Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> auto.search.msn.com + Protocol HiJack
paff
Beitrag 11.06.2004, 12:32
Beitrag #1



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 169
Mitglied seit: 12.01.2004
Mitglieds-Nr.: 329



@ALL

In letzter Zeit treten oft HiJackThis logfile auf die folgende 2 Zeilen enthalten.

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Leider erscheint dieser HiJacker nach dem Fixen bzw. Neustart immer wieder. Die Standarttools CWShredder, Ad-Aware helfen nicht.

Hab die Leute schon Logs von explorer.exe, iexplorer.exe , winlogon usw. mit der pv.zip erstellen lassen. Ich finde nichts.

Einen Hiweis hab ich, dort hat jemand in der appinit_dlls den Eintrag nvdesk32.dll
Diese Datei scheint allerdings von einer Grafikkarte zu sein

Hier ein paar Links
Vielleicht dieser HiJacker
http://www.trendmicro.com/vinfo/virusencyc...TROJ_BOOKMARK.E

Hier jemand mit dem Problem
http://board.protecus.de/showtopic.php?threadid=10578

Hier die "Verantworlichen" für 213.159.117.235
http://www.dnsstuff.com/tools/whois.ch?ip=213.159.117.235

Hat irgendjemand Infos oder kennt die Ursache
Oder sehe ich einfach vor lauter Bäumen den Wald nicht confused.gif

Gruß Paff
P.S.
Interessieren würde mich auch.
Was bedeutet das genau
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Der Beitrag wurde von paff bearbeitet: 11.06.2004, 12:41
Go to the top of the page
 
+Quote Post
DerBilk
Beitrag 12.06.2004, 07:48
Beitrag #2



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 63
Mitglied seit: 02.05.2003
Wohnort: Bielefeld
Mitglieds-Nr.: 74

Betriebssystem:
WinXP Pro SP2
Virenscanner:
AVIRA
Firewall:
-



Moin paff,

so 'fürchterlich' viel habe ich dazu auch noch nicht gefunden. Aber nach dem was ich bisher gelesen habe, sollte es (zunächst) reichen, die von Dir aufgeführten Einträge zu fixen.
Sicherheitshalber würde ich aber noch die Registry durchsuchen nach diesem Wert:
QUOTE
{53B95211-7D77-11D2-9F81-00104B107C96}

Diese löschen und evtl. daraus aufgerufene Dateien mal genauer unter die Lupe nehmen.


--------------------
Gruß,
Lutz
Go to the top of the page
 
+Quote Post
paff
Beitrag 13.06.2004, 14:14
Beitrag #3


Threadersteller

Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 169
Mitglied seit: 12.01.2004
Mitglieds-Nr.: 329



Also ist wie DerBilk schon sagt alles halb so wild

Zum Stilllegen des HiJackers müßen wohl nur die 2 Einträge in HiJackThis gefixt werden.

Aber ich will ja mehr wissen, deswegen hier ein paar Infos dazu
Die Einträge die der HiJacker in der Registry hinterläßt sind wohl folgende

QUOTE
HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
Standard:CAbout Class

HKEY_CLASSES_ROOT\PROTOCOLS\Handler\start
CLSID={53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP\CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1\CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
Standard:CAbout Class
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\start
Standard={53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\
CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP.1\CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}


Die verantwortliche Datei steht dann hier in dem Schlüssel InProcServer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

Der Name der Datei ist in diesem Fall "msxword.dll" und liegt im windows/system32

Wenn man sch die Datei im Klartext anschaut, kommt folgendes zutage
QUOTE
{
Xmlmimefilter.XMLMimeFilterPP.1 = s 'CAbout Class'
{
  CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}'
}
Xmlmimefilter.XMLMimeFilterPP = s 'CAbout Class'
{
  CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}'
  CurVer = s 'About.CAbout.1'
}
NoRemove CLSID
{
  ForceRemove {53B95211-7D77-11D2-9F81-00104B107C96} = s 'CAbout Class'
  {
   ProgID = s 'About.CAbout.1'
   VersionIndependentProgID = s 'About.CAbout'
   ForceRemove 'Programmable'
   InprocServer32 = s '%MODULE%'
   {
    val ThreadingModel = s 'Apartment'
   }
   'TypeLib' = s '{53B95204-7D77-11D2-9F81-00104B107C96}'
  }
}
NoRemove PROTOCOLS
{
  NoRemove Handler
  {
   NoRemove about
   {
    val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}'
   }
   NoRemove start
   {
    val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}'
   }  
  }
}
}


Was könnte das sein. XML, HTML??, direkt ums in dies Registry zu schreiben ?
Soweit sogut, wenn Ich noch was neues erfahre , schreib ichs hier auf smile.gif

Gruß paff
P.S.
Hier die Beispiel
1.
http://www.trojaner-board.de/forum/ultimat...t=000911#000001
2.
http://board.protecus.de/showtopic.php?threadid=10627
3.
http://board.protecus.de/showtopic.php?threadid=10578

Der Beitrag wurde von paff bearbeitet: 13.06.2004, 14:28
Go to the top of the page
 
+Quote Post
DerBilk
Beitrag 13.06.2004, 15:37
Beitrag #4



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 63
Mitglied seit: 02.05.2003
Wohnort: Bielefeld
Mitglieds-Nr.: 74

Betriebssystem:
WinXP Pro SP2
Virenscanner:
AVIRA
Firewall:
-



Hi paff,

bei dem ersten Protecus-Link hat 'mwav' ja offensichtlich eine Infektion der HOSTS gefunden. Hast Du schon nähere Erkenntnisse, was dort drin steht bzw. stand?


--------------------
Gruß,
Lutz
Go to the top of the page
 
+Quote Post
paff
Beitrag 13.06.2004, 15:49
Beitrag #5


Threadersteller

Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 169
Mitglied seit: 12.01.2004
Mitglieds-Nr.: 329



QUOTE(DerBilk @ 13. June 2004, 16:36)
Hi paff,

bei dem ersten Protecus-Link hat 'mwav' ja offensichtlich eine Infektion der HOSTS gefunden. Hast Du schon nähere Erkenntnisse, was dort drin steht bzw. stand?

@DerBilk

Ich nehme mal an das hier
O1 - Hosts: 213.159.117.235 auto.search.msn.com wink.gif

Es gab laut
http://www.spywareinfo.com/~merijn/cwschronicles.html

gab es schon früher einen HiJacker der in der Hosts "auto.search.msn.com" umleitet. Nehme mal an das dies in der mwav berücksichtigt wurde.

Gruß paff
Go to the top of the page
 
+Quote Post
raman
Beitrag 13.06.2004, 16:49
Beitrag #6



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Hm, KAV/MWAV sollten die DLL eigentlich identivizieren. Warum sie das als not a virus:Advware Toolbar.(xmlmime Filter) klassifizieren, weiss ich aber auch nicht.

Nachtrag, wenn die infizierten Nutzer aber die Standardreinigung befolgen, ist er weg. Es sei denn sie werden reinfiziert, da sie nicht ihre Systeme patchen. Schau dir die Logs an und du kannst teilweise genau sehen, das der IE nicht aktuell ist.

Der Beitrag wurde von raman bearbeitet: 13.06.2004, 16:53


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 13.06.2004, 16:57
Beitrag #7



Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



QUOTE(raman @ 13. June 2004, 17:48)
Hm, KAV/MWAV sollten die DLL eigentlich identivizieren. Warum sie das als not a virus:Advware Toolbar.(xmlmime Filter) klassifizieren, weiss ich aber auch nicht.

F-Secure hat mir hierzu geschrieben, dass sie das Teil als Trojan erkennen wollen. Ich kann den genauen Wortlaut posten, wenn ich wieder unter Windows bin. Überprüfen kann ich es im Moment aber nicht, da ich F-secure z.Zt. nicht installiert habe.


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
Metallica
Beitrag 14.06.2004, 09:47
Beitrag #8



Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.05.2004
Mitglieds-Nr.: 824



Kannst du mir die Datei mahl schicken, bitte?

pieterATwilderssecurity.org

Ich denke es wird sehr gut zu diese beiden passen:
http://www.wilderssecurity.com/showpost.ph...74&postcount=19

Gruß,

Pieter


--------------------
Go to the top of the page
 
+Quote Post
raman
Beitrag 14.06.2004, 10:51
Beitrag #9



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



In wie weit Paff seine Datei mit der von Roman identisch ist, muesste er mal sagen. Allerdings traegt sie diese Variante sich unter "O18" ein. Nicht als BHO.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
paff
Beitrag 14.06.2004, 11:46
Beitrag #10


Threadersteller

Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 169
Mitglied seit: 12.01.2004
Mitglieds-Nr.: 329



@all

Habe die Datei "msxword.dll" mal an virus@rokop-security.de weitergeleitet.

Gruß paff
Go to the top of the page
 
+Quote Post
Joerg
Beitrag 14.06.2004, 13:02
Beitrag #11



Orakel-Profi
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.200
Mitglied seit: 07.12.2003
Wohnort: Weiden (Oberpfalz)
Mitglieds-Nr.: 256

Betriebssystem:
Linux Mint 17.1



Datei ist verdächtig. Das Kaspersky-VLAB hat dazu geantwortet:
QUOTE
Another new variant not-a-virus: Advware.Toolbar.XmlMimeFiler


--------------------
Grüße, Jörg
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 14.06.2004, 15:23
Beitrag #12



Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



meine wurde bereits erkannt, also sind es unterschiedliche Versionen.

@ metallica

meintest Du mich mit zuschicken ?


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
DerBilk
Beitrag 14.06.2004, 15:57
Beitrag #13



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 63
Mitglied seit: 02.05.2003
Wohnort: Bielefeld
Mitglieds-Nr.: 74

Betriebssystem:
WinXP Pro SP2
Virenscanner:
AVIRA
Firewall:
-



QUOTE(paff @ 13. June 2004, 16:48)
QUOTE(DerBilk @ 13. June 2004, 16:36)
Hi paff,

bei dem ersten Protecus-Link hat 'mwav' ja offensichtlich eine Infektion der HOSTS gefunden. Hast Du schon nähere Erkenntnisse, was dort drin steht bzw. stand?

@DerBilk

Ich nehme mal an das hier
O1 - Hosts: 213.159.117.235 auto.search.msn.com wink.gif
...


Gruß paff

Ich habe vermutet, dass etwas mehr in der infizierten HOSTS stehen würde.
Ansonsten müsste der Scanner ja genau die Zeichenfolge 213.159.117.235 auto.search.msn.com als virulent erkennen, oder habe ich da einen Denkfehler?

BTW: Wenn ich eben diese Zeile testweise händisch in die HOSTS eintrage, erkennt der Scanner nichts verdächtiges an der Datei.


--------------------
Gruß,
Lutz
Go to the top of the page
 
+Quote Post
Metallica
Beitrag 14.06.2004, 20:43
Beitrag #14



Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.05.2004
Mitglieds-Nr.: 824



QUOTE(Rokop @ 14. June 2004, 15:22)
meine wurde bereits erkannt, also sind es unterschiedliche Versionen.

@ metallica

meintest Du mich mit zuschicken  ?

Mir egal. smile.gif

Ich hab sie mittlerweile und werde Sie an Merijn weiterleiten.
Sicherlich CWS, ein paar Ausschnitte:

hxxp://206.161.207.99/sextracker.html

< td style="padding-top:22;color:#002F76" align="right" nowrap>SEARCH THE WEB:</td >

Indertat Hijacked es das About Protocol

Der Beitrag wurde von Metallica bearbeitet: 14.06.2004, 20:45


--------------------
Go to the top of the page
 
+Quote Post
paff
Beitrag 15.06.2004, 07:34
Beitrag #15


Threadersteller

Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 169
Mitglied seit: 12.01.2004
Mitglieds-Nr.: 329



QUOTE(Metallica @ 14. June 2004, 21:42)
Ich hab sie mittlerweile und werde Sie an Merijn weiterleiten.
Sicherlich CWS, ein paar Ausschnitte:

hxxp://206.161.207.99/sextracker.html

< td style="padding-top:22;color:#002F76" align="right" nowrap>SEARCH THE WEB:</td >

Inder tat Hijacked es das About Protocol

Das ist sicher nicht, die Datei die ich habe. confused.gif
Bei mir kann man nur den schon oben genannten Teil lesen

@metallica
Hier beschreibst du den HiJacker
http://www.wilderssecurity.com/showpost.ph...47&postcount=24
allerdings mit der MSXSLAB.DLL. Wir reden hier von einer msxword.dll die wohl auch einen anderen Inhalt hat. Siehe Klartextbeispiel im 3.ten Post.

Gruß paff

Der Beitrag wurde von paff bearbeitet: 15.06.2004, 08:09
Go to the top of the page
 
+Quote Post
raman
Beitrag 15.06.2004, 09:10
Beitrag #16



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Achte mal auf die Classid, die "deine" dll erzeugt. Die ist etwas anders, wenn ich es recht in Erinnerung habe. Siehe dazu auch Joergs antwort.
Pieter bezog sich auch auf "Rokops" Dll.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
paff
Beitrag 15.06.2004, 09:32
Beitrag #17


Threadersteller

Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 169
Mitglied seit: 12.01.2004
Mitglieds-Nr.: 329



QUOTE(raman @ 15. June 2004, 10:09)
Pieter bezog sich auch auf "Rokops" Dll.

Das hatte ich nicht kapiert. whistling.gif
Danke für die Aufklärung

Gruß paff
Go to the top of the page
 
+Quote Post
paff
Beitrag 05.07.2004, 19:29
Beitrag #18


Threadersteller

Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 169
Mitglied seit: 12.01.2004
Mitglieds-Nr.: 329



@All

So es scheint was neues zu geben

Dieser HiJacker äußert sich in HiJAckThis so

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll

Fixen reicht leider nicht
Hat jemand weitere Infos
irgendwo muß so was wie die "msxword.dll" noch sein.

Gruß paff
P:S:
Beispiel
http://board.protecus.de/showtopic.php?threadid=10578
Post von User "Karnstein"

Der Beitrag wurde von paff bearbeitet: 05.07.2004, 19:36
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.11.2022, 08:24
Impressum