LOG IN

REGISTRIEREN

Willkommen Gast mit der IP: 3.145.174.57 im  ff-net-forum » Allgemeines » Computer und die Welt » about:blank

Thema  :  about:blank , Cross Site Scripting

9 Antworten seit 08 Mai 2004, 23:16

Thema beobachten | versenden | drucken

jptraun

Geschrieben am : 08 Mai 2004, 23:16

Hyper User Gruppe: Mitglieder (+S) Beitraege: 391 seit: August 2001

Hallo, habe in der letzten Zeit sehr viel im Internet herumgesurft und dabei ein Script heruntergeladen, dass ziemlich gemein ist. Ich habe keine Ahnung wie das Script genau heisst aber es macht Folgendes: Wenn im IE (Internet Explorer) als Startseite "about:blank" steht, leitet dieses Script auf irgeneine beliebige, vom Programmierer gewollte Seite, weiter. Bei mir schaut es eher harmlos aus, da es auf www.msn.com umleitet. Das stimmt nicht, da es dabei um eine gefakte Seite, also eine die nur so ausschaut wie msn.com, handelt. Wenn jetzt jemand dort sein Kennwort eingibt, hat der Hacker die Möglichkeit, das Kennwort auszuspionieren. Unter Google kann eine Menge über "Cross Site Scripting" gefunden werden, aber noch keine einzige Lösung. Weder SpyBot oder sonstwas findet dieses Script. Ad-aware 6 plus von Lavasoft, findet die Einträge, löscht diese auch, aber nach wenigen Neustarts des IE oder nach einem Reboot des System ist das Script wieder da und das Spiel beginnt von vorne. Es ist also möglich jegleiche Seite(n) zu faken und so Kennwörter auszuspionieren. Man kann es auch merken, dass der Computer langsamer wird oder der Bildaufbau sich verlangsamt. Wenn jemand eine Lösung weiss, findet, bitte sofort hier ins Forum stellen. Es sind wahrscheinlich viele Computer schon davon betroffen. Es hilft im Moment nur eine Neuinstallation des Betriebssystems und der gesamten am Computer verwendeten Software. Also auch keine Daten von einer eventuell vorhanden zweiten Festplatte oder erst kürzlich erstelltn CD zu nehmen. Für Ergänzungen durch unseren Admin ff sehr dankbar. Für Tipps aus der ff-Gemeinde ebenso. lg -------------- jpt

ff

Geschrieben am : 09 Mai 2004, 01:21

Giga User Gruppe: Administrator Beitraege: 3366 seit: August 2001

Also ich konnte genau diese Sache schon mehrmals loesen. Nocheinmal die Zusammenfassung aus dem Forum IT-Regionalbetreuung: Vorgehensweise: * Du musst das Programm, das im Hintergrund laeuft beenden. D.h. rufe mit STRG+ALT+ENTF den Taskmanager auf und suche bei "Prozesse" nach einem Verdaechtigen um ihn zu beenden. Z.B. BG.exe, 23.exe * Versuche nach jedem gekillten Prozess, ob du wieder Seiten im IE angezeigt bekommst. Wenn ja, dann hast du den Uebeltaeter gefunden - aber noch nicht wirklich entfernt. Also musst du die Datei suchen (meist im Windows-Verzeichnis oder system32) und loeschen. * Leider reicht das noch nicht, da beim naechsten Start die geloeschte Datei gesucht wird und jede Menge Fehlermeldungen auftauchen. es muss also noch die Registry bereinigt werden. Das machst du entweder manuell ... ------------------------------------------------- Zweige der Registry, die fuer den Autostart zustaendig sind: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] und natuerlich auch der Autostart-Ordner des jeweiligen Profils. ------------------------------------------------- ... oder mit Hilfe eines > > Austostart-Managers < <. Damit loescht du die Eintraege, die den Schaedling starten wollen. Walter konnte das Problem z.B. alleine mit dem >> Shredder << loesen. Wichtig ist, dass du erst neu startest, wenn moeglichst alle Trojaner vernichtet sind. Denn einer kommt in letzter Zeit leider selten alleine. Oft holt er sich gleich zu Beginn ein paar "Freunde" zum spielen auf den Rechner . . . Halte uns auf dem Laufenden ff

jptraun

Geschrieben am : 10 Mai 2004, 09:43

Hyper User Gruppe: Mitglieder (+S) Beitraege: 391 seit: August 2001

Hallo, ich habe jetzt alles probiert, was mir zusaetzlich zu den Ausfuehrungen hier im Forum noch in den Sinn gekommen ist und dieses bemerkt: im Taskmanager findet sich kein Programm, das auffaellig waere. In der Registry scheint alles normal zu sein. Habe Spybot und Ad-aware am Computer installiert. Nachdem ich mit Ad-aware alle Laufwerke gescannt habe, zeigt das Ad-aware "possible hijack" an. Das kann ich loeschen. Gleichzeitig meldet dann der SpyBot-Waechter und teilt mit, dass der Eintrag "about:blank" zu einem Eintrag einer Microsoft-Seite geaendert werden sollt. Das lass ich nicht zu und beim Starten von IE steht dann wirklich als Startsaeite "about:blank". Lass ich den Eintrag in der Registry zu, wird ein Link zu einer Microsoft-Seite, genauer  gelegt, die aber ein bißchen anders ausschaut, als die MSN-Seite, wenn ich in die Adressleiste eingebe. Es scheint eine gefakte Seite zu sein. Meine Frage nun: wo kann das Script, dass dieses bewirkt noch versteckt sein. MSN-Messenger ist nicht installiert. Moeglicherweise war das Programm einmal auf dieser Festplatte installiert. Das weiss ich nicht mehr so genau. Für weitere Tipps dankbar -------------- jpt

ff

Geschrieben am : 10 Mai 2004, 10:00

Giga User Gruppe: Administrator Beitraege: 3366 seit: August 2001

Schau einmal, ob du mit > > kill.exe < < den Prozess findest. Du musst dieses Programm von der Kommandozeile (Eingabeaufforderung) starten. Es listet ebenfalls alle Prozesse auf und killt die gewuenschten. Was ist mit einem "sauberen" Backup-Image von der Betriebssystem-Partition?

jptraun

Geschrieben am : 10 Mai 2004, 19:34

Hyper User Gruppe: Mitglieder (+S) Beitraege: 391 seit: August 2001

Hallo! kill.exe findet nichts was mir persönlich verdächtig vorkommt. Habe aber ein Bild (Hardcopy) von den angezeigten Programmen, die im Hintergrund laufen, gemacht und könnte es unserem admin schicken? -------------- jpt

jptraun

Geschrieben am : 10 Mai 2004, 20:13

Hyper User Gruppe: Mitglieder (+S) Beitraege: 391 seit: August 2001

Bin die Antwort auf das "Backup-Image" noch schuldig: Habe ein Image vom April 2004 hinaufgespielt. Hatte aber dasselbe Phaenomen. Muesste die Erstinstallation des Betriebssystems aus 2002 hinaufspielen und alle Programme neu installieren ...schluck! Bin mir aber sicher, das nach dem Updaten mit Windowsupdate alles wieder auftreten wird. Trotzdem werde ich es am Wochenende auf einer neuen Festplatte versuchen. Der Vergleich der beiden Bilder wird schwierig, da ich win2k und ff sicherlich winXP installiert hat. lg Bearbeitet von jptraun on 10 Mai 2004, 20:14 -------------- jpt

jptraun

Geschrieben am : 13 Mai 2004, 09:15

Hyper User Gruppe: Mitglieder (+S) Beitraege: 391 seit: August 2001

Hallo, habe wieder was dazugelernt: mit PestScan habe ich den Eintrag "CWS.GoogleMS.3 - Hijacker" gefunden. Leider löscht nur die Kaufversion des Programmes PestPatrol diesen Eintrag aus der Registry. Wer hat das schon einmal manuell gemacht? lg Bearbeitet von jptraun on 13 Mai 2004, 14:49 -------------- jpt

ff

Geschrieben am : 13 Mai 2004, 18:54

Giga User Gruppe: Administrator Beitraege: 3366 seit: August 2001

Wo ist das Problem? In der Registry F3 (suchen) und z.B. nach "GoogleMS" suchen. Wenn der entsprechende Eintrag gefunden wurde, RE Maus > loeschen.

jptraun

Geschrieben am : 13 Mai 2004, 23:21

Hyper User Gruppe: Mitglieder (+S) Beitraege: 391 seit: August 2001

Das habe ich auch schon versucht. Es wurde aber nichts gefunden. Und gelöscht habe ich in der Registry schon zeimlich viel. lg -------------- jpt

jptraun

Geschrieben am : 14 Mai 2004, 14:40

Hyper User Gruppe: Mitglieder (+S) Beitraege: 391 seit: August 2001

In Ergänzung zum letzten Bericht kann ich mitteilen, dass "The Cleaner 4.1" nichts gefunden hat. lg -------------- jpt

Thema beobachten | versenden | drucken

Boarddesign by f&f-Soft © 2024 based on Ikonboard 3.1.1