Hyper User
Gruppe: Mitglieder (+S)
Beitraege: 391
seit: August 2001
Hallo,

habe in der letzten Zeit sehr viel im Internet herumgesurft und dabei ein Script heruntergeladen, dass ziemlich gemein ist. Ich habe keine Ahnung wie das Script genau heisst aber es macht Folgendes: Wenn im IE (Internet Explorer) als Startseite "about:blank" steht, leitet dieses Script auf irgeneine beliebige, vom Programmierer gewollte Seite, weiter. Bei mir schaut es eher harmlos aus, da es auf www.msn.com umleitet. Das stimmt nicht, da es dabei um eine gefakte Seite, also eine die nur so ausschaut wie msn.com, handelt. Wenn jetzt jemand dort sein Kennwort eingibt, hat der Hacker die Möglichkeit, das Kennwort auszuspionieren. Unter Google kann eine Menge über "Cross Site Scripting" gefunden werden, aber noch keine einzige Lösung. Weder SpyBot oder sonstwas findet dieses Script. Ad-aware 6 plus von Lavasoft, findet die Einträge, löscht diese auch, aber nach wenigen Neustarts des IE oder nach einem Reboot des System ist das Script wieder da und das Spiel beginnt von vorne. Es ist also möglich jegleiche Seite(n) zu faken und so Kennwörter auszuspionieren. Man kann es auch merken, dass der Computer langsamer wird oder der Bildaufbau sich verlangsamt.

Wenn jemand eine Lösung weiss, findet, bitte sofort hier ins Forum stellen. Es sind wahrscheinlich viele Computer schon davon betroffen. Es hilft im Moment nur eine Neuinstallation des Betriebssystems und der gesamten am Computer verwendeten Software. Also auch keine Daten von einer eventuell vorhanden zweiten Festplatte oder erst kürzlich erstelltn CD zu nehmen.

Für Ergänzungen durch unseren Admin ff sehr dankbar.
Für Tipps aus der ff-Gemeinde ebenso.
lg


--------------
jpt
Giga User
Gruppe: Administrator
Beitraege: 3367
seit: August 2001
Also ich konnte genau diese Sache schon mehrmals loesen. Nocheinmal die Zusammenfassung aus dem Forum IT-Regionalbetreuung:

Vorgehensweise:

* Du musst das Programm, das im Hintergrund laeuft beenden. D.h. rufe mit STRG+ALT+ENTF den Taskmanager auf und suche bei "Prozesse" nach einem Verdaechtigen um ihn zu beenden. Z.B. BG.exe, 23.exe

* Versuche nach jedem gekillten Prozess, ob du wieder Seiten im IE angezeigt bekommst. Wenn ja, dann hast du den Uebeltaeter gefunden - aber noch nicht wirklich entfernt. Also musst du die Datei suchen (meist im Windows-Verzeichnis oder system32) und loeschen.

* Leider reicht das noch nicht, da beim naechsten Start die geloeschte Datei gesucht wird und jede Menge Fehlermeldungen auftauchen. es muss also noch die Registry bereinigt werden. Das machst du entweder manuell ...

-------------------------------------------------
Zweige der Registry, die fuer den Autostart zustaendig sind:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

und natuerlich auch der Autostart-Ordner des jeweiligen Profils.
-------------------------------------------------

... oder mit Hilfe eines > > Austostart-Managers < <. Damit loescht du die Eintraege, die den Schaedling starten wollen.

Walter konnte das Problem z.B. alleine mit dem >> Shredder << loesen.

Wichtig ist, dass du erst neu startest, wenn moeglichst alle Trojaner vernichtet sind. Denn einer kommt in letzter Zeit leider selten alleine. Oft holt er sich gleich zu Beginn ein paar "Freunde" zum spielen auf den Rechner . . .

Halte uns auf dem Laufenden
ff
Hyper User
Gruppe: Mitglieder (+S)
Beitraege: 391
seit: August 2001
Hallo,

ich habe jetzt alles probiert, was mir zusaetzlich zu den Ausfuehrungen hier im Forum noch in den Sinn gekommen ist und dieses bemerkt: im Taskmanager findet sich kein Programm, das auffaellig waere. In der Registry scheint alles normal zu sein. Habe Spybot und Ad-aware am Computer installiert. Nachdem ich mit Ad-aware alle Laufwerke gescannt habe, zeigt das Ad-aware "possible hijack" an. Das kann ich loeschen. Gleichzeitig meldet dann der SpyBot-Waechter und teilt mit, dass der Eintrag "about:blank" zu einem Eintrag einer Microsoft-Seite geaendert werden sollt. Das lass ich nicht zu und beim Starten von IE steht dann wirklich als Startsaeite "about:blank". Lass ich den Eintrag in der Registry zu, wird ein Link zu einer Microsoft-Seite, genauer  gelegt, die aber ein bißchen anders ausschaut, als die MSN-Seite, wenn ich in die Adressleiste eingebe. Es scheint eine gefakte Seite zu sein.

Meine Frage nun: wo kann das Script, dass dieses bewirkt noch versteckt sein. MSN-Messenger ist nicht installiert. Moeglicherweise war das Programm einmal auf dieser Festplatte installiert. Das weiss ich nicht mehr so genau.

Für weitere Tipps dankbar


--------------
jpt
Giga User
Gruppe: Administrator
Beitraege: 3367
seit: August 2001
Schau einmal, ob du mit > > kill.exe < < den Prozess findest. Du musst dieses Programm von der Kommandozeile (Eingabeaufforderung) starten. Es listet ebenfalls alle Prozesse auf und killt die gewuenschten.

Was ist mit einem "sauberen" Backup-Image von der Betriebssystem-Partition?
Hyper User
Gruppe: Mitglieder (+S)
Beitraege: 391
seit: August 2001
Hallo!

kill.exe findet nichts was mir persönlich verdächtig vorkommt. Habe aber ein Bild (Hardcopy) von den angezeigten Programmen, die im Hintergrund laufen, gemacht und könnte es unserem admin schicken?


--------------
jpt
Hyper User
Gruppe: Mitglieder (+S)
Beitraege: 391
seit: August 2001
Bin die Antwort auf das "Backup-Image" noch schuldig:

Habe ein Image vom April 2004 hinaufgespielt. Hatte aber dasselbe Phaenomen. Muesste die Erstinstallation des Betriebssystems aus 2002 hinaufspielen und alle Programme neu installieren ...schluck! Bin mir aber sicher, das nach dem Updaten mit Windowsupdate alles wieder auftreten wird. Trotzdem werde ich es am Wochenende auf einer neuen Festplatte versuchen.

Der Vergleich der beiden Bilder wird schwierig, da ich win2k und ff sicherlich winXP installiert hat.

lg


Bearbeitet von jptraun on 10 Mai 2004, 20:14

--------------
jpt
Hyper User
Gruppe: Mitglieder (+S)
Beitraege: 391
seit: August 2001
Hallo,

habe wieder was dazugelernt: mit PestScan habe ich den Eintrag "CWS.GoogleMS.3 - Hijacker" gefunden. Leider löscht nur die Kaufversion des Programmes PestPatrol diesen Eintrag aus der Registry. Wer hat das schon einmal manuell gemacht?

lg


Bearbeitet von jptraun on 13 Mai 2004, 14:49

--------------
jpt
Giga User
Gruppe: Administrator
Beitraege: 3367
seit: August 2001
Wo ist das Problem?
In der Registry F3 (suchen) und z.B. nach "GoogleMS" suchen.
Wenn der entsprechende Eintrag gefunden wurde, RE Maus > loeschen.
Hyper User
Gruppe: Mitglieder (+S)
Beitraege: 391
seit: August 2001
Das habe ich auch schon versucht. Es wurde aber nichts gefunden. Und gelöscht habe ich in der Registry schon zeimlich viel.
lg


--------------
jpt
Hyper User
Gruppe: Mitglieder (+S)
Beitraege: 391
seit: August 2001
In Ergänzung zum letzten Bericht kann ich mitteilen, dass "The Cleaner 4.1" nichts gefunden hat.
lg


--------------
jpt