Seit einigen Wochen beschäftigt uns (und nicht nur uns) ein Browser Hijacker, der nur sehr schwer zu entfernen ist und dadurch immer wieder die Startseite des Internet Explorers mit einer Suchseite ersetzt. Alle bisherigen Programme konnten diesen Hijacker scheinbar entfernen, er kam aber jedoch nach einigen Stunden wieder.
Auf der Suche nach einer Lösung des Problems waren jedoch einige Dinge unklar: Wo und wie infiziert man sich ? Welche Sicherheitslücke nutzt dieser Hijacker?
Fakten waren lediglich eine DLL, die einmal auf dem Rechner aktiv, gänzlich unsichtbar war, sowie die Berichte von infizierten Usern aus diversen Foren.
Dieser Hijacker ist eine CoolWWWSearch Variante die sp.html-Hijacker oder auch Trojan.Win32.Startpage.gv bzw. fw genannt wird.
Im vorliegenden Fall wurde spätens um 22:40 Uhr am Tage der Infektion (die wir nachgestellt haben) die Startseite des IE mit der Suchseite searchx.cc ausgetauscht. Entfernte man die Starteinträge manuell oder mit Hilfe des CWShredders, schien zunächst alles klar, wenige Stunden später war aber wieder alles beim Alten.
Den Hijacker erkennt man am leichtesten mit dem Tool http://www.merijn.org/ an folgenden rot markierten Einträgen:
[attachmentid=896]
In allen uns bekannten Fällen enden die Zeilen mit ...sp.html (obfuscated) und einem dazugehörigen BHO Eintrag.
Das nun fertige Entfernungstool ist einigen unermüdlichen Leuten zu verdanken, die mangels professioneller Hilfe selbst aktiv wurden. Herausgekommen ist ein Cleaner, der sowohl die ursächliche Datei, als auch die offensichtliche Datei löscht und die Startseite auf about:blank setzt.
Der Cleaner ist bisher nur unter Windows2000/XP funktionsfähig und muß mit Administratorrechten ausgeführt werden.
Nach dem entpacken der Zipdatei wird die SpHjfix.exe gestartet und der Button "Desinfektion starten" gedrückt.
[attachmentid=897]
Danach startet das System neu und der Cleaner wird nochmals automatisch aufgerufen um die Reinigung abzuschliessen. Anschließend ist der Computer vom Hijacker befreit. Wir empfehlen aber trotzdem noch einmal den http://www.intermute.com/spysubtract/cwshredder_download.html zu benutzen, der noch einen verwaisten Registryeintrag entfernt.
Ich möchte an dieser Stelle nochmals besonderen Dank an folgende Personen aussprechen, die bei der Lösung des Problems beteiligt waren:
- Seeker (Programmierer)
- Raman
- DerBilk
- Paff
Und hier geht`s nun zum http://www.rokop-security.de/index.php?download=9 des Cleaners.
GRATULATION!!!!
ich find das klasse,...habt ihr euch doch wirklich tagelang dazu bemüht...nicht schlecht, respekt....
besten gruss
rock
http://www.winfuture.de/news,14622.html
Frage: nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante, fing RegProt an Zustimmung zu fragen für jeder Register-Schlüßel (alle schon mal zugelassen)
Kann mir selber den Grund dafür nicht ausdenken aber da diese Variante im HijackThis Log aussieht und sich auch teilweise so benimmt wie die Variante wogegen das Program vorgehen soll, wäre es vielleicht ratsam das mal zu untersuchen.
Komplimente übrigens für die Leistung.
Gruß,
Wennst da nähere Infos hast kannst sie ja mir oder Rokop mal schicken
Gruß
Hallo Seeker,
Was brauchst du?
Eine Kopie von mrhop.dll kann ich dir schicken.
RegProt kannst du hier um sonst bekommen: http://www.diamondcs.com.au/index.php?page=regprot
Gruß,
Aso ich dachte du hast die relevanten Reg-Schlüssel schon parat ....
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)