Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ News _ Cleaner für Hijacker-sp.html

Geschrieben von: Rokop 14.05.2004, 01:08

Seit einigen Wochen beschäftigt uns (und nicht nur uns) ein Browser Hijacker, der nur sehr schwer zu entfernen ist und dadurch immer wieder die Startseite des Internet Explorers mit einer Suchseite ersetzt. Alle bisherigen Programme konnten diesen Hijacker scheinbar entfernen, er kam aber jedoch nach einigen Stunden wieder.

Auf der Suche nach einer Lösung des Problems waren jedoch einige Dinge unklar: Wo und wie infiziert man sich ? Welche Sicherheitslücke nutzt dieser Hijacker?
Fakten waren lediglich eine DLL, die einmal auf dem Rechner aktiv, gänzlich unsichtbar war, sowie die Berichte von infizierten Usern aus diversen Foren.

Dieser Hijacker ist eine CoolWWWSearch Variante die sp.html-Hijacker oder auch Trojan.Win32.Startpage.gv bzw. fw genannt wird.
Im vorliegenden Fall wurde spätens um 22:40 Uhr am Tage der Infektion (die wir nachgestellt haben) die Startseite des IE mit der Suchseite searchx.cc ausgetauscht. Entfernte man die Starteinträge manuell oder mit Hilfe des CWShredders, schien zunächst alles klar, wenige Stunden später war aber wieder alles beim Alten.

Den Hijacker erkennt man am leichtesten mit dem Tool http://www.merijn.org/ an folgenden rot markierten Einträgen:

[attachmentid=896]

In allen uns bekannten Fällen enden die Zeilen mit ...sp.html (obfuscated) und einem dazugehörigen BHO Eintrag.

Das nun fertige Entfernungstool ist einigen unermüdlichen Leuten zu verdanken, die mangels professioneller Hilfe selbst aktiv wurden. Herausgekommen ist ein Cleaner, der sowohl die ursächliche Datei, als auch die offensichtliche Datei löscht und die Startseite auf about:blank setzt.

Der Cleaner ist bisher nur unter Windows2000/XP funktionsfähig und muß mit Administratorrechten ausgeführt werden.

Nach dem entpacken der Zipdatei wird die SpHjfix.exe gestartet und der Button "Desinfektion starten" gedrückt.

[attachmentid=897]

Danach startet das System neu und der Cleaner wird nochmals automatisch aufgerufen um die Reinigung abzuschliessen. Anschließend ist der Computer vom Hijacker befreit. Wir empfehlen aber trotzdem noch einmal den http://www.intermute.com/spysubtract/cwshredder_download.html zu benutzen, der noch einen verwaisten Registryeintrag entfernt.

Ich möchte an dieser Stelle nochmals besonderen Dank an folgende Personen aussprechen, die bei der Lösung des Problems beteiligt waren:

- Seeker (Programmierer)
- Raman
- DerBilk
- Paff

Und hier geht`s nun zum http://www.rokop-security.de/index.php?download=9 des Cleaners.

 

Geschrieben von: rock 14.05.2004, 08:34

GRATULATION!!!! smile.gif
ich find das klasse,...habt ihr euch doch wirklich tagelang dazu bemüht...nicht schlecht, respekt....

besten gruss
rock ph34r.gif

Geschrieben von: Nangie 14.05.2004, 14:36

user posted image

Geschrieben von: rock 15.05.2004, 06:24

http://www.winfuture.de/news,14622.html wink.gif

ph34r.gif

Geschrieben von: Metallica 15.05.2004, 16:39

Frage: nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante, fing RegProt an Zustimmung zu fragen für jeder Register-Schlüßel (alle schon mal zugelassen)
Kann mir selber den Grund dafür nicht ausdenken aber da diese Variante im HijackThis Log aussieht und sich auch teilweise so benimmt wie die Variante wogegen das Program vorgehen soll, wäre es vielleicht ratsam das mal zu untersuchen.

Komplimente übrigens für die Leistung. thumbup.gif

Gruß,

Geschrieben von: Seeker 15.05.2004, 16:51

Wennst da nähere Infos hast kannst sie ja mir oder Rokop mal schicken

Gruß

Geschrieben von: Metallica 15.05.2004, 17:08

Hallo Seeker,

Was brauchst du?
Eine Kopie von mrhop.dll kann ich dir schicken.
RegProt kannst du hier um sonst bekommen: http://www.diamondcs.com.au/index.php?page=regprot

Gruß,

Geschrieben von: Seeker 15.05.2004, 18:08

Aso ich dachte du hast die relevanten Reg-Schlüssel schon parat .... smile.gif


QUOTE
nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante


In dem Fall hat es nicht funktioniert oder?

Gruß

Geschrieben von: Metallica 15.05.2004, 20:27

QUOTE(Seeker @ 15. May 2004, 18:07)
QUOTE
nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante


In dem Fall hat es nicht funktioniert oder?

Das es nicht funktionierrt hat stimmt. Hatte ich auch nicht erwartet, da diese Variante nicht den AppInit_DLL benutzt.

Die Schlüssel waren alle Einträge unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und diese beiden
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)