 auto.search.msn.com + Protocol HiJack |
Willkommen, Gast ( Anmelden | Registrierung )
 11.06.2004, 12:32
Beitrag
#1
|
|
|
Kennt sich hier aus  Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329  |
@ALL
In letzter Zeit treten oft HiJackThis logfile auf die folgende 2 Zeilen enthalten. O1 - Hosts: 213.159.117.235 auto.search.msn.com O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Leider erscheint dieser HiJacker nach dem Fixen bzw. Neustart immer wieder. Die Standarttools CWShredder, Ad-Aware helfen nicht. Hab die Leute schon Logs von explorer.exe, iexplorer.exe , winlogon usw. mit der pv.zip erstellen lassen. Ich finde nichts. Einen Hiweis hab ich, dort hat jemand in der appinit_dlls den Eintrag nvdesk32.dll Diese Datei scheint allerdings von einer Grafikkarte zu sein Hier ein paar Links Vielleicht dieser HiJacker http://www.trendmicro.com/vinfo/virusencyc...TROJ_BOOKMARK.E Hier jemand mit dem Problem http://board.protecus.de/showtopic.php?threadid=10578 Hier die "Verantworlichen" für 213.159.117.235 http://www.dnsstuff.com/tools/whois.ch?ip=213.159.117.235 Hat irgendjemand Infos oder kennt die Ursache Oder sehe ich einfach vor lauter Bäumen den Wald nicht  Gruß Paff P.S. Interessieren würde mich auch. Was bedeutet das genau O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Der Beitrag wurde von paff bearbeitet: 11.06.2004, 12:41 |
 |
 
|
 |
Antworten
|
13.06.2004, 14:14
Beitrag
#2
|
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
Also ist wie DerBilk schon sagt alles halb so wild
Zum Stilllegen des HiJackers müßen wohl nur die 2 Einträge in HiJackThis gefixt werden. Aber ich will ja mehr wissen, deswegen hier ein paar Infos dazu Die Einträge die der HiJacker in der Registry hinterläßt sind wohl folgende QUOTE HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Standard:CAbout Class HKEY_CLASSES_ROOT\PROTOCOLS\Handler\start CLSID={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Standard:CAbout Class HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\start Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\ CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP.1\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} Die verantwortliche Datei steht dann hier in dem Schlüssel InProcServer HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Der Name der Datei ist in diesem Fall "msxword.dll" und liegt im windows/system32 Wenn man sch die Datei im Klartext anschaut, kommt folgendes zutage QUOTE { Xmlmimefilter.XMLMimeFilterPP.1 = s 'CAbout Class' { CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' } Xmlmimefilter.XMLMimeFilterPP = s 'CAbout Class' { CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' CurVer = s 'About.CAbout.1' } NoRemove CLSID { ForceRemove {53B95211-7D77-11D2-9F81-00104B107C96} = s 'CAbout Class' { ProgID = s 'About.CAbout.1' VersionIndependentProgID = s 'About.CAbout' ForceRemove 'Programmable' InprocServer32 = s '%MODULE%' { val ThreadingModel = s 'Apartment' } 'TypeLib' = s '{53B95204-7D77-11D2-9F81-00104B107C96}' } } NoRemove PROTOCOLS { NoRemove Handler { NoRemove about { val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' } NoRemove start { val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' } } } } Was könnte das sein. XML, HTML??, direkt ums in dies Registry zu schreiben ? Soweit sogut, wenn Ich noch was neues erfahre , schreib ichs hier auf  Gruß paff P.S. Hier die Beispiel 1. http://www.trojaner-board.de/forum/ultimat...t=000911#000001 2. http://board.protecus.de/showtopic.php?threadid=10627 3. http://board.protecus.de/showtopic.php?threadid=10578 Der Beitrag wurde von paff bearbeitet: 13.06.2004, 14:28 |
|
|
|
Beiträge in diesem Thema
paff auto.search.msn.com + Protocol HiJack 11.06.2004, 12:32
DerBilk Moin paff,
so 'fürchterlich' viel habe ic... 12.06.2004, 07:48 DerBilk Hi paff,
bei dem ersten Protecus-Link hat 'mw... 13.06.2004, 15:37 paff QUOTE(DerBilk @ 13. June 2004, 16:36) Hi paff... 13.06.2004, 15:49 raman Hm, KAV/MWAV sollten die DLL eigentlich identivizi... 13.06.2004, 16:49 Rokop QUOTE(raman @ 13. June 2004, 17:48) Hm, KAV/M... 13.06.2004, 16:57 Metallica Kannst du mir die Datei mahl schicken, bitte?
pie... 14.06.2004, 09:47 raman In wie weit Paff seine Datei mit der von Roman ide... 14.06.2004, 10:51 paff @all
Habe die Datei "msxword.dll" mal a... 14.06.2004, 11:46 Joerg Datei ist verdächtig. Das Kaspersky-VLAB hat dazu ... 14.06.2004, 13:02 Rokop meine wurde bereits erkannt, also sind es untersch... 14.06.2004, 15:23 DerBilk QUOTE(paff @ 13. June 2004, 16:48) QUOTE(DerB... 14.06.2004, 15:57 Metallica QUOTE(Rokop @ 14. June 2004, 15:22) meine wur... 14.06.2004, 20:43 paff QUOTE(Metallica @ 14. June 2004, 21:42) Ich h... 15.06.2004, 07:34 raman Achte mal auf die Classid, die "deine" d... 15.06.2004, 09:10 paff QUOTE(raman @ 15. June 2004, 10:09) Pieter be... 15.06.2004, 09:32
paff @All
So es scheint was neues zu geben
Dieser HiJ... 05.07.2004, 19:29 |
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 20.06.2024, 01:35 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment