StJohnSmith

Für alle, die noch immer den Microsoft-Müll benutzen....

Momentan grassiert ein Hijacker, der den Internet Explorer umleitet ("about:blank sp.html").

Das Teil ist ziemlich resistent. Ad-Aware und ähnliche Programme sind derzeit nicht in der Lage, den Hijacker zu eliminieren. Ursache ist eine DLL mit einem zufällig erstellten Namen, der auf jedem Rechner anders lautet. Einmal auf dem Rechner aktiv, arbeitet sie unsichtbar.

Bislang gab es keine dauerhafte Entfernungsmöglichkeit. Jetzt soll es Abfilfe geben mit dem Hijack Fixer (SpHjfix.exe). Der Hijack Fixer funktioniert unter Win98/2000/XP.

Info's, Download und Anleitung:

http://www.trojanerinfo.de


Anmerkung:
Ich hatte testweise mal wieder den IE in Verbindung mit Windoof98 benutzt und mir diesen Entführer eingefangen. Der Hijack Fixer scheint aber das Prob gelöst zu haben. Es gibt natürlich noch eine bessere Lösung: erst garkeinen IE zu benutzen...

__________________
Diese Mitteilung wurde maschinell erstellt und wird daher nicht unterschrieben

Ron

wie hast du es gemerkt wenn er unsichtbar ist Johnny ?
mein rechner war bekanntlich gestern in der werkstatt und dürfte clean sein, nach einer stunde am netz öffneten sich plötzlich, obwohl ich mit dem browser von t-online arbeite ca 50 leere seiten des IE, komisch

__________________
Ronny
www.waldkatzen-fabularis.de/es hat niemand gesagt das es einfach wird

MrAnderson

Ron, der "T-Online-Browser" ist nichts anderes als der Internet Explorer. Nur mit nem bisschen Firlefanz drumrum. Für nen eigenen passablen Grafikbrowser hätte T-Online weder das Personal noch das Geld.

Und wenn die T-Online-Software an einer Stelle mal schlapp macht, sieht man halt, was wirklich dahintersteckt.

__________________
Erst wenn der letzte Informatiker eingesperrt und die letzte Idee patentiert ist, werdet ihr merken, dass Anwälte nicht programmieren können.

Pacifica

Nüscht?

__________________
Pacifica
Erfolg ist die Fähigkeit, von einem Mißerfolg zum anderen zu gehen,
ohne seine Begeisterung zu verlieren.
(Winston Churchill)

StJohnSmith

Die Infektion ist mittels eines Scans mit HijackThis an folgenden Einträgen leicht zu erkennen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)



O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing)
...
Der Name der DLL ist bei jedem Betroffenem ein anderer, da dieser bei einer Infektion zufällig erzeugt wird. In allen bekannten Fällen enden die Zeilen R0 und R1 mit ...\sp.html (obfuscated) und einem dazugehörigen BHO-Eintrag (Browser Helper Object) in der Zeile O2 eines HijackThis-Logs.


Reicht das als Info für's erste?

__________________
Diese Mitteilung wurde maschinell erstellt und wird daher nicht unterschrieben

Ron

ach ja, tatsache Johnny, reicht erstmal, die probs hab ich noch nicht, oder doch ?

Danke MR.A

wißt ihr warum ich den rechner zum check gebracht habe, ? nö ? t-online hat mir ne nachricht geschickt, nee halt, es war eine beauftragte firma namens abuse@t-online.de, dass über meinen rechner spam´s verschickt werden, ja ja, sie wissen das ich es nicht wäre aber ich solle doch, und dann folgten auf zwei seiten werbung zu ihrer sicherheitssoftware. die t-kom bestätigte mir das es rechtens wäre. außerdem lief während ich nicht arbeitete oftmals die eieruhr neben dem mauszeiger. das hat mich schon irre gemacht. der stinger hat nichts gefunden, andere auch nicht, also hin zum service, das ergebnis ist bekannt, ein trojaner hat schon mächtig im windoof rumgefummelt.

ach ja, der gute mann von je- computer hat sich fast kringelig gelacht über die anschuldigung von abuse......und fragte mich ob ich tatsächlich einen server für € 500.000 bis € 1.000.000 hätte

__________________
Ronny
www.waldkatzen-fabularis.de/es hat niemand gesagt das es einfach wird

Polt

Johnny (oder andere), hast du HijackThis ausprobiert? Ist der zu empfehlen? Oder nur Panikmache?

T-online nervt unglaublich mit ihren ständigen Virus-Warnungen! Klar wollen die ihr Zeugs verkaufen, aber diese Panikmache ist schon unerträglich!

Danke im Voraus für Auskunft!

Polt

__________________
Tut man es im feuchten Gras,
mag das nicht der Ischias!
48. Poltsche Bauernregel, nach einer Eingebung von Gastreferent Magma

StJohnSmith

Polt, der HijackThis bringt eigentlich nix. Soll heißen, mit dem kannst du zwar das Prob lokalisieren, aber nicht dauerhaft beheben. Das kann derzeit nur der Hijack Fixer - siehe oben. Das ist ein Mini-Prog und recht wirkungsvoll.

Was die Virenwarnungen angeht - klar ist da viel Panikmache dabei. Und ob die kostenpflichtgen Teile, insbesondere die überteuerten Angebote von T-Online, da wirklich soviel bringen, wage ich zu bezweifeln.

Besonders heimgesucht von allem möglichen Geziefer (Ungeziefer gibt's ja nicht ) wird halt der Internet Explorer. Und da gibt es ja Alternativen.

__________________
Diese Mitteilung wurde maschinell erstellt und wird daher nicht unterschrieben

Polt

Danke, Johnny - wir haben ja schon mal drüber gesprochen, und ich hab auch schon drüber nachgedacht - ich steh halt auf sich selbst aktualisierenden Push-Kursen . . .

Polt

__________________
Tut man es im feuchten Gras,
mag das nicht der Ischias!
48. Poltsche Bauernregel, nach einer Eingebung von Gastreferent Magma