracht gezogen werden, obwohl es theoretisch
möglich ist, daß ein anderer Browser den IE dazu veranlassen kann, ITS-protocol-
URLs anzuzeigen.

Also nicht gerade eine zufriedenstellende Lösung, aber zumindest die Ursache.

Zitat korrigiert

Al Bundy · 09.04.2004

Da gibt es ne einfachere Empfehlung von mir.

Einen Browser benutzen der solche Manipulationen nicht gestattet.

Startseite verändert

otron

otron

otron

Flöckchen

otron

Flöckchen

otron

otron

Al Bundy

otron

otron

Al Bundy

Startseite verändert

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums