# Hijack-Ergebnis



## Anonymous (29 Dezember 2004)

So ich glaub mich hats erwischt wäre super wenn ihr mir helfen könnt!
Also Spybot findet zwei Registrierungsdatenbank-Änderungen kann diese auch beheben aber bei Neustart sind diese wieder da und ich bekomme wieder Pop-Ups. Hänge mal mein Hijack-Ergebnis dran in der Hoffnung ihr könnt mir helfen. Danke


----------



## Dino (29 Dezember 2004)

Ja, sieht so aus, als hättest Du Dir einen Schnupfen geholt.

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\System32\vbsys2.dll

Das könnte der Bösewicht sein. Ca. 88 kB groß. Wenn HJT das so nicht dauerhaft fixen kann, versuche es mal im "Abgesicherten Modus".

Wenn es dann auch nicht hinhauen sollte, lösche die Datei mal manuell. Kannst ja sicherheitshalber vorher mal ein Backup davon machen.

Alles andere in Deinem Log ist meiner Meinung nach unkritisch. Zwar mault HJT über einiges, aber ein paar kurze Nachforschungen lassen diese Einträge plausibel erscheinen.

Evtl. solltest Du diesen Eintrag

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game13.zylomgames.com/activex/zylomloader.cab

nochmal hinterfragen. Wenn Du in der Vergangenheit oder vielleicht sogar regelmäßig mit zylomgames.com zu tun hattest, wird das ok sein. Wenn Du das gar nicht kennst, schmeiß es raus.


----------



## Anonymous (29 Dezember 2004)

Da sag ich mal schönen Dank es sieht so aus als ob funktioniert hat!!!  
Was genau das jetzt war kannst du mir aber auch nicht sagen oder?


----------



## Dino (30 Dezember 2004)

Vielleicht doch! Es dürfte sich um einen Trojaner handeln (Agent.ac), der für Traffic sorgt. Er ruft selbstständig Webadressen auf, um z.B. ....

...um die Hits einer bestimmten Seite zu Werbezwecken zu erhöhen (sehr wahrscheinlich!).

...um das Opfer auf Server zu leiten, auf denen ihnen andere Fieslinge untergejubelt werden (auch nicht unwahrscheinlich!)

...um ein DoS-Attacke (Denial of Service) zu fahren. Dabei werden durch eine Vielzahl von Aufrufen einer Webseite von vielen befallenen Rechnern der Server zum Erliegen gebracht.

Was genau nun der Agent.ac - das müsste er eigentlich sein - genau macht, weiß ich nicht, aber in die oben genannten Richtungen geht es wohl.


----------



## Devilfrank (30 Dezember 2004)

Nimm das Removal-Tool von Symantec im abgesicherten Modus und alles wird gut...


----------



## Anonymous (30 Dezember 2004)

das removal-tool findet nichts mehr habe die entsprechende zeile mit dem Hijacker ja gelöscht reicht das? Bin ich nun wieder gesund oder noch eine Sicherheitsmaßnahme die ich treffen könnte/müßte?


----------



## Bomi (29 September 2005)

Dino schrieb:
			
		

> Evtl. solltest Du diesen Eintrag
> 
> O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game13.zylomgames.com/activex/zylomloader.cab
> 
> nochmal hinterfragen. Wenn Du in der Vergangenheit oder vielleicht sogar regelmäßig mit zylomgames.com zu tun hattest, wird das ok sein. Wenn Du das gar nicht kennst, schmeiß es raus.


Sorry, dass ich diesen alten Thread noch mal nach oben hole - auf der Suche nach "Zylom" ist er als einziger angezeigt worden. Hintergrund: Auf der Suche nach NonBaller-Games bin ich bei denen auf der Seite gelandet und habe eine Testversion eines Games (Chuzzles) heruntergeladen. Solche Sachen werden grundsätzlich erstmal in einer VM mit RegMon und FileMon von SysInternals laufen gelassen, um zu sehen, was die so anstellen - Ergebnis sind zwei jeweils 1 MB große LOG-Files  Habe sie noch nicht komplett analysiert, aber auf alle Fälle liest das Game Informationen aus der Registry und aus DLLs in System32 aus, die IMHO nicht unbedingt lebensnotwendig für die Ausführung eines Games sind. So werden unter anderem aus der Registry alle UnInstall-Infos (Name und Publisher, gibt 'ne feine Liste, was alles auf der Kiste installiert ist) und in System32 Infos zu Browsererweiterungen (BHOs) ausgelesen. Weiterhin interessiert sich das Game für die Identities von Outlook Express. Im Installationsverzeichnis des Games wird zudem eine Datei mit verschlüsseltem Inhalt abgelegt und das Game versucht beim Start, nach Hause zu telefonieren.

Sicherlich kann das alles ganz harmlos sein (gemäß Spybot S&D, BHODemon und HJT werden auch keine Modifikationen am System vorgenommen, ein Eintrag wie der obige im Quote taucht nicht auf), aber stutzig macht es einen schon irgendwie. Deswegen mal die Frage, ob jemand mit dem Anbieter Erfahrungen hat und sich da eventuell irgendeine Spyware breitmachen will?


----------

