auto.search.msn.com + Protocol HiJack |
Willkommen, Gast ( Anmelden | Registrierung )
auto.search.msn.com + Protocol HiJack |
11.06.2004, 12:32
Beitrag
#1
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
@ALL
In letzter Zeit treten oft HiJackThis logfile auf die folgende 2 Zeilen enthalten. O1 - Hosts: 213.159.117.235 auto.search.msn.com O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Leider erscheint dieser HiJacker nach dem Fixen bzw. Neustart immer wieder. Die Standarttools CWShredder, Ad-Aware helfen nicht. Hab die Leute schon Logs von explorer.exe, iexplorer.exe , winlogon usw. mit der pv.zip erstellen lassen. Ich finde nichts. Einen Hiweis hab ich, dort hat jemand in der appinit_dlls den Eintrag nvdesk32.dll Diese Datei scheint allerdings von einer Grafikkarte zu sein Hier ein paar Links Vielleicht dieser HiJacker http://www.trendmicro.com/vinfo/virusencyc...TROJ_BOOKMARK.E Hier jemand mit dem Problem http://board.protecus.de/showtopic.php?threadid=10578 Hier die "Verantworlichen" für 213.159.117.235 http://www.dnsstuff.com/tools/whois.ch?ip=213.159.117.235 Hat irgendjemand Infos oder kennt die Ursache Oder sehe ich einfach vor lauter Bäumen den Wald nicht Gruß Paff P.S. Interessieren würde mich auch. Was bedeutet das genau O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Der Beitrag wurde von paff bearbeitet: 11.06.2004, 12:41 |
|
|
12.06.2004, 07:48
Beitrag
#2
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: - |
Moin paff,
so 'fürchterlich' viel habe ich dazu auch noch nicht gefunden. Aber nach dem was ich bisher gelesen habe, sollte es (zunächst) reichen, die von Dir aufgeführten Einträge zu fixen. Sicherheitshalber würde ich aber noch die Registry durchsuchen nach diesem Wert: QUOTE {53B95211-7D77-11D2-9F81-00104B107C96} Diese löschen und evtl. daraus aufgerufene Dateien mal genauer unter die Lupe nehmen. -------------------- Gruß,
Lutz |
|
|
13.06.2004, 14:14
Beitrag
#3
|
|
Threadersteller Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
Also ist wie DerBilk schon sagt alles halb so wild
Zum Stilllegen des HiJackers müßen wohl nur die 2 Einträge in HiJackThis gefixt werden. Aber ich will ja mehr wissen, deswegen hier ein paar Infos dazu Die Einträge die der HiJacker in der Registry hinterläßt sind wohl folgende QUOTE HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Standard:CAbout Class HKEY_CLASSES_ROOT\PROTOCOLS\Handler\start CLSID={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Standard:CAbout Class HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\start Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\ CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP.1\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} Die verantwortliche Datei steht dann hier in dem Schlüssel InProcServer HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Der Name der Datei ist in diesem Fall "msxword.dll" und liegt im windows/system32 Wenn man sch die Datei im Klartext anschaut, kommt folgendes zutage QUOTE { Xmlmimefilter.XMLMimeFilterPP.1 = s 'CAbout Class' { CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' } Xmlmimefilter.XMLMimeFilterPP = s 'CAbout Class' { CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' CurVer = s 'About.CAbout.1' } NoRemove CLSID { ForceRemove {53B95211-7D77-11D2-9F81-00104B107C96} = s 'CAbout Class' { ProgID = s 'About.CAbout.1' VersionIndependentProgID = s 'About.CAbout' ForceRemove 'Programmable' InprocServer32 = s '%MODULE%' { val ThreadingModel = s 'Apartment' } 'TypeLib' = s '{53B95204-7D77-11D2-9F81-00104B107C96}' } } NoRemove PROTOCOLS { NoRemove Handler { NoRemove about { val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' } NoRemove start { val CLSID = s '{53B95211-7D77-11D2-9F81-00104B107C96}' } } } } Was könnte das sein. XML, HTML??, direkt ums in dies Registry zu schreiben ? Soweit sogut, wenn Ich noch was neues erfahre , schreib ichs hier auf Gruß paff P.S. Hier die Beispiel 1. http://www.trojaner-board.de/forum/ultimat...t=000911#000001 2. http://board.protecus.de/showtopic.php?threadid=10627 3. http://board.protecus.de/showtopic.php?threadid=10578 Der Beitrag wurde von paff bearbeitet: 13.06.2004, 14:28 |
|
|
13.06.2004, 15:37
Beitrag
#4
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: - |
Hi paff,
bei dem ersten Protecus-Link hat 'mwav' ja offensichtlich eine Infektion der HOSTS gefunden. Hast Du schon nähere Erkenntnisse, was dort drin steht bzw. stand? -------------------- Gruß,
Lutz |
|
|
13.06.2004, 15:49
Beitrag
#5
|
|
Threadersteller Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
QUOTE(DerBilk @ 13. June 2004, 16:36) Hi paff, bei dem ersten Protecus-Link hat 'mwav' ja offensichtlich eine Infektion der HOSTS gefunden. Hast Du schon nähere Erkenntnisse, was dort drin steht bzw. stand? @DerBilk Ich nehme mal an das hier O1 - Hosts: 213.159.117.235 auto.search.msn.com Es gab laut http://www.spywareinfo.com/~merijn/cwschronicles.html gab es schon früher einen HiJacker der in der Hosts "auto.search.msn.com" umleitet. Nehme mal an das dies in der mwav berücksichtigt wurde. Gruß paff |
|
|
13.06.2004, 16:49
Beitrag
#6
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Hm, KAV/MWAV sollten die DLL eigentlich identivizieren. Warum sie das als not a virus:Advware Toolbar.(xmlmime Filter) klassifizieren, weiss ich aber auch nicht.
Nachtrag, wenn die infizierten Nutzer aber die Standardreinigung befolgen, ist er weg. Es sei denn sie werden reinfiziert, da sie nicht ihre Systeme patchen. Schau dir die Logs an und du kannst teilweise genau sehen, das der IE nicht aktuell ist. Der Beitrag wurde von raman bearbeitet: 13.06.2004, 16:53 -------------------- MfG Ralf
|
|
|
13.06.2004, 16:57
Beitrag
#7
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
QUOTE(raman @ 13. June 2004, 17:48) Hm, KAV/MWAV sollten die DLL eigentlich identivizieren. Warum sie das als not a virus:Advware Toolbar.(xmlmime Filter) klassifizieren, weiss ich aber auch nicht. F-Secure hat mir hierzu geschrieben, dass sie das Teil als Trojan erkennen wollen. Ich kann den genauen Wortlaut posten, wenn ich wieder unter Windows bin. Überprüfen kann ich es im Moment aber nicht, da ich F-secure z.Zt. nicht installiert habe. -------------------- (-- Roman --)
|
|
|
14.06.2004, 09:47
Beitrag
#8
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.05.2004 Mitglieds-Nr.: 824 |
Kannst du mir die Datei mahl schicken, bitte?
pieterATwilderssecurity.org Ich denke es wird sehr gut zu diese beiden passen: http://www.wilderssecurity.com/showpost.ph...74&postcount=19 Gruß, Pieter -------------------- |
|
|
14.06.2004, 10:51
Beitrag
#9
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
In wie weit Paff seine Datei mit der von Roman identisch ist, muesste er mal sagen. Allerdings traegt sie diese Variante sich unter "O18" ein. Nicht als BHO.
-------------------- MfG Ralf
|
|
|
14.06.2004, 11:46
Beitrag
#10
|
|
Threadersteller Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
@all
Habe die Datei "msxword.dll" mal an virus@rokop-security.de weitergeleitet. Gruß paff |
|
|
14.06.2004, 13:02
Beitrag
#11
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Datei ist verdächtig. Das Kaspersky-VLAB hat dazu geantwortet:
QUOTE Another new variant not-a-virus: Advware.Toolbar.XmlMimeFiler
-------------------- Grüße, Jörg
|
|
|
14.06.2004, 15:23
Beitrag
#12
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
meine wurde bereits erkannt, also sind es unterschiedliche Versionen.
@ metallica meintest Du mich mit zuschicken ? -------------------- (-- Roman --)
|
|
|
14.06.2004, 15:57
Beitrag
#13
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: - |
QUOTE(paff @ 13. June 2004, 16:48) QUOTE(DerBilk @ 13. June 2004, 16:36) Hi paff, bei dem ersten Protecus-Link hat 'mwav' ja offensichtlich eine Infektion der HOSTS gefunden. Hast Du schon nähere Erkenntnisse, was dort drin steht bzw. stand? @DerBilk Ich nehme mal an das hier O1 - Hosts: 213.159.117.235 auto.search.msn.com ... Gruß paff Ich habe vermutet, dass etwas mehr in der infizierten HOSTS stehen würde. Ansonsten müsste der Scanner ja genau die Zeichenfolge 213.159.117.235 auto.search.msn.com als virulent erkennen, oder habe ich da einen Denkfehler? BTW: Wenn ich eben diese Zeile testweise händisch in die HOSTS eintrage, erkennt der Scanner nichts verdächtiges an der Datei. -------------------- Gruß,
Lutz |
|
|
14.06.2004, 20:43
Beitrag
#14
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.05.2004 Mitglieds-Nr.: 824 |
QUOTE(Rokop @ 14. June 2004, 15:22) meine wurde bereits erkannt, also sind es unterschiedliche Versionen. @ metallica meintest Du mich mit zuschicken ? Mir egal. Ich hab sie mittlerweile und werde Sie an Merijn weiterleiten. Sicherlich CWS, ein paar Ausschnitte: hxxp://206.161.207.99/sextracker.html < td style="padding-top:22;color:#002F76" align="right" nowrap>SEARCH THE WEB:</td > Indertat Hijacked es das About Protocol Der Beitrag wurde von Metallica bearbeitet: 14.06.2004, 20:45 -------------------- |
|
|
15.06.2004, 07:34
Beitrag
#15
|
|
Threadersteller Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
QUOTE(Metallica @ 14. June 2004, 21:42) Ich hab sie mittlerweile und werde Sie an Merijn weiterleiten. Sicherlich CWS, ein paar Ausschnitte: hxxp://206.161.207.99/sextracker.html < td style="padding-top:22;color:#002F76" align="right" nowrap>SEARCH THE WEB:</td > Inder tat Hijacked es das About Protocol Das ist sicher nicht, die Datei die ich habe. Bei mir kann man nur den schon oben genannten Teil lesen @metallica Hier beschreibst du den HiJacker http://www.wilderssecurity.com/showpost.ph...47&postcount=24 allerdings mit der MSXSLAB.DLL. Wir reden hier von einer msxword.dll die wohl auch einen anderen Inhalt hat. Siehe Klartextbeispiel im 3.ten Post. Gruß paff Der Beitrag wurde von paff bearbeitet: 15.06.2004, 08:09 |
|
|
15.06.2004, 09:10
Beitrag
#16
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Achte mal auf die Classid, die "deine" dll erzeugt. Die ist etwas anders, wenn ich es recht in Erinnerung habe. Siehe dazu auch Joergs antwort.
Pieter bezog sich auch auf "Rokops" Dll. -------------------- MfG Ralf
|
|
|
15.06.2004, 09:32
Beitrag
#17
|
|
Threadersteller Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
QUOTE(raman @ 15. June 2004, 10:09) Pieter bezog sich auch auf "Rokops" Dll. Das hatte ich nicht kapiert. Danke für die Aufklärung Gruß paff |
|
|
05.07.2004, 19:29
Beitrag
#18
|
|
Threadersteller Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
@All
So es scheint was neues zu geben Dieser HiJacker äußert sich in HiJAckThis so O1 - Hosts: 213.159.117.235 auto.search.msn.com O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll Fixen reicht leider nicht Hat jemand weitere Infos irgendwo muß so was wie die "msxword.dll" noch sein. Gruß paff P:S: Beispiel http://board.protecus.de/showtopic.php?threadid=10578 Post von User "Karnstein" Der Beitrag wurde von paff bearbeitet: 05.07.2004, 19:36 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 13.05.2024, 07:58 |