# mshta.lgc



## na_fets (13 März 2004)

Hallo,

hatte noch was vergessen. Mit selbem Datum- und Zeitstempel wie bei der web.exe habe ich noch ein File mit Namen mshta.lgc gefunden.

Ist das Zufall? Was kann ich aus dem File mshta.lgc erfahren (ist mit notepad im Klartext auslesbar).

na_fets


----------



## technofreak (13 März 2004)

na_fets schrieb:
			
		

> Was kann ich aus dem File mshta.lgc erfahren (ist mit notepad im Klartext auslesbar).



Dann poste doch mal den Text, wenn er zu lang sein sollte, wenigstens auszugsweise 
nur aus dem Namen eines  Files  läßt sich in der Regel nicht viel sagen. Die einzige Info 
über  Google  ist in französisch, und da hapert es mit der Sprache....

die Endung *.lgc deutet auf ein Log File:
http://filext.com/detaillist.php?extdetail=LGC


> Likely this is a log file however it's exact use is unknown


Es hat möglicherweise  etwas mit einem Wurm zu tun, wobei es eine große Zahl von Treffern
 für mshta.exe gibt , das eine  Standarddatei im Ordner System32 ist 


> Application that is used to run HTA files in Windows. The application is loaded as soon as an
> .HTA application needs to run and then terminates when the application completes


tf


----------



## Counselor (13 März 2004)

MSHTA ist der Host für HTA-Webanwendungen. Betreffend der Web.exe und MSHTA gab es hier schon mal eine Diskussion:

http://forum.computerbetrug.de/viewtopic.php?p=36609#36609


----------



## na_fets (13 März 2004)

Hier ein Auszug (leicht gekürzt):

{
o d8cdc490 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdc490 0 40
R d8cdc490 e0 f8
R d8cdc490 e0 170
R d8cdc490 5c00 400
R d8cdc490 4400 e00
R d8cdc490 400 1000
R d8cdc490 400 1000
R d8cdc490 4400 e00
o d8cdc3b0 1e72 "C:\WINDOWS\WIN.INI"
R d8cdc3b0 0 1e72
C d8cdc3b0
R d8cdc490 1400 1000
R d8cdc490 5200 a00
R d8cdc490 0 400
R d8cdc490 2400 1000
R d8cdc490 3400 1000
o d8a6db00 2a8600 "C:\WINDOWS\SYSTEM\MSHTML.DLL"
R d8a6db00 264400 1000
o c17426b0 47035 "C:\WINDOWS\SYSTEM\MSVCRT.DLL"
R c17426b0 3a000 1000
R c17426b0 3a000 1000
R c17426b0 34000 1000
R c17426b0 34000 1000
R c17426b0 3b000 600
o c1742580 60a00 "C:\WINDOWS\SYSTEM\SHLWAPI.DLL"
R c1742580 53400 1000
R c1742580 54400 1000
R c1742580 55400 1000
R c1742580 56400 1000
R c1742580 53400 1000
R c1742580 400 1000
R c1742580 400 1000
R c17426b0 36000 1000
R c17426b0 37000 1000
R c17426b0 39000 1000
R c17426b0 38000 1000
R d8a6db00 264400 1000
R d8a6db00 400 1000
R d8a6db00 400 1000
R d8a6db00 265400 1000
R d8a6db00 266400 1000
R c1742580 57400 1000
R c1742580 58400 1000
R c1742580 59400 200
R c17426b0 3c000 1000
R c17426b0 35000 1000
R c17426b0 42000 e00
R c17426b0 3d000 1000
o c1745b30 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL"
R c1745b30 ae000 1000
R c1745b30 b3000 1000
R d8a6db00 86400 1000
R d8a6db00 3400 1000
o c173eb00 31f3 "C:\WINDOWS\SYSBCKUP\VER.DLL"
R c173eb00 2f5 100
R c173eb00 2f5 100
o d8cdda50 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 d0 40
R d8cdda50 d0 c4
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 4
R d8cdeff0 0 0
C d8cdeff0
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 1000
R d8cdeff0 4d0000 1000
C d8cdeff0
C d8cdda50
o d8cdda50 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 d0 40
R d8cdda50 d0 c4
o d8cdf040 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdf040 0 4
R d8cdf040 0 0
C d8cdf040
o d8cdf040 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdf040 0 1000
R d8cdf040 4d0000 1000
C d8cdf040
C d8cdda50
o d8cdda50 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 d0 40
R d8cdda50 d0 c4
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 4
R d8cdeff0 0 0
C d8cdeff0
o d8cdeff0 508032 "C:\PROGRA~1\MICROS~1\OFFICE\OUTLLIB.DLL"
R d8cdeff0 0 1000
R d8cdeff0 4d0000 1000
C d8cdeff0
C d8cdda50
R c1742580 a400 1000
R d8a6db00 1d8400 1000
R d8a6db00 1d9400 1000
R d8a6db00 15400 1000
o d8a3a660 1800 "C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\LGWNDHK.DLL"
R d8a3a660 a00 400
R d8a3a660 a00 400
R d8a3a660 e00 200
R d8a6db00 1da400 1000
R c1745b30 b4000 1000
o c1746520 53000 "C:\WINDOWS\SYSTEM\RPCRT4.DLL"
R c1746520 4c000 800
R c1745b30 b0000 1000
R c1745b30 b1000 1000
o d8a36450 5c00 "C:\PROGRA~1\GEMEIN~1\LOGITECH\SCROLL~1\LGMSGHK.DLL"
R d8a36450 3800 1000
R d8a36450 4800 400
o d89f7450 62036 "C:\WINDOWS\SYSTEM\MSVCP60.DLL"
R d89f7450 5a000 1000
R d89f7450 59000 1000
R d89f7450 53000 1000
R d89f7450 5c000 1000
R d8a36450 4c00 200
o d8cdda50 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 e0 40
R d8cdda50 e0 c4
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 4
R d8cdf040 0 0
C d8cdf040
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 1000
R d8cdf040 5000 1000
C d8cdf040
C d8cdda50
o d8cdda50 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 e0 40
R d8cdda50 e0 c4
o d8cdeff0 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdeff0 0 4
R d8cdeff0 0 0
C d8cdeff0
o d8cdeff0 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdeff0 0 1000
R d8cdeff0 5000 1000
C d8cdeff0
C d8cdda50
o d8cdda50 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdda50 0 8
R d8cdda50 0 e
R d8cdda50 0 40
R d8cdda50 e0 40
R d8cdda50 e0 c4
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 4
R d8cdf040 0 0
C d8cdf040
o d8cdf040 6000 "C:\WINDOWS\SYSTEM\MSHTA.EXE"
R d8cdf040 0 1000
R d8cdf040 5000 1000
C d8cdf040
C d8cdda50
R d89f7450 5d000 800
R d89f7450 2d000 1000
o d8cdda50 17a "C:\PROGRA~1\GEMEIN~1\LOGITECH\SCROLL~1\SCRSPLCS.INI"
R d8cdda50 0 1000
R d8cdda50 17a 1000
C d8cdda50
R d8a6db00 20400 1000
R d8a6db00 1db400 1000
R d8a6db00 f4400 1000
o d8a495b0 76600 "C:\WINDOWS\SYSTEM\URLMON.DLL"
R d8a495b0 55400 1000
R d8a495b0 55400 1000
R d8a6db00 fd400 1000
o c17490b0 90400 "C:\WINDOWS\SYSTEM\WININET.DLL"
R c17490b0 75400 1000
o c1749440 5b110 "C:\WINDOWS\SYSTEM\CRYPT32.DLL"
R c1749440 49600 1000
R c1749440 4a600 1000
o c1749670 25000 "C:\WINDOWS\SYSTEM\MSOSS.DLL"
R c1749670 20000 1000
R c1749670 20000 1000
R c1749440 600 1000
R c1749670 21000 600
o c17459c0 e3000 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL"
R c17459c0 85000 1000
R c17490b0 18400 1000
R c17490b0 19400 1000
o c1742430 156f10 "C:\WINDOWS\SYSTEM\SHELL32.DLL"
R c1742430 82600 1000
R c1742430 81600 1000
o d89fa640 5800 "C:\WINDOWS\SYSTEM\SHFOLDER.DLL"
R d89fa640 1400 1000
R c17490b0 3400 1000
o c1745870 a000 "C:\WINDOWS\SYSTEM\WSOCK32.DLL"
R c1745870 6000 a00
o c1747600 12000 "C:\WINDOWS\SYSTEM\WS2_32.DLL"
R c1747600 f000 a00
R c1747600 e000 600
o c174a6b0 15000 "C:\WINDOWS\SYSTEM\MSWSOCK.DLL"
R c174a6b0 f000 1000
R d8a6db00 108400 1000
o d8a6e840 8c600 "C:\WINDOWS\SYSTEM\MLANG.DLL"
R d8a6e840 1d400 1000
R d8a6db00 219400 1000
R d8a6db00 155400 1000
o c14c6f40 b000 "C:\WINDOWS\SYSTEM\MSAFD.DLL"
R c14c6f40 7000 600
R c14c6f40 7000 1000
R c14c6f40 6000 400
o c173c1f0 866a7 "C:\WINDOWS\SYSTEM\USER.EXE"
R c173c1f0 1844 225e
R c17490b0 37400 1000
o d89e8860 1e000 "C:\WINDOWS\SYSTEM\TAPI32.DLL"
R d89e8860 1a000 1000
o c174eb10 a000 "C:\WINDOWS\SYSTEM\SECUR32.DLL"
R c174eb10 7000 600
o c16c62f0 3e000 "C:\WINDOWS\SYSTEM\MSVCRT20.DLL"
R c174eb10 7000 1000
R c173c1f0 1844 225e
o c173e5d0 e000 "C:\WINDOWS\SYSTEM\MPR.DLL"
R d89e8860 19000 e00
R d89e8860 18000 1000
o c1752400 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"
R c1752400 5000 200
o c1742030 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL"
R c1742030 e000 1000
R d8a6db00 12e400 1000
o d8a6a6e0 f000 "C:\WINDOWS\SYSTEM\RNR20.DLL"
R d8a6a6e0 b000 e00
}

Hat jemand ne Ahnung, was/wer das war? Einen Wurm oder ähnlich kann ich mit hoher Sicherheit ausschliessen, da ich seit geraumer Zeit immer eine sabuer aktualisieren Vir.-Skanner mitfahren lassen.

TX

na_fets


----------



## cicojaka (13 März 2004)

???

(aus einem "Sicherheitsforum")

This "winmain" program starts up MSHTA, making it ready to accept HTA
scripting within a web page and then execute what is embedded in the
page as a program. In certain circumstances, the web-based script can be
turned into an EXE file and saved to the victim's machine. Here's where
it turns ugly. While Microsoft has, since our publicizing the
eventuality of script exploits back in 2001, disconnected MSHTA from
being invoked by Internet Explorer, it will still run what is
presented to it when started on a local machine in the "local machine"
or "my computer zone" since this is done on some corporate networks for
the convenience of the glass room "geeks'. In other words, this
completely bypasses the security zone structures and patches of Internet
Explorer because MSHTA is already running in the "local" zone ...
therefore, when presented with script, it will parse it and run it,
despite firewall, and IE restrictions.


Eine deutsche Fundstelle dazu finde ich nicht.


----------



## Anonymous (9 Mai 2004)

*D.exe und mshta.lgc*

Hallo,

bei mir wurde eben diese Datei auch zeitgleich mit dem Dialer D.exe installiert. Ebenso wurde meine Windows .pwl Datei verändert / darauf zugegriffen!? Dazu noch die Datei applog.ind, die wohl alle ausgeführten Programme speichert.
Den Dialer habe ich einfach gelöscht, aktuelle adaware und antivir Versionen haben ihn nicht selbstständig erkannt.
Kann man die Datei mshta.lgc auch einfach löschen oder wie soll man damit verfahren?


----------



## Anonymous (9 Mai 2004)

Mein Name ist übrigens Nico, falls jemand daran Anstoß finden sollte, dass ich mich hier als Gast einwähle, werde gleich mal die Forumsregeln studieren...


----------



## technofreak (9 Mai 2004)

Gast schrieb:
			
		

> Mein Name ist übrigens Nico, falls jemand daran Anstoß finden sollte, dass ich mich hier als Gast einwähle, werde gleich mal die Forumsregeln studieren...



daran nimmt niemand Anstoß , solange die Nutzungsregeln beachtet werden   

tf


----------



## Anonymous (9 Mai 2004)

Ja, danke, habe sie mir eben auch schon zu Gemüte geführt. Vielleicht kann auch jemand bei dem Problem helfen, habe leider nicht übermäßig viel Ahnung im Umgang mit Computern, bin wohl eher ein gewöhnlicher 'User'. Aber was cj da über automatische Ausführungen schreibt, das hört sich m. E. nicht besonders gut an ... irgendwelche praktischen Tipps wie mit der Datei zu verfahren ist?


----------



## Anonymous (9 Mai 2004)

Hehe,

weiß nun wirklich nicht Bescheid wie man sowas überprüfen kann, ich sitze hier im Wohnheim, nicht im Rechenzentrum  
Da das ja ne Uni-Leitung ist, vielleicht hängt das irgendwie mit dem Rechenzentrum zusammen. Und wenn ich im Rechenzentrum säße, würde ich dann das Forum hier auf seine Tauglichkeit testen?? Interessante Vorstellung   Ne, tut mir leid, das haut so nicht hin.
Über besagte Datei spuckt google im übrigen leider nur 2 Treffer aus, einmal diesen hier und einmal eine französische Seite. Vielleicht muss ich auch mal ne andere Suchmachine ausprobieren.

Gruß,
Nico


----------



## Anonymous (9 Mai 2004)

Öhm, der Bezug ist hinfort, das Problem besteht aber noch  :roll:


----------



## Anonymous (9 Mai 2004)

Gast schrieb:
			
		

> Hallo,
> 
> bei mir wurde eben diese Datei auch zeitgleich mit dem Dialer D.exe installiert.



Zu der lgc Datei gibts offensichtlich keine  Erkenntnisse zu d.exe schon mehr das ist ein Dialer
wie du anscheinend schon selber rausgefunden hast:
z.B http://www.teltarif.de/forum/x-internet/1715-16.html 
http://www.internetfallen.de/Dialer/Hanseatische_Dialer/hanseatische_dialer.html

allzu viel kriegt man selbst mit metacrawler nicht raus
http://www.metacrawler.de/


----------



## Devilfrank (9 Mai 2004)

MSHTA ist dazu da in html-code eingebette Scripte auszuführen.
Ich bin mir sicher, dass wir das hier schonmal diskutiert haben.
Gebt mal hta in der Suche ein.


----------



## Counselor (9 Mai 2004)

Es gibt ein Zusatztool, das MSHTA Ketten anlegt:
http://www.nsclean.com/htastop.html


----------



## Devilfrank (9 Mai 2004)

Gute 3rd-party-solutions unterbinden die Ausführung von derartigen Scripts. (s. Screenshot)
Allerdings kann man die Ausführung derartiger Dateien auch generell im Dateimenu verhindern, in dem der Dateiendung hta nicht der IE sondern bspw. Notepad zugeordnet wird. Schon läßt sich da nichts mehr automatisch ausführen. Allerdings kann es sein, dass die eine oder andere Seite im web nicht mehr funktioniert...


----------



## Smigel (9 Mai 2004)

Die .lqc-Dateien werden von Windows selbst erzeugt, damit wird protokolliert welche Anwendung wann und wie oft gestartet wurde. Wenn man die Festplatte defragmentiert werden diese Daten ausgewertet und die Programme nach der Starthäufigkeit  sortiert auf der Festplatte umkopiert.

Diese Dateien gehören nicht zum Dialer selber, aber man kann daran erkennen das der Dialer über die .hta Sicherheitslücke von Windows installiert wurde.

Es ist möglich über .hta Dateien beliebigen Code auf einem Rechner zu kopieren und zu starten. Deswegen sollte man unbedingt das System mit allen Patches zu bekannten Sicherheitslücken ausstatten.


----------



## Anonymous (9 Mai 2004)

Der Beitrag von cj scheint aber zu besagen, dass alle Patches hier nutzlos zu sein scheinen, wenn ich das richtig verstehe:


> In other words, this completely bypasses the security zone structures and patches of Internet Explorer because MSHTA is already running in the "local" zone ...


Ich werde mir auf jeden Fall mal diese HTAStop Datei herunterladen, die Counselor empfiehlt.
Btw, sicherlich kann mir jemand sagen, wo ich all die Sicherheitspatches von Microsoft für Win98 herunterladen kann.
Gruß, Nico.


----------



## dotshead (9 Mai 2004)

Vielleicht  hier oder  hier.


----------

