Cleaner für Hijacker-sp.html |
Willkommen, Gast ( Anmelden | Registrierung )
Cleaner für Hijacker-sp.html |
14.05.2004, 01:08
Beitrag
#1
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Seit einigen Wochen beschäftigt uns (und nicht nur uns) ein Browser Hijacker, der nur sehr schwer zu entfernen ist und dadurch immer wieder die Startseite des Internet Explorers mit einer Suchseite ersetzt. Alle bisherigen Programme konnten diesen Hijacker scheinbar entfernen, er kam aber jedoch nach einigen Stunden wieder.
Auf der Suche nach einer Lösung des Problems waren jedoch einige Dinge unklar: Wo und wie infiziert man sich ? Welche Sicherheitslücke nutzt dieser Hijacker? Fakten waren lediglich eine DLL, die einmal auf dem Rechner aktiv, gänzlich unsichtbar war, sowie die Berichte von infizierten Usern aus diversen Foren. Dieser Hijacker ist eine CoolWWWSearch Variante die sp.html-Hijacker oder auch Trojan.Win32.Startpage.gv bzw. fw genannt wird. Im vorliegenden Fall wurde spätens um 22:40 Uhr am Tage der Infektion (die wir nachgestellt haben) die Startseite des IE mit der Suchseite searchx.cc ausgetauscht. Entfernte man die Starteinträge manuell oder mit Hilfe des CWShredders, schien zunächst alles klar, wenige Stunden später war aber wieder alles beim Alten. Den Hijacker erkennt man am leichtesten mit dem Tool HiJackThis an folgenden rot markierten Einträgen: In allen uns bekannten Fällen enden die Zeilen mit ...sp.html (obfuscated) und einem dazugehörigen BHO Eintrag. Das nun fertige Entfernungstool ist einigen unermüdlichen Leuten zu verdanken, die mangels professioneller Hilfe selbst aktiv wurden. Herausgekommen ist ein Cleaner, der sowohl die ursächliche Datei, als auch die offensichtliche Datei löscht und die Startseite auf about:blank setzt. Der Cleaner ist bisher nur unter Windows2000/XP funktionsfähig und muß mit Administratorrechten ausgeführt werden. Nach dem entpacken der Zipdatei wird die SpHjfix.exe gestartet und der Button "Desinfektion starten" gedrückt. Danach startet das System neu und der Cleaner wird nochmals automatisch aufgerufen um die Reinigung abzuschliessen. Anschließend ist der Computer vom Hijacker befreit. Wir empfehlen aber trotzdem noch einmal den CWShredder zu benutzen, der noch einen verwaisten Registryeintrag entfernt. Ich möchte an dieser Stelle nochmals besonderen Dank an folgende Personen aussprechen, die bei der Lösung des Problems beteiligt waren: - Seeker (Programmierer) - Raman - DerBilk - Paff Und hier geht`s nun zum Download des Cleaners.
Angehängte Datei(en)
sshjtlog.jpg ( 70.77KB )
Anzahl der Downloads: 203
sphjfix.jpg ( 39.62KB ) Anzahl der Downloads: 147 -------------------- (-- Roman --)
|
|
|
Gast_rock_* |
14.05.2004, 08:34
Beitrag
#2
|
Gäste |
GRATULATION!!!!
ich find das klasse,...habt ihr euch doch wirklich tagelang dazu bemüht...nicht schlecht, respekt.... besten gruss rock |
|
|
14.05.2004, 14:36
Beitrag
#3
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 71 Mitglied seit: 26.04.2003 Wohnort: Universum Mitglieds-Nr.: 54 |
-------------------- MfG Nangie
"Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher." -Albert Einstein |
|
|
Gast_rock_* |
15.05.2004, 06:24
Beitrag
#4
|
Gäste |
|
|
|
15.05.2004, 16:39
Beitrag
#5
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.05.2004 Mitglieds-Nr.: 824 |
Frage: nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante, fing RegProt an Zustimmung zu fragen für jeder Register-Schlüßel (alle schon mal zugelassen)
Kann mir selber den Grund dafür nicht ausdenken aber da diese Variante im HijackThis Log aussieht und sich auch teilweise so benimmt wie die Variante wogegen das Program vorgehen soll, wäre es vielleicht ratsam das mal zu untersuchen. Komplimente übrigens für die Leistung. Gruß, -------------------- |
|
|
15.05.2004, 16:51
Beitrag
#6
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 179 Mitglied seit: 05.07.2003 Mitglieds-Nr.: 126 |
Wennst da nähere Infos hast kannst sie ja mir oder Rokop mal schicken
Gruß Der Beitrag wurde von Seeker bearbeitet: 15.05.2004, 16:51 -------------------- Gruß
Seeker |
|
|
15.05.2004, 17:08
Beitrag
#7
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.05.2004 Mitglieds-Nr.: 824 |
Hallo Seeker,
Was brauchst du? Eine Kopie von mrhop.dll kann ich dir schicken. RegProt kannst du hier um sonst bekommen: http://www.diamondcs.com.au/index.php?page=regprot Gruß, -------------------- |
|
|
15.05.2004, 18:08
Beitrag
#8
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 179 Mitglied seit: 05.07.2003 Mitglieds-Nr.: 126 |
Aso ich dachte du hast die relevanten Reg-Schlüssel schon parat ....
QUOTE nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante In dem Fall hat es nicht funktioniert oder? Gruß -------------------- Gruß
Seeker |
|
|
15.05.2004, 20:27
Beitrag
#9
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.05.2004 Mitglieds-Nr.: 824 |
QUOTE(Seeker @ 15. May 2004, 18:07) QUOTE nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante In dem Fall hat es nicht funktioniert oder? Das es nicht funktionierrt hat stimmt. Hatte ich auch nicht erwartet, da diese Variante nicht den AppInit_DLL benutzt. Die Schlüssel waren alle Einträge unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und diese beiden HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command -------------------- |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 23.04.2024, 07:35 |