# Browser Hijack?



## Anonymous (18 September 2004)

Mein browser hat laut hijack this ein kleines Problem... Als Startseite ist google eingestellt und es kommt auch google, aber kurz vorher findet ein Besuch statt bei "iload.t*"
http://startpage.iload.t*/?m=abc&t=&u=http://www.google.de/&x=4E9D0A7E-9B54-4910-B069-1EFA549A6A49

ich bin noch am Recherchieren, woher das kommt.
Die Seite ist in Frankfurt gehostet und verweist auf eine Firma auf den Jungferninseln, an der mir doch so manches  bekannt vorkommt

.....


Da ich gestern für einen user hier nach einem bestimmten Dialer suchte, schwant mir da was, oder es schwanthalert, oder so... Donner-wetter aber auch...
aka

_Whois Daten posten ist nicht zulässig tf/mod _


----------



## Aka-Aka (18 September 2004)

Das ging ja schneller, als ich dachte... Auf der Seite, die kurz vor dem öffnen von google besucht wird, ist ein script


			
				script schrieb:
			
		

> params = ('scrollbars=0,resizable=0,width=100,height=100,left=5000,top=5000');
> window.open('http://startpage.iload.t*/ad2/ad.htm','ad2',params);
> 
> window.location.href = 'http://www.google.de/';



diese ad.htm enthält dieses script


			
				ad schrieb:
			
		

> function start()
> {
> window.setTimeout("ad01()",60000);
> }
> ...



"Winad", hmm, das kommt mir doch irgendwie sehr bekannt vor... 

Dieses Fenster hat den Titel "about:blank". 

whois liefert als Inhaber wieder ...
_whois Daten posten ist nicht zulässig tf/mod _
ok, wurde inzwischen per PN weiter gegeben.


----------



## Captain Picard (18 September 2004)

Stimmt die (verkürzte) IP ?

wenn ja, ist das heftig. der gesamte Nummernblock ist einer mehr als "bekannten" Firma zugeordnet 
dort werden neue Webpräsenz angekündigt , die alle nur einen einzigen aktiven Button=Impressum 
haben , der immer auf die gleiche URL führt 
h**p://www.hyro.org/ 
na da hat jemand aber "hübsch" gehortet und vorgesorgt ....

cp


----------



## Aka-Aka (18 September 2004)

Captain Picard schrieb:
			
		

> Stimmt die (verkürzte) IP ?
> 
> wenn ja, ist das heftig. der gesamte Nummernblock ist einer mehr als "bekannten" Firma zugeordnet
> dort werden neue Webpräsenz angekündigt , die alle nur einen einzigen aktiven Button=Impressum
> ...


Ich werde versuchen, die genaue Ursache herauszufinden. Mit der von Dir erwähnten Firma hatte ich recherchemäßig eigentlich seit Tagen nichts mehr zu tun - aber dieser Kurzbesuch ist auch so unauffällig - vielleicht habe ich ihn einfach nicht bemerkt?! Als ich das überprüfte, stieß ich eben auf "Tortola" - mit der (!) Adresse und - wie wir Menschen nun einmal sind - bezog es auf die letzte Recherche von gestern nachts, da ging es um den GN-Dialer   hier . Wenn Betroffene dieses Dialers ähnliche Hijack-This-logs hätten, könnte ein ZUsammenhang bestehen, oder? (bedenke, dass ich nach wie vor ein technischer DAU bin  )


----------



## technofreak (18 September 2004)

@Aka-AKa

Bitte keine  WhoisDaten posten, Denic und andere Domainverwalter untersagen strikt 
die öffentliche Weitergabe der Daten . Die Infos stammen von diesen Quellen auch bei CB-Whois 
Es gibt andere Wege die Information zu vermitteln 
http://forum.computerbetrug.de/rules.php#8


> Als persönliche Daten in diesem Sinne gilt auch das Ergebnis von whois-Abfragen.


tf


----------



## Aka-Aka (18 September 2004)

@techno: in diesem Fall war das Problem, dass zB whois.to kein Ergebnis geliefert hat. Das cb-whois funktionierte allerdings. Wer will, kann das also durchaus nachvollziehen, ohne dass es hier gepostet ist (drum auch nur ein einziges Sternchen oben). Sorry nochmals, aber dieser Zufall mit dem whois ist schon egenartig, oder?

@cp: Kannst Du mir das mit hyro erklären? die IP aus der ad.html (-136) führt bei mir per Impressum in die Rattenfängerstadt H. - allerdings wird eine Firma aus Estland erwähnt, die neuerdings auf der Muckeseite auch steht. Da ich gestern mit deren Dialer zu tun hatte, klingt das für mich plausibel. Was ich dann aber immer noch nicht verstehe ist der gleiche Briefkasten in Tortola ???

___

Nachtrag 13:45, siehe screenshot. Ach so, dann ist Tortola ja "normal"... Dieses Fenster fand ich ausgehend von óben erwähnter IP... (***136)


----------



## Anonymous (18 September 2004)

google mit "iload.**" offenbart, dass der Zusammenhang zwischen "ieloader.dll" und dem Hijack bekannt ist, es gibt aber auch Betroffene, in deren Hijack-logs zwar der Hijack ist, aber KEIN Hinweis auf ieloader.cab.

Der älteste Hinweis auf einen direkten Zusammenhang zwischen dem Hijack und dem Questnetdialer, den ich auf die Schnelle fand, ist der hier:
http://computercops.biz/postp281111.html

In diesem Fall wurde offenbar der iload-Hijack von einem weiteren überschrieben, oder interpretiere ich

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://startpage.iload.**/?m=abc&t=&u=h...hoo.com/ 

falsch?


----------



## Anonymous (19 September 2004)

Bei der IP, die aus der Analyse oben gewonnen werden konnte, gab es gestern einen p2p-Dialer, der, wie offenbar die meisten aktuellen PP-Dialer von GN, die 090090001530 nützt. Bei einem ersten, nicht dokumentierten Fall, wurde man zu "Tanga AG" geschickt, ebenfalls einem Rattenfängerprogramm aus Rattenfängerstadt.
Mir ist immer noch nicht klar, was der kurze Aufruf dieser seltsamen iload-Seite bedeuten ("bringen"?) soll...


----------



## Anonymous (23 September 2004)

Nach einer Beschwerde beim hoster wurde die iload (ohnehin nicht mehr aktiv) vom Netz genommen.

"Aufgrund weiterer Hinweise wurde die genannte URL
am Samstag Nachmittag deaktiviert." 

Vielen Dank an die postenden hier und an die Firma plus.line

Welche URL G.R. von der Titanium Web Ltd., P.O.BOx 875, Road Town, Tortola, +284128449459** jetzt benützt? Ich weiß es nicht...


----------



## Aka-Aka (23 September 2004)

In welcher Beziehung steht eigentlich die Firma ngf.at aus der Rattenfängerstadt Hameln, die mir in den letzten Tagen immer wieder begegnet, zu einem gewissen Herrn MD von der Firma "Net Pay GmbH"?


			
				handelsregister.sueddeutsche.de schrieb:
			
		

> Neueintragung 01.04.2004, Net Pay GmbH, Schwanthaler Str. *, München,
> HRB 151910
> ...
> Gegenstand des Unternehmens: Betrieb einer Werbeagentur und Erbringung von Internet-Dienstleistungen aller Art. Stammkapital: 25.000,00 EUR.
> ...


googlen nach dieser Firma führt nämlich zu den AGBs der Firma, diese befinden sich auf einer www.net-pay.in**
Das Öffnen dieser Seite bietet einem jedes Mal neue Seiten an, die unterschiedlichen Leuten gehören (laut Impressum).

als ich das erste Mal dort war, war es eine starhacker (stardialer, ngf.at), dann mal eine mp3-seite, oder sms-hacker-Seite, allerlei und bunt gemischt. Man wird zu allerlei SEiten geschickt, wobei meistens "net-pay.in**" in der Adressleiste bleibt. In der Statusleiste huschen die seltsamsten domains vorbei, bis hin zu "cracked-dialer".

Eingetragen ist diese Zauberseite auf den Inhaber der Firma net-pay, Herrn M.D.

Na, dachte der Chaostheoretiker, sind wir mal kreativ... Und ich fand eine weitere Firma, die nennt sich "net-billing", gleicher GF,   HRB 151728  AG München, M.D., Schwanthaler Str. *, München

und? net-billing.in** ist fast ebenso lustig.
Mal landet man auf Pornoseiten mit 'nem stardialer, dann wieder eine Foto-Clipart-Seite (stardialer), dann Suchmaschinenwelt (Questnetdialer -1530 / Global Netcom), usw. usf.

What the hell is that? Das Tor zur Hölle? und was hat das evtl. mit dieser Tortolafirma vom iload-Teil zu tun? Und wie viele solcher Sachen gibt es noch da draussen? Und wie finde ich in diesem ganzen Schlamassel eine Seite, die zufällig den Gewinn der Multimedia-Multimilliardäre um ein paar Promille reduziert?

P.S.: Ich habe inzwischen reichlich Filmmaterial gesammelt, was einem so alles passiert dort, aber Verstärkung ist willkommen.


----------



## Anonymous (27 Dezember 2004)

*iload*

also das mit iload scheint ja irgendwie n nest zu sein...
weil als ich eben online ging suchte der sich auch diese seite von iload...

schon recht merkwürdig...


----------



## Aka-Aka (27 Dezember 2004)

*Re: iload*



			
				pho3nix schrieb:
			
		

> also das mit iload scheint ja irgendwie n nest zu sein...
> weil als ich eben online ging suchte der sich auch diese seite von iload...
> schon recht merkwürdig...


Hä? Iload soll wieder da sein? Besorg Dir mal "hijack this"
http://www.spywareinfo.com/~merijn/
und schick die Teufelchen zum Teufel...
Wo das nur wieder her kommt... Die "alte" iload wurde jedenfalls vom provider plusline recht zeitnah abgeschaltet, schon im September...
Ob ein Zusammenhang mit den schillernden Figuren besteht, die an der iload-Geschichte vom September beteiligt waren, weiß ich nicht. 
Nachtrag: vor du mit hijack was löschst, schreib bitte genau mit, was da steht...

P.S.: ich habe mal einen link ins linkforum gestellt... Kann sich das jemand ankucken???


----------

