auto.search.msn.com + Protocol HiJack |
Willkommen, Gast ( Anmelden | Registrierung )
auto.search.msn.com + Protocol HiJack |
11.06.2004, 12:32
Beitrag
#1
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
@ALL
In letzter Zeit treten oft HiJackThis logfile auf die folgende 2 Zeilen enthalten. O1 - Hosts: 213.159.117.235 auto.search.msn.com O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Leider erscheint dieser HiJacker nach dem Fixen bzw. Neustart immer wieder. Die Standarttools CWShredder, Ad-Aware helfen nicht. Hab die Leute schon Logs von explorer.exe, iexplorer.exe , winlogon usw. mit der pv.zip erstellen lassen. Ich finde nichts. Einen Hiweis hab ich, dort hat jemand in der appinit_dlls den Eintrag nvdesk32.dll Diese Datei scheint allerdings von einer Grafikkarte zu sein Hier ein paar Links Vielleicht dieser HiJacker http://www.trendmicro.com/vinfo/virusencyc...TROJ_BOOKMARK.E Hier jemand mit dem Problem http://board.protecus.de/showtopic.php?threadid=10578 Hier die "Verantworlichen" für 213.159.117.235 http://www.dnsstuff.com/tools/whois.ch?ip=213.159.117.235 Hat irgendjemand Infos oder kennt die Ursache Oder sehe ich einfach vor lauter Bäumen den Wald nicht Gruß Paff P.S. Interessieren würde mich auch. Was bedeutet das genau O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Der Beitrag wurde von paff bearbeitet: 11.06.2004, 12:41 |
|
|
13.06.2004, 14:14
Beitrag
#2
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
Also ist wie DerBilk schon sagt alles halb so wild
Zum Stilllegen des HiJackers müßen wohl nur die 2 Einträge in HiJackThis gefixt werden. Aber ich will ja mehr wissen, deswegen hier ein paar Infos dazu Die Einträge die der HiJacker in der Registry hinterläßt sind wohl folgende QUOTE HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Standard:CAbout Class HKEY_CLASSES_ROOT\PROTOCOLS\Handler\start CLSID={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Standard:CAbout Class HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\start Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\ CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP.1\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} Die verantwortliche Datei steht dann hier in dem Schlüssel InProcServer HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Der Name der Datei ist in diesem Fall "msxword.dll" und liegt im windows/system32 Wenn man sch die Datei im Klartext anschaut, kommt folgendes zutage QUOTE { Xmlmimefilter.XMLMimeFilterPP.1 = s 'CAbout Class' { CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' } Xmlmimefilter.XMLMimeFilterPP = s 'CAbout Class' { CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' CurVer = s 'About.CAbout.1' } NoRemove CLSID { ForceRemove {53B95211-7D77-11D2-9F81-00104B107C96} = s 'CAbout Class' { ProgID = s 'About.CAbout.1' VersionIndependentProgID = s 'About.CAbout' ForceRemove 'Programmable' InprocServer32 = s '%MODULE%' { val ThreadingModel = s 'Apartment' } 'TypeLib' = s '{53B95204-7D77-11D2-9F81-00104B107C96}' } } NoRemove PROTOCOLS { NoRemove Handler { NoRemove about { val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' } NoRemove start { val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' } } } } Was könnte das sein. XML, HTML??, direkt ums in dies Registry zu schreiben ? Soweit sogut, wenn Ich noch was neues erfahre , schreib ichs hier auf Gruß paff P.S. Hier die Beispiel 1. http://www.trojaner-board.de/forum/ultimat...t=000911#000001 2. http://board.protecus.de/showtopic.php?threadid=10627 3. http://board.protecus.de/showtopic.php?threadid=10578 Der Beitrag wurde von paff bearbeitet: 13.06.2004, 14:28 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 20.06.2024, 01:35 |