mshta.lgc
- Ersteller na_fets
- Erstellt am
technofreak
Forenveteran
na_fets schrieb:
Dann poste doch mal den Text, wenn er zu lang sein sollte, wenigstens auszugsweise
nur aus dem Namen eines Files läßt sich in der Regel nicht viel sagen. Die einzige Info
über Google ist in französisch, und da hapert es mit der Sprache....
die Endung *.lgc deutet auf ein Log File:
http://filext.com/detaillist.php?extdetail=LGC
Es hat möglicherweise etwas mit einem Wurm zu tun, wobei es eine große Zahl von Treffern
für mshta.exe gibt , das eine Standarddatei im Ordner System32 ist
tf
Counselor
Gesperrt
MSHTA ist der Host für HTA-Webanwendungen. Betreffend der Web.exe und MSHTA gab es hier schon mal eine Diskussion:
http://forum.computerbetrug.de/viewtopic.php?p=36609#36609
http://forum.computerbetrug.de/viewtopic.php?p=36609#36609
Hier ein Auszug (leicht gekürzt):
{
o d8cdc490 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdc490 0 40
R d8cdc490 e0 f8
R d8cdc490 e0 170
R d8cdc490 5c00 400
R d8cdc490 4400 e00
R d8cdc490 400 1000
R d8cdc490 400 1000
R d8cdc490 4400 e00
o d8cdc3b0 1e72 "C:\WINDOWS\WIN.INI"
R d8cdc3b0 0 1e72
C d8cdc3b0
R d8cdc490 1400 1000
R d8cdc490 5200 a00
R d8cdc490 0 400
R d8cdc490 2400 1000
R d8cdc490 3400 1000
o d8a6db00 2a8600 "C:\WINDOWS\SYSTEM\MSHTML.DLL"
R d8a6db00 264400 1000
o c17426b0 47035 "C:\WINDOWS\SYSTEM\MSVCRT.DLL"
R c17426b0 3a000 1000
R c17426b0 3a000 1000
R c17426b0 34000 1000
R c17426b0 34000 1000
R c17426b0 3b000 600
o c1742580 60a00 "C:\WINDOWS\SYSTEM\SHLWAPI.DLL"
R c1742580 53400 1000
R c1742580 54400 1000
R c1742580 55400 1000
R c1742580 56400 1000
R c1742580 53400 1000
R c1742580 400 1000
R c1742580 400 1000
R c17426b0 36000 1000
R c17426b0 37000 1000
R c17426b0 39000 1000
R c17426b0 38000 1000
R d8a6db00 264400 1000
R d8a6db00 400 1000
R d8a6db00 400 1000
R d8a6db00 265400 1000
R d8a6db00 266400 1000
R c1742580 57400 1000
R c1742580 58400 1000
R c1742580 59400 200
R c17426b0 3c000 1000
R c17426b0 35000 1000
R c17426b0 42000 e00
R c17426b0 3d000 1000
o c1745b30 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL"
R c1745b30 ae000 1000
R c1745b30 b3000 1000
R d8a6db00 86400 1000
R d8a6db00 3400 1000
o c173eb00 31f3 "C:\WINDOWS\SYSBCKUP\VER.DLL"
R c173eb00 2f5 100
R c173eb00 2f5 100
o d8cdda50 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 d0 40
R d8cdda50 d0 c4
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 4
R d8cdeff0 0 0
C d8cdeff0
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 1000
R d8cdeff0 4d0000 1000
C d8cdeff0
C d8cdda50
o d8cdda50 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 d0 40
R d8cdda50 d0 c4
o d8cdf040 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdf040 0 4
R d8cdf040 0 0
C d8cdf040
o d8cdf040 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdf040 0 1000
R d8cdf040 4d0000 1000
C d8cdf040
C d8cdda50
o d8cdda50 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 d0 40
R d8cdda50 d0 c4
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 4
R d8cdeff0 0 0
C d8cdeff0
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 1000
R d8cdeff0 4d0000 1000
C d8cdeff0
C d8cdda50
R c1742580 a400 1000
R d8a6db00 1d8400 1000
R d8a6db00 1d9400 1000
R d8a6db00 15400 1000
o d8a3a660 1800 "C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\LGWNDHK.DLL"
R d8a3a660 a00 400
R d8a3a660 a00 400
R d8a3a660 e00 200
R d8a6db00 1da400 1000
R c1745b30 b4000 1000
o c1746520 53000 "C:\WINDOWS\SYSTEM\RPCRT4.DLL"
R c1746520 4c000 800
R c1745b30 b0000 1000
R c1745b30 b1000 1000
o d8a36450 5c00 "C:\PROGRA~1\GEMEIN~1\LOGITECH\SCROLL~1\LGMSGHK.DLL"
R d8a36450 3800 1000
R d8a36450 4800 400
o d89f7450 62036 "C:\WINDOWS\SYSTEM\MSVCP60.DLL"
R d89f7450 5a000 1000
R d89f7450 59000 1000
R d89f7450 53000 1000
R d89f7450 5c000 1000
R d8a36450 4c00 200
o d8cdda50 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 e0 40
R d8cdda50 e0 c4
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 4
R d8cdf040 0 0
C d8cdf040
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 1000
R d8cdf040 5000 1000
C d8cdf040
C d8cdda50
o d8cdda50 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 e0 40
R d8cdda50 e0 c4
o d8cdeff0 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdeff0 0 4
R d8cdeff0 0 0
C d8cdeff0
o d8cdeff0 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdeff0 0 1000
R d8cdeff0 5000 1000
C d8cdeff0
C d8cdda50
o d8cdda50 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 e0 40
R d8cdda50 e0 c4
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 4
R d8cdf040 0 0
C d8cdf040
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 1000
R d8cdf040 5000 1000
C d8cdf040
C d8cdda50
R d89f7450 5d000 800
R d89f7450 2d000 1000
o d8cdda50 17a "C:\PROGRA~1\GEMEIN~1\LOGITECH\SCROLL~1\SCRSPLCS.INI"
R d8cdda50 0 1000
R d8cdda50 17a 1000
C d8cdda50
R d8a6db00 20400 1000
R d8a6db00 1db400 1000
R d8a6db00 f4400 1000
o d8a495b0 76600 "C:\WINDOWS\SYSTEM\URLMON.DLL"
R d8a495b0 55400 1000
R d8a495b0 55400 1000
R d8a6db00 fd400 1000
o c17490b0 90400 "C:\WINDOWS\SYSTEM\WININET.DLL"
R c17490b0 75400 1000
o c1749440 5b110 "C:\WINDOWS\SYSTEM\CRYPT32.DLL"
R c1749440 49600 1000
R c1749440 4a600 1000
o c1749670 25000 "C:\WINDOWS\SYSTEM\MSOSS.DLL"
R c1749670 20000 1000
R c1749670 20000 1000
R c1749440 600 1000
R c1749670 21000 600
o c17459c0 e3000 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL"
R c17459c0 85000 1000
R c17490b0 18400 1000
R c17490b0 19400 1000
o c1742430 156f10 "C:\WINDOWS\SYSTEM\SHELL32.DLL"
R c1742430 82600 1000
R c1742430 81600 1000
o d89fa640 5800 "C:\WINDOWS\SYSTEM\SHFOLDER.DLL"
R d89fa640 1400 1000
R c17490b0 3400 1000
o c1745870 a000 "C:\WINDOWS\SYSTEM\WSOCK32.DLL"
R c1745870 6000 a00
o c1747600 12000 "C:\WINDOWS\SYSTEM\WS2_32.DLL"
R c1747600 f000 a00
R c1747600 e000 600
o c174a6b0 15000 "C:\WINDOWS\SYSTEM\MSWSOCK.DLL"
R c174a6b0 f000 1000
R d8a6db00 108400 1000
o d8a6e840 8c600 "C:\WINDOWS\SYSTEM\MLANG.DLL"
R d8a6e840 1d400 1000
R d8a6db00 219400 1000
R d8a6db00 155400 1000
o c14c6f40 b000 "C:\WINDOWS\SYSTEM\MSAFD.DLL"
R c14c6f40 7000 600
R c14c6f40 7000 1000
R c14c6f40 6000 400
o c173c1f0 866a7 "C:\WINDOWS\SYSTEM\USER.EXE"
R c173c1f0 1844 225e
R c17490b0 37400 1000
o d89e8860 1e000 "C:\WINDOWS\SYSTEM\TAPI32.DLL"
R d89e8860 1a000 1000
o c174eb10 a000 "C:\WINDOWS\SYSTEM\SECUR32.DLL"
R c174eb10 7000 600
o c16c62f0 3e000 "C:\WINDOWS\SYSTEM\MSVCRT20.DLL"
R c174eb10 7000 1000
R c173c1f0 1844 225e
o c173e5d0 e000 "C:\WINDOWS\SYSTEM\MPR.DLL"
R d89e8860 19000 e00
R d89e8860 18000 1000
o c1752400 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"
R c1752400 5000 200
o c1742030 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL"
R c1742030 e000 1000
R d8a6db00 12e400 1000
o d8a6a6e0 f000 "C:\WINDOWS\SYSTEM\RNR20.DLL"
R d8a6a6e0 b000 e00
}
Hat jemand ne Ahnung, was/wer das war? Einen Wurm oder ähnlich kann ich mit hoher Sicherheit ausschliessen, da ich seit geraumer Zeit immer eine sabuer aktualisieren Vir.-Skanner mitfahren lassen.
TX
na_fets
{
o d8cdc490 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdc490 0 40
R d8cdc490 e0 f8
R d8cdc490 e0 170
R d8cdc490 5c00 400
R d8cdc490 4400 e00
R d8cdc490 400 1000
R d8cdc490 400 1000
R d8cdc490 4400 e00
o d8cdc3b0 1e72 "C:\WINDOWS\WIN.INI"
R d8cdc3b0 0 1e72
C d8cdc3b0
R d8cdc490 1400 1000
R d8cdc490 5200 a00
R d8cdc490 0 400
R d8cdc490 2400 1000
R d8cdc490 3400 1000
o d8a6db00 2a8600 "C:\WINDOWS\SYSTEM\MSHTML.DLL"
R d8a6db00 264400 1000
o c17426b0 47035 "C:\WINDOWS\SYSTEM\MSVCRT.DLL"
R c17426b0 3a000 1000
R c17426b0 3a000 1000
R c17426b0 34000 1000
R c17426b0 34000 1000
R c17426b0 3b000 600
o c1742580 60a00 "C:\WINDOWS\SYSTEM\SHLWAPI.DLL"
R c1742580 53400 1000
R c1742580 54400 1000
R c1742580 55400 1000
R c1742580 56400 1000
R c1742580 53400 1000
R c1742580 400 1000
R c1742580 400 1000
R c17426b0 36000 1000
R c17426b0 37000 1000
R c17426b0 39000 1000
R c17426b0 38000 1000
R d8a6db00 264400 1000
R d8a6db00 400 1000
R d8a6db00 400 1000
R d8a6db00 265400 1000
R d8a6db00 266400 1000
R c1742580 57400 1000
R c1742580 58400 1000
R c1742580 59400 200
R c17426b0 3c000 1000
R c17426b0 35000 1000
R c17426b0 42000 e00
R c17426b0 3d000 1000
o c1745b30 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL"
R c1745b30 ae000 1000
R c1745b30 b3000 1000
R d8a6db00 86400 1000
R d8a6db00 3400 1000
o c173eb00 31f3 "C:\WINDOWS\SYSBCKUP\VER.DLL"
R c173eb00 2f5 100
R c173eb00 2f5 100
o d8cdda50 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 d0 40
R d8cdda50 d0 c4
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 4
R d8cdeff0 0 0
C d8cdeff0
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 1000
R d8cdeff0 4d0000 1000
C d8cdeff0
C d8cdda50
o d8cdda50 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 d0 40
R d8cdda50 d0 c4
o d8cdf040 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdf040 0 4
R d8cdf040 0 0
C d8cdf040
o d8cdf040 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdf040 0 1000
R d8cdf040 4d0000 1000
C d8cdf040
C d8cdda50
o d8cdda50 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 d0 40
R d8cdda50 d0 c4
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 4
R d8cdeff0 0 0
C d8cdeff0
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 1000
R d8cdeff0 4d0000 1000
C d8cdeff0
C d8cdda50
R c1742580 a400 1000
R d8a6db00 1d8400 1000
R d8a6db00 1d9400 1000
R d8a6db00 15400 1000
o d8a3a660 1800 "C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\LGWNDHK.DLL"
R d8a3a660 a00 400
R d8a3a660 a00 400
R d8a3a660 e00 200
R d8a6db00 1da400 1000
R c1745b30 b4000 1000
o c1746520 53000 "C:\WINDOWS\SYSTEM\RPCRT4.DLL"
R c1746520 4c000 800
R c1745b30 b0000 1000
R c1745b30 b1000 1000
o d8a36450 5c00 "C:\PROGRA~1\GEMEIN~1\LOGITECH\SCROLL~1\LGMSGHK.DLL"
R d8a36450 3800 1000
R d8a36450 4800 400
o d89f7450 62036 "C:\WINDOWS\SYSTEM\MSVCP60.DLL"
R d89f7450 5a000 1000
R d89f7450 59000 1000
R d89f7450 53000 1000
R d89f7450 5c000 1000
R d8a36450 4c00 200
o d8cdda50 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 e0 40
R d8cdda50 e0 c4
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 4
R d8cdf040 0 0
C d8cdf040
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 1000
R d8cdf040 5000 1000
C d8cdf040
C d8cdda50
o d8cdda50 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 e0 40
R d8cdda50 e0 c4
o d8cdeff0 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdeff0 0 4
R d8cdeff0 0 0
C d8cdeff0
o d8cdeff0 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdeff0 0 1000
R d8cdeff0 5000 1000
C d8cdeff0
C d8cdda50
o d8cdda50 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 e0 40
R d8cdda50 e0 c4
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 4
R d8cdf040 0 0
C d8cdf040
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 1000
R d8cdf040 5000 1000
C d8cdf040
C d8cdda50
R d89f7450 5d000 800
R d89f7450 2d000 1000
o d8cdda50 17a "C:\PROGRA~1\GEMEIN~1\LOGITECH\SCROLL~1\SCRSPLCS.INI"
R d8cdda50 0 1000
R d8cdda50 17a 1000
C d8cdda50
R d8a6db00 20400 1000
R d8a6db00 1db400 1000
R d8a6db00 f4400 1000
o d8a495b0 76600 "C:\WINDOWS\SYSTEM\URLMON.DLL"
R d8a495b0 55400 1000
R d8a495b0 55400 1000
R d8a6db00 fd400 1000
o c17490b0 90400 "C:\WINDOWS\SYSTEM\WININET.DLL"
R c17490b0 75400 1000
o c1749440 5b110 "C:\WINDOWS\SYSTEM\CRYPT32.DLL"
R c1749440 49600 1000
R c1749440 4a600 1000
o c1749670 25000 "C:\WINDOWS\SYSTEM\MSOSS.DLL"
R c1749670 20000 1000
R c1749670 20000 1000
R c1749440 600 1000
R c1749670 21000 600
o c17459c0 e3000 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL"
R c17459c0 85000 1000
R c17490b0 18400 1000
R c17490b0 19400 1000
o c1742430 156f10 "C:\WINDOWS\SYSTEM\SHELL32.DLL"
R c1742430 82600 1000
R c1742430 81600 1000
o d89fa640 5800 "C:\WINDOWS\SYSTEM\SHFOLDER.DLL"
R d89fa640 1400 1000
R c17490b0 3400 1000
o c1745870 a000 "C:\WINDOWS\SYSTEM\WSOCK32.DLL"
R c1745870 6000 a00
o c1747600 12000 "C:\WINDOWS\SYSTEM\WS2_32.DLL"
R c1747600 f000 a00
R c1747600 e000 600
o c174a6b0 15000 "C:\WINDOWS\SYSTEM\MSWSOCK.DLL"
R c174a6b0 f000 1000
R d8a6db00 108400 1000
o d8a6e840 8c600 "C:\WINDOWS\SYSTEM\MLANG.DLL"
R d8a6e840 1d400 1000
R d8a6db00 219400 1000
R d8a6db00 155400 1000
o c14c6f40 b000 "C:\WINDOWS\SYSTEM\MSAFD.DLL"
R c14c6f40 7000 600
R c14c6f40 7000 1000
R c14c6f40 6000 400
o c173c1f0 866a7 "C:\WINDOWS\SYSTEM\USER.EXE"
R c173c1f0 1844 225e
R c17490b0 37400 1000
o d89e8860 1e000 "C:\WINDOWS\SYSTEM\TAPI32.DLL"
R d89e8860 1a000 1000
o c174eb10 a000 "C:\WINDOWS\SYSTEM\SECUR32.DLL"
R c174eb10 7000 600
o c16c62f0 3e000 "C:\WINDOWS\SYSTEM\MSVCRT20.DLL"
R c174eb10 7000 1000
R c173c1f0 1844 225e
o c173e5d0 e000 "C:\WINDOWS\SYSTEM\MPR.DLL"
R d89e8860 19000 e00
R d89e8860 18000 1000
o c1752400 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"
R c1752400 5000 200
o c1742030 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL"
R c1742030 e000 1000
R d8a6db00 12e400 1000
o d8a6a6e0 f000 "C:\WINDOWS\SYSTEM\RNR20.DLL"
R d8a6a6e0 b000 e00
}
Hat jemand ne Ahnung, was/wer das war? Einen Wurm oder ähnlich kann ich mit hoher Sicherheit ausschliessen, da ich seit geraumer Zeit immer eine sabuer aktualisieren Vir.-Skanner mitfahren lassen.
TX
na_fets
cicojaka
Mitglied
???
(aus einem "Sicherheitsforum")
This "winmain" program starts up MSHTA, making it ready to accept HTA
scripting within a web page and then execute what is embedded in the
page as a program. In certain circumstances, the web-based script can be
turned into an EXE file and saved to the victim's machine. Here's where
it turns ugly. While Microsoft has, since our publicizing the
eventuality of script exploits back in 2001, disconnected MSHTA from
being invoked by Internet Explorer, it will still run what is
presented to it when started on a local machine in the "local machine"
or "my computer zone" since this is done on some corporate networks for
the convenience of the glass room "geeks'. In other words, this
completely bypasses the security zone structures and patches of Internet
Explorer because MSHTA is already running in the "local" zone ...
therefore, when presented with script, it will parse it and run it,
despite firewall, and IE restrictions.
Eine deutsche Fundstelle dazu finde ich nicht.
(aus einem "Sicherheitsforum")
This "winmain" program starts up MSHTA, making it ready to accept HTA
scripting within a web page and then execute what is embedded in the
page as a program. In certain circumstances, the web-based script can be
turned into an EXE file and saved to the victim's machine. Here's where
it turns ugly. While Microsoft has, since our publicizing the
eventuality of script exploits back in 2001, disconnected MSHTA from
being invoked by Internet Explorer, it will still run what is
presented to it when started on a local machine in the "local machine"
or "my computer zone" since this is done on some corporate networks for
the convenience of the glass room "geeks'. In other words, this
completely bypasses the security zone structures and patches of Internet
Explorer because MSHTA is already running in the "local" zone ...
therefore, when presented with script, it will parse it and run it,
despite firewall, and IE restrictions.
Eine deutsche Fundstelle dazu finde ich nicht.
A
Anonymous
D.exe und mshta.lgc
Hallo,
bei mir wurde eben diese Datei auch zeitgleich mit dem Dialer D.exe installiert. Ebenso wurde meine Windows .pwl Datei verändert / darauf zugegriffen!? Dazu noch die Datei applog.ind, die wohl alle ausgeführten Programme speichert.
Den Dialer habe ich einfach gelöscht, aktuelle adaware und antivir Versionen haben ihn nicht selbstständig erkannt.
Kann man die Datei mshta.lgc auch einfach löschen oder wie soll man damit verfahren?
Hallo,
bei mir wurde eben diese Datei auch zeitgleich mit dem Dialer D.exe installiert. Ebenso wurde meine Windows .pwl Datei verändert / darauf zugegriffen!? Dazu noch die Datei applog.ind, die wohl alle ausgeführten Programme speichert.
Den Dialer habe ich einfach gelöscht, aktuelle adaware und antivir Versionen haben ihn nicht selbstständig erkannt.
Kann man die Datei mshta.lgc auch einfach löschen oder wie soll man damit verfahren?
A
Anonymous
Mein Name ist übrigens Nico, falls jemand daran Anstoß finden sollte, dass ich mich hier als Gast einwähle, werde gleich mal die Forumsregeln studieren...
technofreak
Forenveteran
A
Anonymous
Ja, danke, habe sie mir eben auch schon zu Gemüte geführt. Vielleicht kann auch jemand bei dem Problem helfen, habe leider nicht übermäßig viel Ahnung im Umgang mit Computern, bin wohl eher ein gewöhnlicher 'User'. Aber was cj da über automatische Ausführungen schreibt, das hört sich m. E. nicht besonders gut an ... irgendwelche praktischen Tipps wie mit der Datei zu verfahren ist?
A
Anonymous
Hehe,
weiß nun wirklich nicht Bescheid wie man sowas überprüfen kann, ich sitze hier im Wohnheim, nicht im Rechenzentrum
Da das ja ne Uni-Leitung ist, vielleicht hängt das irgendwie mit dem Rechenzentrum zusammen. Und wenn ich im Rechenzentrum säße, würde ich dann das Forum hier auf seine Tauglichkeit testen?? Interessante Vorstellung
Ne, tut mir leid, das haut so nicht hin.
Über besagte Datei spuckt google im übrigen leider nur 2 Treffer aus, einmal diesen hier und einmal eine französische Seite. Vielleicht muss ich auch mal ne andere Suchmachine ausprobieren.
Gruß,
Nico
weiß nun wirklich nicht Bescheid wie man sowas überprüfen kann, ich sitze hier im Wohnheim, nicht im Rechenzentrum
Da das ja ne Uni-Leitung ist, vielleicht hängt das irgendwie mit dem Rechenzentrum zusammen. Und wenn ich im Rechenzentrum säße, würde ich dann das Forum hier auf seine Tauglichkeit testen?? Interessante Vorstellung
Ne, tut mir leid, das haut so nicht hin.Über besagte Datei spuckt google im übrigen leider nur 2 Treffer aus, einmal diesen hier und einmal eine französische Seite. Vielleicht muss ich auch mal ne andere Suchmachine ausprobieren.
Gruß,
Nico
A
Anonymous
Öhm, der Bezug ist hinfort, das Problem besteht aber noch :roll:
A
Anonymous
Gast schrieb:
Zu der lgc Datei gibts offensichtlich keine Erkenntnisse zu d.exe schon mehr das ist ein Dialer
wie du anscheinend schon selber rausgefunden hast:
z.B http://www.teltarif.de/forum/x-internet/1715-16.html
http://www.internetfallen.de/Dialer/Hanseatische_Dialer/hanseatische_dialer.html
allzu viel kriegt man selbst mit metacrawler nicht raus
http://www.metacrawler.de/
Devilfrank
Sehr aktiv
MSHTA ist dazu da in html-code eingebette Scripte auszuführen.
Ich bin mir sicher, dass wir das hier schonmal diskutiert haben.
Gebt mal hta in der Suche ein.
Ich bin mir sicher, dass wir das hier schonmal diskutiert haben.
Gebt mal hta in der Suche ein.
Counselor
Gesperrt
Es gibt ein Zusatztool, das MSHTA Ketten anlegt:
http://www.nsclean.com/htastop.html
http://www.nsclean.com/htastop.html
Devilfrank
Sehr aktiv
Gute 3rd-party-solutions unterbinden die Ausführung von derartigen Scripts. (s. Screenshot)
Allerdings kann man die Ausführung derartiger Dateien auch generell im Dateimenu verhindern, in dem der Dateiendung hta nicht der IE sondern bspw. Notepad zugeordnet wird. Schon läßt sich da nichts mehr automatisch ausführen. Allerdings kann es sein, dass die eine oder andere Seite im web nicht mehr funktioniert...
Allerdings kann man die Ausführung derartiger Dateien auch generell im Dateimenu verhindern, in dem der Dateiendung hta nicht der IE sondern bspw. Notepad zugeordnet wird. Schon läßt sich da nichts mehr automatisch ausführen. Allerdings kann es sein, dass die eine oder andere Seite im web nicht mehr funktioniert...
Anhänge
Die .lqc-Dateien werden von Windows selbst erzeugt, damit wird protokolliert welche Anwendung wann und wie oft gestartet wurde. Wenn man die Festplatte defragmentiert werden diese Daten ausgewertet und die Programme nach der Starthäufigkeit sortiert auf der Festplatte umkopiert.
Diese Dateien gehören nicht zum Dialer selber, aber man kann daran erkennen das der Dialer über die .hta Sicherheitslücke von Windows installiert wurde.
Es ist möglich über .hta Dateien beliebigen Code auf einem Rechner zu kopieren und zu starten. Deswegen sollte man unbedingt das System mit allen Patches zu bekannten Sicherheitslücken ausstatten.
Diese Dateien gehören nicht zum Dialer selber, aber man kann daran erkennen das der Dialer über die .hta Sicherheitslücke von Windows installiert wurde.
Es ist möglich über .hta Dateien beliebigen Code auf einem Rechner zu kopieren und zu starten. Deswegen sollte man unbedingt das System mit allen Patches zu bekannten Sicherheitslücken ausstatten.
A
Anonymous
Der Beitrag von cj scheint aber zu besagen, dass alle Patches hier nutzlos zu sein scheinen, wenn ich das richtig verstehe:
Btw, sicherlich kann mir jemand sagen, wo ich all die Sicherheitspatches von Microsoft für Win98 herunterladen kann.
Gruß, Nico.
Ich werde mir auf jeden Fall mal diese HTAStop Datei herunterladen, die Counselor empfiehlt.
Btw, sicherlich kann mir jemand sagen, wo ich all die Sicherheitspatches von Microsoft für Win98 herunterladen kann.
Gruß, Nico.