Rokop: Cleaner Für Hijacker-sp.html
#1
geschrieben 14. Mai 2004 - 12:15
ROKOP Security - Freitag, 14 Mai 2004 @ 2:05:38 CEST
Seit einigen Wochen beschäftigt uns (und nicht nur uns) ein Browser Hijacker, der nur sehr schwer zu entfernen ist und dadurch immer wieder die Startseite des Internet Explorers mit einer Suchseite ersetzt. Alle bisherigen Programme konnten diesen Hijacker scheinbar entfernen, er kam aber jedoch nach einigen Stunden wieder.
Auf der Suche nach einer Lösung des Problems waren jedoch einige Dinge unklar: Wo und wie infiziert man sich ? Welche Sicherheitslücke nutzt dieser Hijacker?
Fakten waren lediglich eine DLL, die einmal auf dem Rechner aktiv, gänzlich unsichtbar war, sowie die Berichte von infizierten Usern aus diversen Foren.
Dieser Hijacker ist eine CoolWWWSearch Variante die sp.html-Hijacker oder auch Trojan.Win32.Startpage.gv bzw. fw genannt wird.
Im vorliegenden Fall wurde spätens um 22:40 Uhr am Tage der Infektion (die wir nachgestellt haben) die Startseite des IE mit der Suchseite searchx.cc ausgetauscht. Entfernte man die Starteinträge manuell oder mit Hilfe des CWShredders, schien zunächst alles klar, wenige Stunden später war aber wieder alles beim Alten.
......
Das nun fertige Entfernungstool ist einigen unermüdlichen Leuten zu verdanken, die mangels professioneller Hilfe selbst aktiv wurden. Herausgekommen ist ein Cleaner, der sowohl die ursächliche Datei, als auch die offensichtliche Datei löscht und die Startseite auf about:blank setzt.
Der Cleaner ist bisher nur unter Windows2000/XP funktionsfähig und muß mit Administratorrechten ausgeführt werden.
Bitte weiter einschl. Download auf dieser o.a.Website
Anzeige
#2
geschrieben 14. Mai 2004 - 12:22
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#3
geschrieben 14. Mai 2004 - 13:01
Dieser Beitrag wurde von comet2000deaf bearbeitet: 14. Mai 2004 - 13:32
#4 _lysar_
geschrieben 14. Mai 2004 - 13:04
Zitat (comet2000deaf: 14.05.2004, 14:01)
Du hast vielmehr Hijacker Tool angegeben. Liegt es daran?
denken, dann tippen ...
#5
geschrieben 14. Mai 2004 - 13:07
Zitat (lysar: 14.05.2004, 14:04)
comet2000deaf - deaf = taub = oft Probleme sich auszudrücken!
Wobei ich ehrlich zugeben muss, dass ich auch nicht weiß was er meint!
#6
geschrieben 14. Mai 2004 - 13:09
Dieser Beitrag wurde von comet2000deaf bearbeitet: 14. Mai 2004 - 13:33
#7 _shelby_
geschrieben 14. Mai 2004 - 13:13
Zitat (comet2000deaf: 14.05.2004, 14:09)
Comet, Du meinst Du hast auf einen Rika-Link geklickt, etwas gedownloadet und seitdem hast du Malware drauf! Ist es das? Welche URL? Welcher Link?
#8
geschrieben 14. Mai 2004 - 13:13
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#9 _shelby_
geschrieben 14. Mai 2004 - 13:16
Zitat (Rika: 14.05.2004, 14:13)
Oder so, das kann auch sein! Hey Rika, wie machst du das eigentlich zu posten, obwohl du nicht da bist. Ich meine man sieht nicht das du eingeloggt bist.
#10
geschrieben 14. Mai 2004 - 13:20
Dieser Beitrag wurde von comet2000deaf bearbeitet: 14. Mai 2004 - 13:33
#12 _shelby_
geschrieben 14. Mai 2004 - 13:27
#13
geschrieben 14. Mai 2004 - 13:29
Fragen :
- Was haben deine Beiträge mit dem Original-Thema zu tun ?
(zur Erinnerung : es geht um ein Tool mit dem man den IE von Mallware befreit)
- Hättest du hier auch gepostet , wenn Rika hier nichts gepostet hätte ?
Ich glaube nicht !
Deshalb wie beim Schulaufsatz : Thema verfehlt = Note 5
#14 _shelby_
geschrieben 14. Mai 2004 - 13:36
Zitat (comet2000deaf: 14.05.2004, 14:20)
Kein Ärger, Comet. Ich wollte nur verstehen, was dein Problem war oder ist.
#15
geschrieben 14. Mai 2004 - 13:45