Hijacker about:blank - se.dll\sp.html -- Der Cleaner

Hier wird nachfolgend beschrieben, wie man sich vor rund zehn Jahren vor dem about:blank Trojaner schützte. Wie man den Browser-Hijacker heute als Nutzer von Windows 7, Windows 8 oder Windows 10 los wird, erfahren Sie in der aktuellen Trojaner-Info-News "about:blank Browser-Hijacker entfernen: so geht`s!"

Fast genau ein Jahr ist es nun her, dass ein besonders aggressiver Browser-Hijacker die Benutzer des Microsoft InternetExplorers schier zur Verzweiflung brachte.
Nun stehen viele vor einem ähnlichen Problem. Wieder treibt ein Browser-Hijacker sein Unwesen, gegen den kein Kraut gewachsen scheint. Alle gängigen Tools wie beispielsweise der CWShredder, Spybot Search & Destroy, SpywareBlaster und Ad-aware sind zur Zeit nicht in der Lage, diesen Browser-Hijacker zu entfernen. Auch das bei den meisten Betroffenen mittlerweile hinlänglich bekannte "fixen" mit HijackThis bringt keine dauerhafte Erlösung. Nach einem Neustart des Rechners treten immer wieder die gleichen Symptome auf.


Die Infektion ist mittels eines Scans mit HijackThis an folgenden Einträgen leicht zu erkennen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
..
O2 - BHO: (no name) - {F8424FC9-8E55-11D9-A27A-70A8B984B8CD} - C:\WINDOWS\SYSTEM\MJBPDB.DLL
...
O18 - Filter: text/html - {C476D621-8E5F-11D9-A27A-70A83233A619} - C:\WINDOWS\SYSTEM\MJBPDB.DLL
O18 - Filter: text/plain - {C476D621-8E5F-11D9-A27A-70A83233A619} - C:\WINDOWS\SYSTEM\MJBPDB.DLL

Der Name der DLL (hier rot markiert) ist bei jedem Betroffenem ein anderer, da dieser bei einer Infektion zufällig erzeugt wird.

Nach dem die alles entscheidende Frage * Wo und wie infiziert man sich?* geklärt ist, können wir nun einen Cleaner gegen diesen Hijacker vorstellen. Dieser Cleaner ist unter den Betriebssystemen Windows98/ME/2000/XP mehrfach erfolgreich getestet worden.

Download durch Klick auf den entsprechenden Link starten.

Trojaner-Info.de übernimmt keinerlei Haftung für eventuelle Schäden, welche durch dieses Programm trotz sorgfältiger Prüfung entstehen könnten. Jeder Anwender erklärt sich bei Download der Software damit einverstanden.



Zu der Funktionalität des Cleaners unter Win2003 kann bisher keine Aussage getroffen werden!

Nachdem das ca. 55 KB kleine Programm heruntergeladen wurde, muss die Datei durch einen Doppelklick gestartet und der Button "Desinfektion starten" betätigt werden.
Wenn eine Infektion mit diesem Hijacker festgestellt wird, wird der Rechner automatisch neu gestartet, damit die Desinfektion erfolgreich abgeschlossen werden kann. Hierbei wird auch eine Log-Datei erstellt, welche die Desinfektion protokolliert.

Screenshot Cleaner | Hijacker about:blank

Unser Dank geht an:
Seeker (Programmierer des Cleaners)
und
Raman (fand als erster den entsprechenden Download-Trojaner und war von Anfang an an den Tests beteiligt)

Lutz (lk) 11.04.2005