Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Browser HiJacking a la 'start.htm' und 'start.chm'

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.04.2004, 19:34   #1
Lutz
 

Browser HiJacking a la  'start.htm' und 'start.chm' - Pfeil

Browser HiJacking a la 'start.htm' und 'start.chm'



Hallo,

ob es an den christlichen Feiertagen liegt?
(Weihnachten war es das Browser-Hijacking zu ntsearch.com - jetzt zu Ostern sind es Hacks nach dem Muster
</font><blockquote>Zitat:</font><hr />R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html </font>[/QUOTE]Das Problem ist wohl (wieder einmal!) eine ungepatchte Lücke im Internet-Explorer.
</font><blockquote>Zitat:</font><hr />A cross-domain scripting vulnerability in Microsoft Internet Explorer (IE) could allow an attacker to execute arbitrary code with the privileges of the user running IE. The attacker could also read and manipulate data on web sites in other domains or zones.</font>[/QUOTE]Quelle: http://www.us-cert.gov/cas/techalerts/TA04-099A.html
Dort findet sich auch eine ausführliche Beschreibung.

Eine entgültige Lösung dieses Problems gibt es wohl erst dann, wenn sich MS dazu 'herablässt' die Lücke zu schließen...
Als Workaround bietet US-CERT folgendes an:

</font><blockquote>Zitat:</font><hr /> Disabling ITS protocol handlers appears to prevent exploitation of this vulnerability. Delete or rename the following registry keys:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\{ms-its,ms-itss,its,mk}

Disabling these protocol handlers will significantly reduce the functionality of the Windows Help system and may have other unintended consequences. Plan to undo these changes after patches have been tested and installed.</font>[/QUOTE]Diesen Eingriff in die Registry würde ich aber nur erfahrenen Usern empfehlen. Und dies auch erst nach einer Sicherung der Registry.

Es bleibt dem betroffenen User im Moment imho nur das Ausweichen auf einen 'sichereren' Browser wie beispielsweise

Mozilla -&gt; http://www.mozilla.kairo.at/
Firefox -&gt; http://www.mozilla.org/products/fire...eases/0.8.html
Opera -&gt; http://www.opera7.de/

Gruß,
Lutz

[ 20. April 2004, 20:19: Beitrag editiert von: Lutz (DerBilk) ]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 20.04.2004, 19:28   #2
Lutz
 

Browser HiJacking a la  'start.htm' und 'start.chm' - Ausrufezeichen

Browser HiJacking a la 'start.htm' und 'start.chm'



Zwei Interessante Seiten hierzu habe ich gerade gefunden:

http://www.securityfocus.com/bid/9658/exploit

und

http://netsecurity.about.com/cs/gene...a/aa021504.htm

Da es noch kein Patch hierfür gibt, wird dort folgendes Workarround 'angeboten':

</font><blockquote>Zitat:</font><hr /> A possible workaround would be to remove the file association in Windows that allows CHM files to be executable. Follow these steps:

* Open Windows Explorer
* Click on Tools
* Click on Folder Options
* Click on File Types tab
* Scroll to the CHM type
* Either delete or modify it so it isn't executable

The problem with this is that you will be disabling all CHM files so Windows Help will be effectively disabled. </font>[/QUOTE]Wenn Bedarf besteht, werde ich das ganze mal kurzfristig zu übersetzen versuchen...
Dieses Workarround ist aber nicht ohne!!
Das bedeutet nämlich, dass dann sämtliche CHM-Dateien unter anderem die Windows-Hilfe nicht mehr (so ohne weiteres) zu öffnen ist.
Diese 'Geschichte' ist meiner Meinung nach eher etwas für erfahrene Anwender!

Ansonsten bleibt mein obiger Rat bestehen, auf einen weniger anfälligen Browser umzusteigen.

Gruß,
Lutz
__________________

__________________

Antwort

Themen zu Browser HiJacking a la 'start.htm' und 'start.chm'
bietet, browser-hijacking, c:\windows, code, data, explorer, feiertage, folge, folgendes, help, internet, internet explorer, lücke, lösung, microsoft, ostern, problem, registry, sites, software, start, system, this, usern, web, weihnachten, windows, workaround



Ähnliche Themen: Browser HiJacking a la 'start.htm' und 'start.chm'


  1. Extrem langsam gewordener Rechner,verbunden mit Browser-PopUp bei Start des Rechners?
    Log-Analyse und Auswertung - 17.10.2015 (3)
  2. Max-Start.com (Max Start) entfernen
    Anleitungen, FAQs & Links - 13.05.2014 (2)
  3. Google Chrome ist abgestherzt...Meldung erscheint bei jedem Browser Start
    Log-Analyse und Auswertung - 29.01.2014 (19)
  4. Internet-Browser zeigt beim Start automatisch eine Survey-Seite
    Plagegeister aller Art und deren Bekämpfung - 30.12.2013 (3)
  5. GUV-Trojaner; Start in abgesichertem Modus nicht möglich; Start von FRST nicht möglich
    Log-Analyse und Auswertung - 20.12.2013 (1)
  6. "start.iminent.com" erscheint im Browser und läßt sich nicht entfernen
    Log-Analyse und Auswertung - 27.11.2013 (3)
  7. RUN DLL Fehlermeldung beim Start -> C:\Programme(x86)\Browser Updater\TBUpdater.dll
    Plagegeister aller Art und deren Bekämpfung - 04.11.2013 (9)
  8. "start.iminent.com" erscheint im Browser und läßt sich nicht entfernen
    Log-Analyse und Auswertung - 15.10.2013 (5)
  9. Task Manager geht nicht mehr, Browser öffnet Internetseite, cmd-Fenster öffnet sich bei Start
    Log-Analyse und Auswertung - 19.06.2013 (8)
  10. PC lahmt beim Start und Herunterfahren, office Programme und Browser hängen sich auf
    Log-Analyse und Auswertung - 16.10.2009 (5)
  11. Nervende Werbung öffnet sich bei Browser-Start
    Log-Analyse und Auswertung - 27.02.2007 (1)
  12. Bei jedem WindowsXP start startet auch Mozilla Browser
    Log-Analyse und Auswertung - 01.08.2006 (2)
  13. Browser Hijacking
    Log-Analyse und Auswertung - 01.01.2006 (1)
  14. mk:@MSITStore:C:\spe\start.chm::/start.html# ???
    Plagegeister aller Art und deren Bekämpfung - 28.10.2004 (14)
  15. Browser Hijacking?
    Plagegeister aller Art und deren Bekämpfung - 18.09.2004 (4)
  16. browser hijacking
    Log-Analyse und Auswertung - 07.09.2004 (1)
  17. coolwwwsearch.com Prozess bei jedem Browser Start
    Log-Analyse und Auswertung - 26.07.2004 (4)

Zum Thema Browser HiJacking a la 'start.htm' und 'start.chm' - Hallo, ob es an den christlichen Feiertagen liegt? (Weihnachten war es das Browser-Hijacking zu ntsearch.com - jetzt zu Ostern sind es Hacks nach dem Muster </font><blockquote>Zitat:</font><hr />R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start - Browser HiJacking a la 'start.htm' und 'start.chm'...
Archiv
Du betrachtest: Browser HiJacking a la 'start.htm' und 'start.chm' auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.