 O15 - Trusted Zone: http://*.63.219.181.7, ...eine besonders üble Art von Hijacking |
Willkommen, Gast ( Anmelden | Registrierung )
 29.11.2004, 11:35
Beitrag
#1
|
|
|
War schon oft hier  Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: -  |
Wie gestern in diesem Thread versprochen, will ich mal meine ersten Erfahrungen mit dieser imho besonders perfiden Methode des Browser-Hijackings weitergeben.
Es fing recht harmlos an. Ein (leitender) Mitarbeiter unserer Fa. gab mir sein privates Notebook mit der Aussage, der Internet-Explorer öffne immer nur irgendwelche ominösen Suchseiten, oder 'zweifelhafte' Seiten. Außerdem würde er bombadiert mit Pop-Ups. Jo, alles klar. Mal wieder ein Hijacking-Opfer. Also das übliche Ritual durchgespielt. Erst einmal eScan (mit 68 Funden!), danach HijackThis. Löschen mit eScan (ältere Version) war kein Problem. Bei HijackThis stolperte ich dann über den nicht gefixten Eintrag O15 - Trusted Zone: http://*.63.219.181.7 Vielleicht das Häckchen vergessen? Na gut, nochmal... Immer noch steht der Eintrag im Log  Dann habe ich die Meldung über die Beta-Version von HijackThis 1.99 gelesen und die Mitteilung, dass ein entsprechender Bug behoben wurde... raman wieß mich dann auf folgendes hin: Post bei Wilders Security Daher weht also der Wind! Der Eintrag Trusted Zone war also das einzige erkennbare 'Mitbringsel' eines doch recht üblen Hijackers. Ich habe dann heute Morgen das Tool Ms4Hd_look aus o.g. Thread heruntergeladen, sowie die Killbox und die Registry-Datei Ms4Hd_look war dann wohl ein Volltreffer. Folgende Dateien habe ich so gefunden: QUOTE C:\WINDOWS\system32\service.exe C:\WINDOWS\system32\ie4unit.exe C:\WINDOWS\system32\ipxroutex.exe C:\WINDOWS\system32\rdshost32.exe C:\WINDOWS\system32\rshe.exe C:\WINDOWS\system32\net2.exe C:\WINDOWS\system32\mqsvch.exe C:\WINDOWS\system32\dllhostxp.exe C:\WINDOWS\system32\extrac16.exe C:\WINDOWS\system32\mqbckup.exe C:\WINDOWS\system32\pxhping.exe C:\WINDOWS\system32\rdpnr.exe C:\WINDOWS\system32\slservc.exe C:\WINDOWS\system32\clfmon.exe C:\WINDOWS\system32\hdr.dll C:\WINDOWS\system32\msacmx.dll C:\WINDOWS\system32\d3dxov.dll C:\WINDOWS\system32\winsrv32.dll Mit Killbox konnte ich die Dateien problemlos löschen. Anschließend noch die weiteren Schritte die bei Wilders angegeben sind und nach allem was ich bisher sagen kann ist diese Kröte von Hijacker geschluckt... Ich habe ja nun schon einiges an Hijackern erlebt, aber diese Dimension ist mir bisher nicht untergekommen. Habt ihr ähnliche 'Erlebnisse' schon machen dürfen?? BTW: Bei diesem nicht unerheblichen Zeitaufwand hätte ich das Notebook auch locker neu aufsetzen können. Aber dies war mir vom Eigentümer 'untersagt'. -------------------- Gruß,
Lutz |
 |
 
|
 |
Antworten
|
29.11.2004, 21:40
Beitrag
#2
|
|
|
AV-Spezialist  Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Nur so als Info, hier kann man schoen sehen, was so alles passiert, wenn man einen Hijacker untergeschobn bekommt!:)
http://board.protecus.de/showtopic.php?threadid=13792 Der Beitrag wurde von raman bearbeitet: 29.11.2004, 21:41 -------------------- MfG Ralf
|
|
|
|
Beiträge in diesem Thema
DerBilk O15 - Trusted Zone: http://*.63.219.181.7 29.11.2004, 11:35
raman Ich habe warscheinlich den Downloader fuer einen T... 29.11.2004, 12:25 Witti Habe mal die zugehörige IP durch die Boardsuche ge... 29.11.2004, 12:56 raman Ja, von dem Server mit der IP Adresse wird anschei... 29.11.2004, 16:35
 |
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 14.06.2024, 09:27 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment