auto.search.msn.com + Protocol HiJack Einstellungen

[paff]

@ALL

In letzter Zeit treten oft HiJackThis logfile auf die folgende 2 Zeilen enthalten.

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Leider erscheint dieser HiJacker nach dem Fixen bzw. Neustart immer wieder. Die Standarttools CWShredder, Ad-Aware helfen nicht.

Hab die Leute schon Logs von explorer.exe, iexplorer.exe , winlogon usw. mit der pv.zip erstellen lassen. Ich finde nichts.

Einen Hiweis hab ich, dort hat jemand in der appinit_dlls den Eintrag nvdesk32.dll
Diese Datei scheint allerdings von einer Grafikkarte zu sein

Hier ein paar Links
Vielleicht dieser HiJacker
http://www.trendmicro.com/vinfo/virusencyc...TROJ_BOOKMARK.E

Hier jemand mit dem Problem
http://board.protecus.de/showtopic.php?threadid=10578

Hier die "Verantworlichen" für 213.159.117.235
http://www.dnsstuff.com/tools/whois.ch?ip=213.159.117.235

Hat irgendjemand Infos oder kennt die Ursache
Oder sehe ich einfach vor lauter Bäumen den Wald nicht

Gruß Paff
P.S.
Interessieren würde mich auch.
Was bedeutet das genau
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Der Beitrag wurde von paff bearbeitet: 11.06.2004, 12:41

[DerBilk]

Moin paff,

so 'fürchterlich' viel habe ich dazu auch noch nicht gefunden. Aber nach dem was ich bisher gelesen habe, sollte es (zunächst) reichen, die von Dir aufgeführten Einträge zu fixen.
Sicherheitshalber würde ich aber noch die Registry durchsuchen nach diesem Wert:

{53B95211-7D77-11D2-9F81-00104B107C96}

Diese löschen und evtl. daraus aufgerufene Dateien mal genauer unter die Lupe nehmen.

[paff]

Also ist wie DerBilk schon sagt alles halb so wild

Zum Stilllegen des HiJackers müßen wohl nur die 2 Einträge in HiJackThis gefixt werden.

Aber ich will ja mehr wissen, deswegen hier ein paar Infos dazu
Die Einträge die der HiJacker in der Registry hinterläßt sind wohl folgende

HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
Standard:CAbout Class

HKEY_CLASSES_ROOT\PROTOCOLS\Handler\start
CLSID={53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP\CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1\CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
Standard:CAbout Class
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\start
Standard={53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\
CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP.1\CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}

Die verantwortliche Datei steht dann hier in dem Schlüssel InProcServer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

Der Name der Datei ist in diesem Fall "msxword.dll" und liegt im windows/system32

Wenn man sch die Datei im Klartext anschaut, kommt folgendes zutage

{
Xmlmimefilter.XMLMimeFilterPP.1 = s 'CAbout Class'
{
  CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}'
}
Xmlmimefilter.XMLMimeFilterPP = s 'CAbout Class'
{
  CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}'
  CurVer = s 'About.CAbout.1'
}
NoRemove CLSID
{
  ForceRemove {53B95211-7D77-11D2-9F81-00104B107C96} = s 'CAbout Class'
  {
   ProgID = s 'About.CAbout.1'
   VersionIndependentProgID = s 'About.CAbout'
   ForceRemove 'Programmable'
   InprocServer32 = s '%MODULE%'
   {
    val ThreadingModel = s 'Apartment'
   }
   'TypeLib' = s '{53B95204-7D77-11D2-9F81-00104B107C96}'
  }
}
NoRemove PROTOCOLS
{
  NoRemove Handler
  {
   NoRemove about
   {
    val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}'
   }
   NoRemove start
   {
    val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}'
   }  
  }
}
}

Was könnte das sein. XML, HTML??, direkt ums in dies Registry zu schreiben ?
Soweit sogut, wenn Ich noch was neues erfahre , schreib ichs hier auf

Gruß paff
P.S.
Hier die Beispiel
1.
http://www.trojaner-board.de/forum/ultimat...t=000911#000001
2.
http://board.protecus.de/showtopic.php?threadid=10627
3.
http://board.protecus.de/showtopic.php?threadid=10578

Der Beitrag wurde von paff bearbeitet: 13.06.2004, 14:28

[DerBilk]

Hi paff,

bei dem ersten Protecus-Link hat 'mwav' ja offensichtlich eine Infektion der HOSTS gefunden. Hast Du schon nähere Erkenntnisse, was dort drin steht bzw. stand?

[paff]

Hi paff,

bei dem ersten Protecus-Link hat 'mwav' ja offensichtlich eine Infektion der HOSTS gefunden. Hast Du schon nähere Erkenntnisse, was dort drin steht bzw. stand?

@DerBilk

Ich nehme mal an das hier
O1 - Hosts: 213.159.117.235 auto.search.msn.com

Es gab laut
http://www.spywareinfo.com/~merijn/cwschronicles.html

gab es schon früher einen HiJacker der in der Hosts "auto.search.msn.com" umleitet. Nehme mal an das dies in der mwav berücksichtigt wurde.

Gruß paff

[raman]

Hm, KAV/MWAV sollten die DLL eigentlich identivizieren. Warum sie das als not a virus:Advware Toolbar.(xmlmime Filter) klassifizieren, weiss ich aber auch nicht.

Nachtrag, wenn die infizierten Nutzer aber die Standardreinigung befolgen, ist er weg. Es sei denn sie werden reinfiziert, da sie nicht ihre Systeme patchen. Schau dir die Logs an und du kannst teilweise genau sehen, das der IE nicht aktuell ist.

Der Beitrag wurde von raman bearbeitet: 13.06.2004, 16:53

[Rokop]

Hm, KAV/MWAV sollten die DLL eigentlich identivizieren. Warum sie das als not a virus:Advware Toolbar.(xmlmime Filter) klassifizieren, weiss ich aber auch nicht.

F-Secure hat mir hierzu geschrieben, dass sie das Teil als Trojan erkennen wollen. Ich kann den genauen Wortlaut posten, wenn ich wieder unter Windows bin. Überprüfen kann ich es im Moment aber nicht, da ich F-secure z.Zt. nicht installiert habe.

[Metallica]

Kannst du mir die Datei mahl schicken, bitte?

pieterATwilderssecurity.org

Ich denke es wird sehr gut zu diese beiden passen:
http://www.wilderssecurity.com/showpost.ph...74&postcount=19

Gruß,

Pieter

[raman]

In wie weit Paff seine Datei mit der von Roman identisch ist, muesste er mal sagen. Allerdings traegt sie diese Variante sich unter "O18" ein. Nicht als BHO.

[paff]

@all

Habe die Datei "msxword.dll" mal an virus@rokop-security.de weitergeleitet.

Gruß paff

[Joerg]

Datei ist verdächtig. Das Kaspersky-VLAB hat dazu geantwortet:

Another new variant not-a-virus: Advware.Toolbar.XmlMimeFiler

[Rokop]

meine wurde bereits erkannt, also sind es unterschiedliche Versionen.

@ metallica

meintest Du mich mit zuschicken ?

[DerBilk]

Hi paff,

bei dem ersten Protecus-Link hat 'mwav' ja offensichtlich eine Infektion der HOSTS gefunden. Hast Du schon nähere Erkenntnisse, was dort drin steht bzw. stand?

@DerBilk

Ich nehme mal an das hier
O1 - Hosts: 213.159.117.235 auto.search.msn.com
...


Gruß paff

Ich habe vermutet, dass etwas mehr in der infizierten HOSTS stehen würde.
Ansonsten müsste der Scanner ja genau die Zeichenfolge 213.159.117.235 auto.search.msn.com als virulent erkennen, oder habe ich da einen Denkfehler?

BTW: Wenn ich eben diese Zeile testweise händisch in die HOSTS eintrage, erkennt der Scanner nichts verdächtiges an der Datei.

[Metallica]

meine wurde bereits erkannt, also sind es unterschiedliche Versionen.

@ metallica

meintest Du mich mit zuschicken  ?

Mir egal.

Ich hab sie mittlerweile und werde Sie an Merijn weiterleiten.
Sicherlich CWS, ein paar Ausschnitte:

hxxp://206.161.207.99/sextracker.html

< td style="padding-top:22;color:#002F76" align="right" nowrap>SEARCH THE WEB:</td >

Indertat Hijacked es das About Protocol

Der Beitrag wurde von Metallica bearbeitet: 14.06.2004, 20:45

[paff]

Ich hab sie mittlerweile und werde Sie an Merijn weiterleiten.
Sicherlich CWS, ein paar Ausschnitte:

hxxp://206.161.207.99/sextracker.html

< td style="padding-top:22;color:#002F76" align="right" nowrap>SEARCH THE WEB:</td >

Inder tat Hijacked es das About Protocol

Das ist sicher nicht, die Datei die ich habe.
Bei mir kann man nur den schon oben genannten Teil lesen

@metallica
Hier beschreibst du den HiJacker
http://www.wilderssecurity.com/showpost.ph...47&postcount=24
allerdings mit der MSXSLAB.DLL. Wir reden hier von einer msxword.dll die wohl auch einen anderen Inhalt hat. Siehe Klartextbeispiel im 3.ten Post.

Gruß paff

Der Beitrag wurde von paff bearbeitet: 15.06.2004, 08:09

[raman]

Achte mal auf die Classid, die "deine" dll erzeugt. Die ist etwas anders, wenn ich es recht in Erinnerung habe. Siehe dazu auch Joergs antwort.
Pieter bezog sich auch auf "Rokops" Dll.

[paff]

Pieter bezog sich auch auf "Rokops" Dll.

Das hatte ich nicht kapiert.
Danke für die Aufklärung

Gruß paff

[paff]

@All

So es scheint was neues zu geben

Dieser HiJacker äußert sich in HiJAckThis so

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll

Fixen reicht leider nicht
Hat jemand weitere Infos
irgendwo muß so was wie die "msxword.dll" noch sein.

Gruß paff
P:S:
Beispiel
http://board.protecus.de/showtopic.php?threadid=10578
Post von User "Karnstein"

Der Beitrag wurde von paff bearbeitet: 05.07.2004, 19:36