Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> Cleaner für Hijacker-sp.html
Rokop
Beitrag 14.05.2004, 01:08
Beitrag #1



Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Seit einigen Wochen beschäftigt uns (und nicht nur uns) ein Browser Hijacker, der nur sehr schwer zu entfernen ist und dadurch immer wieder die Startseite des Internet Explorers mit einer Suchseite ersetzt. Alle bisherigen Programme konnten diesen Hijacker scheinbar entfernen, er kam aber jedoch nach einigen Stunden wieder.

Auf der Suche nach einer Lösung des Problems waren jedoch einige Dinge unklar: Wo und wie infiziert man sich ? Welche Sicherheitslücke nutzt dieser Hijacker?
Fakten waren lediglich eine DLL, die einmal auf dem Rechner aktiv, gänzlich unsichtbar war, sowie die Berichte von infizierten Usern aus diversen Foren.

Dieser Hijacker ist eine CoolWWWSearch Variante die sp.html-Hijacker oder auch Trojan.Win32.Startpage.gv bzw. fw genannt wird.
Im vorliegenden Fall wurde spätens um 22:40 Uhr am Tage der Infektion (die wir nachgestellt haben) die Startseite des IE mit der Suchseite searchx.cc ausgetauscht. Entfernte man die Starteinträge manuell oder mit Hilfe des CWShredders, schien zunächst alles klar, wenige Stunden später war aber wieder alles beim Alten.

Den Hijacker erkennt man am leichtesten mit dem Tool HiJackThis an folgenden rot markierten Einträgen:



In allen uns bekannten Fällen enden die Zeilen mit ...sp.html (obfuscated) und einem dazugehörigen BHO Eintrag.

Das nun fertige Entfernungstool ist einigen unermüdlichen Leuten zu verdanken, die mangels professioneller Hilfe selbst aktiv wurden. Herausgekommen ist ein Cleaner, der sowohl die ursächliche Datei, als auch die offensichtliche Datei löscht und die Startseite auf about:blank setzt.

Der Cleaner ist bisher nur unter Windows2000/XP funktionsfähig und muß mit Administratorrechten ausgeführt werden.

Nach dem entpacken der Zipdatei wird die SpHjfix.exe gestartet und der Button "Desinfektion starten" gedrückt.



Danach startet das System neu und der Cleaner wird nochmals automatisch aufgerufen um die Reinigung abzuschliessen. Anschließend ist der Computer vom Hijacker befreit. Wir empfehlen aber trotzdem noch einmal den CWShredder zu benutzen, der noch einen verwaisten Registryeintrag entfernt.

Ich möchte an dieser Stelle nochmals besonderen Dank an folgende Personen aussprechen, die bei der Lösung des Problems beteiligt waren:

- Seeker (Programmierer)
- Raman
- DerBilk
- Paff

Und hier geht`s nun zum Download des Cleaners.
Angehängte Datei(en)
Angehängte Datei  sshjtlog.jpg ( 70.77KB ) Anzahl der Downloads: 203
Angehängte Datei  sphjfix.jpg ( 39.62KB ) Anzahl der Downloads: 147
 


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
Gast_rock_*
Beitrag 14.05.2004, 08:34
Beitrag #2






Gäste






GRATULATION!!!! smile.gif
ich find das klasse,...habt ihr euch doch wirklich tagelang dazu bemüht...nicht schlecht, respekt....

besten gruss
rock ph34r.gif
Go to the top of the page
 
+Quote Post
Nangie
Beitrag 14.05.2004, 14:36
Beitrag #3



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 71
Mitglied seit: 26.04.2003
Wohnort: Universum
Mitglieds-Nr.: 54



user posted image


--------------------
MfG Nangie

"Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher." -Albert Einstein
Go to the top of the page
 
+Quote Post
Gast_rock_*
Beitrag 15.05.2004, 06:24
Beitrag #4






Gäste






auch bei winfuture gestern nachmittag angekündigt wink.gif

ph34r.gif
Go to the top of the page
 
+Quote Post
Metallica
Beitrag 15.05.2004, 16:39
Beitrag #5



Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.05.2004
Mitglieds-Nr.: 824



Frage: nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante, fing RegProt an Zustimmung zu fragen für jeder Register-Schlüßel (alle schon mal zugelassen)
Kann mir selber den Grund dafür nicht ausdenken aber da diese Variante im HijackThis Log aussieht und sich auch teilweise so benimmt wie die Variante wogegen das Program vorgehen soll, wäre es vielleicht ratsam das mal zu untersuchen.

Komplimente übrigens für die Leistung. thumbup.gif

Gruß,


--------------------
Go to the top of the page
 
+Quote Post
Seeker
Beitrag 15.05.2004, 16:51
Beitrag #6



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 179
Mitglied seit: 05.07.2003
Mitglieds-Nr.: 126



Wennst da nähere Infos hast kannst sie ja mir oder Rokop mal schicken

Gruß

Der Beitrag wurde von Seeker bearbeitet: 15.05.2004, 16:51


--------------------
Gruß
Seeker




Go to the top of the page
 
+Quote Post
Metallica
Beitrag 15.05.2004, 17:08
Beitrag #7



Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.05.2004
Mitglieds-Nr.: 824



Hallo Seeker,

Was brauchst du?
Eine Kopie von mrhop.dll kann ich dir schicken.
RegProt kannst du hier um sonst bekommen: http://www.diamondcs.com.au/index.php?page=regprot

Gruß,


--------------------
Go to the top of the page
 
+Quote Post
Seeker
Beitrag 15.05.2004, 18:08
Beitrag #8



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 179
Mitglied seit: 05.07.2003
Mitglieds-Nr.: 126



Aso ich dachte du hast die relevanten Reg-Schlüssel schon parat .... smile.gif


QUOTE
nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante


In dem Fall hat es nicht funktioniert oder?

Gruß


--------------------
Gruß
Seeker




Go to the top of the page
 
+Quote Post
Metallica
Beitrag 15.05.2004, 20:27
Beitrag #9



Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.05.2004
Mitglieds-Nr.: 824



QUOTE(Seeker @ 15. May 2004, 18:07)
QUOTE
nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante


In dem Fall hat es nicht funktioniert oder?

Das es nicht funktionierrt hat stimmt. Hatte ich auch nicht erwartet, da diese Variante nicht den AppInit_DLL benutzt.

Die Schlüssel waren alle Einträge unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und diese beiden
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command


--------------------
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 19.07.2018, 22:11
Impressum