|
Printable Version of Topic
-ff-net-forum +--Forum: Computer und die Welt +---Topic: about:blank started by jptraun Posted by: jptraun on 08 Mai 2004, 23:16 Hallo, habe in der letzten Zeit sehr viel im Internet herumgesurft und dabei ein Script heruntergeladen, dass ziemlich gemein ist. Ich habe keine Ahnung wie das Script genau heisst aber es macht Folgendes: Wenn im IE (Internet Explorer) als Startseite "about:blank" steht, leitet dieses Script auf irgeneine beliebige, vom Programmierer gewollte Seite, weiter. Bei mir schaut es eher harmlos aus, da es auf www.msn.com umleitet. Das stimmt nicht, da es dabei um eine gefakte Seite, also eine die nur so ausschaut wie msn.com, handelt. Wenn jetzt jemand dort sein Kennwort eingibt, hat der Hacker die Möglichkeit, das Kennwort auszuspionieren. Unter Google kann eine Menge über "Cross Site Scripting" gefunden werden, aber noch keine einzige Lösung. Weder SpyBot oder sonstwas findet dieses Script. Ad-aware 6 plus von Lavasoft, findet die Einträge, löscht diese auch, aber nach wenigen Neustarts des IE oder nach einem Reboot des System ist das Script wieder da und das Spiel beginnt von vorne. Es ist also möglich jegleiche Seite(n) zu faken und so Kennwörter auszuspionieren. Man kann es auch merken, dass der Computer langsamer wird oder der Bildaufbau sich verlangsamt. Wenn jemand eine Lösung weiss, findet, bitte sofort hier ins Forum stellen. Es sind wahrscheinlich viele Computer schon davon betroffen. Es hilft im Moment nur eine Neuinstallation des Betriebssystems und der gesamten am Computer verwendeten Software. Also auch keine Daten von einer eventuell vorhanden zweiten Festplatte oder erst kürzlich erstelltn CD zu nehmen. Für Ergänzungen durch unseren Admin ff sehr dankbar. Für Tipps aus der ff-Gemeinde ebenso. lg Posted by: ff on 09 Mai 2004, 01:21 Also ich konnte genau diese Sache schon mehrmals loesen. Nocheinmal die Zusammenfassung aus dem Forum IT-Regionalbetreuung: Vorgehensweise: * Du musst das Programm, das im Hintergrund laeuft beenden. D.h. rufe mit STRG+ALT+ENTF den Taskmanager auf und suche bei "Prozesse" nach einem Verdaechtigen um ihn zu beenden. Z.B. BG.exe, 23.exe * Versuche nach jedem gekillten Prozess, ob du wieder Seiten im IE angezeigt bekommst. Wenn ja, dann hast du den Uebeltaeter gefunden - aber noch nicht wirklich entfernt. Also musst du die Datei suchen (meist im Windows-Verzeichnis oder system32) und loeschen. * Leider reicht das noch nicht, da beim naechsten Start die geloeschte Datei gesucht wird und jede Menge Fehlermeldungen auftauchen. es muss also noch die Registry bereinigt werden. Das machst du entweder manuell ... ------------------------------------------------- Zweige der Registry, die fuer den Autostart zustaendig sind: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] und natuerlich auch der Autostart-Ordner des jeweiligen Profils. ------------------------------------------------- ... oder mit Hilfe eines < > > Austostart-Managers < < >. Damit loescht du die Eintraege, die den Schaedling starten wollen. Walter konnte das Problem z.B. alleine mit dem < >> Shredder << > loesen. Wichtig ist, dass du erst neu startest, wenn moeglichst alle Trojaner vernichtet sind. Denn einer kommt in letzter Zeit leider selten alleine. Oft holt er sich gleich zu Beginn ein paar "Freunde" zum spielen auf den Rechner . . . Halte uns auf dem Laufenden ff Posted by: jptraun on 10 Mai 2004, 09:43 Hallo, ich habe jetzt alles probiert, was mir zusaetzlich zu den Ausfuehrungen hier im Forum noch in den Sinn gekommen ist und dieses bemerkt: im Taskmanager findet sich kein Programm, das auffaellig waere. In der Registry scheint alles normal zu sein. Habe Spybot und Ad-aware am Computer installiert. Nachdem ich mit Ad-aware alle Laufwerke gescannt habe, zeigt das Ad-aware "possible hijack" an. Das kann ich loeschen. Gleichzeitig meldet dann der SpyBot-Waechter und teilt mit, dass der Eintrag "about:blank" zu einem Eintrag einer Microsoft-Seite geaendert werden sollt. Das lass ich nicht zu und beim Starten von IE steht dann wirklich als Startsaeite "about:blank". Lass ich den Eintrag in der Registry zu, wird ein Link zu einer Microsoft-Seite, genauer Meine Frage nun: wo kann das Script, dass dieses bewirkt noch versteckt sein. MSN-Messenger ist nicht installiert. Moeglicherweise war das Programm einmal auf dieser Festplatte installiert. Das weiss ich nicht mehr so genau. Für weitere Tipps dankbar Posted by: ff on 10 Mai 2004, 10:00 Schau einmal, ob du mit < > > kill.exe < < > den Prozess findest. Du musst dieses Programm von der Kommandozeile (Eingabeaufforderung) starten. Es listet ebenfalls alle Prozesse auf und killt die gewuenschten. Was ist mit einem "sauberen" Backup-Image von der Betriebssystem-Partition? Posted by: jptraun on 10 Mai 2004, 19:34 Hallo! kill.exe findet nichts was mir persönlich verdächtig vorkommt. Habe aber ein Bild (Hardcopy) von den angezeigten Programmen, die im Hintergrund laufen, gemacht und könnte es unserem admin schicken? Posted by: jptraun on 10 Mai 2004, 20:13 Bin die Antwort auf das "Backup-Image" noch schuldig: Habe ein Image vom April 2004 hinaufgespielt. Hatte aber dasselbe Phaenomen. Muesste die Erstinstallation des Betriebssystems aus 2002 hinaufspielen und alle Programme neu installieren ...schluck! Bin mir aber sicher, das nach dem Updaten mit Windowsupdate alles wieder auftreten wird. Trotzdem werde ich es am Wochenende auf einer neuen Festplatte versuchen. Der Vergleich der beiden Bilder wird schwierig, da ich win2k und ff sicherlich winXP installiert hat. lg Posted by: jptraun on 13 Mai 2004, 09:15 Hallo, habe wieder was dazugelernt: mit PestScan habe ich den Eintrag "CWS.GoogleMS.3 - Hijacker" gefunden. Leider löscht nur die Kaufversion des Programmes PestPatrol diesen Eintrag aus der Registry. Wer hat das schon einmal manuell gemacht? lg Posted by: ff on 13 Mai 2004, 18:54 Wo ist das Problem? In der Registry F3 (suchen) und z.B. nach "GoogleMS" suchen. Wenn der entsprechende Eintrag gefunden wurde, RE Maus > loeschen. Posted by: jptraun on 13 Mai 2004, 23:21 Das habe ich auch schon versucht. Es wurde aber nichts gefunden. Und gelöscht habe ich in der Registry schon zeimlich viel. lg Posted by: jptraun on 14 Mai 2004, 14:40 In Ergänzung zum letzten Bericht kann ich mitteilen, dass "The Cleaner 4.1" nichts gefunden hat. lg end |