Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Cleaner für Hijacker-sp.html
Rokop Security > Neues von Rokop Security > News
Rokop
Seit einigen Wochen beschäftigt uns (und nicht nur uns) ein Browser Hijacker, der nur sehr schwer zu entfernen ist und dadurch immer wieder die Startseite des Internet Explorers mit einer Suchseite ersetzt. Alle bisherigen Programme konnten diesen Hijacker scheinbar entfernen, er kam aber jedoch nach einigen Stunden wieder.

Auf der Suche nach einer Lösung des Problems waren jedoch einige Dinge unklar: Wo und wie infiziert man sich ? Welche Sicherheitslücke nutzt dieser Hijacker?
Fakten waren lediglich eine DLL, die einmal auf dem Rechner aktiv, gänzlich unsichtbar war, sowie die Berichte von infizierten Usern aus diversen Foren.

Dieser Hijacker ist eine CoolWWWSearch Variante die sp.html-Hijacker oder auch Trojan.Win32.Startpage.gv bzw. fw genannt wird.
Im vorliegenden Fall wurde spätens um 22:40 Uhr am Tage der Infektion (die wir nachgestellt haben) die Startseite des IE mit der Suchseite searchx.cc ausgetauscht. Entfernte man die Starteinträge manuell oder mit Hilfe des CWShredders, schien zunächst alles klar, wenige Stunden später war aber wieder alles beim Alten.

Den Hijacker erkennt man am leichtesten mit dem Tool HiJackThis an folgenden rot markierten Einträgen:

[attachmentid=896]

In allen uns bekannten Fällen enden die Zeilen mit ...sp.html (obfuscated) und einem dazugehörigen BHO Eintrag.

Das nun fertige Entfernungstool ist einigen unermüdlichen Leuten zu verdanken, die mangels professioneller Hilfe selbst aktiv wurden. Herausgekommen ist ein Cleaner, der sowohl die ursächliche Datei, als auch die offensichtliche Datei löscht und die Startseite auf about:blank setzt.

Der Cleaner ist bisher nur unter Windows2000/XP funktionsfähig und muß mit Administratorrechten ausgeführt werden.

Nach dem entpacken der Zipdatei wird die SpHjfix.exe gestartet und der Button "Desinfektion starten" gedrückt.

[attachmentid=897]

Danach startet das System neu und der Cleaner wird nochmals automatisch aufgerufen um die Reinigung abzuschliessen. Anschließend ist der Computer vom Hijacker befreit. Wir empfehlen aber trotzdem noch einmal den CWShredder zu benutzen, der noch einen verwaisten Registryeintrag entfernt.

Ich möchte an dieser Stelle nochmals besonderen Dank an folgende Personen aussprechen, die bei der Lösung des Problems beteiligt waren:

- Seeker (Programmierer)
- Raman
- DerBilk
- Paff

Und hier geht`s nun zum Download des Cleaners.
rock
GRATULATION!!!! smile.gif
ich find das klasse,...habt ihr euch doch wirklich tagelang dazu bemüht...nicht schlecht, respekt....

besten gruss
rock ph34r.gif
Nangie
user posted image
Metallica
Frage: nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante, fing RegProt an Zustimmung zu fragen für jeder Register-Schlüßel (alle schon mal zugelassen)
Kann mir selber den Grund dafür nicht ausdenken aber da diese Variante im HijackThis Log aussieht und sich auch teilweise so benimmt wie die Variante wogegen das Program vorgehen soll, wäre es vielleicht ratsam das mal zu untersuchen.

Komplimente übrigens für die Leistung. thumbup.gif

Gruß,
Seeker
Wennst da nähere Infos hast kannst sie ja mir oder Rokop mal schicken

Gruß
Metallica
Hallo Seeker,

Was brauchst du?
Eine Kopie von mrhop.dll kann ich dir schicken.
RegProt kannst du hier um sonst bekommen: http://www.diamondcs.com.au/index.php?page=regprot

Gruß,
Seeker
Aso ich dachte du hast die relevanten Reg-Schlüssel schon parat .... smile.gif


QUOTE
nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante


In dem Fall hat es nicht funktioniert oder?

Gruß
Metallica
QUOTE(Seeker @ 15. May 2004, 18:07)
QUOTE
nachdem ich das Produkt eures Fleißes geteste habe auf die mrhop Variante


In dem Fall hat es nicht funktioniert oder?

Das es nicht funktionierrt hat stimmt. Hatte ich auch nicht erwartet, da diese Variante nicht den AppInit_DLL benutzt.

Die Schlüssel waren alle Einträge unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und diese beiden
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.