LÖSUNG » NTSEARCH .com « Problematik

#61 Dann nimm den Cleaner, der unter anderem auch im ersten Posting "verlinkt" ist:
http://board.protecus.de/t7534.htm
__________
MfG Ralf
SEO-Spam Hunter

#62 Das hab ich grad versucht...geht nicht...is immer noch da!
Obwohl dann dort stand...trojaner erfolgreich entfernt!
Was soll ich nur tun?

Gruss, Tiina.

#63 Versuchs mal mit meinem Skript.

Bis jetzt hat's wohl immer geholfen. Hab' jedenfalls noch nix gegenteiliges gehört.

www.heurem.de


Gruss

Itze

#64 @bodylotion67 : Du kannst es ja mal mit dem Tool versuchen, abeer wenn es nicht helfen sollte, poste halt ein Log.
__________
MfG Ralf
SEO-Spam Hunter

#65 hallöchen @ itze80!!!!

hab's grad ausprobiert und es hat funktioniert!!!
konnte danach auf anhieb sp aus windows löschen.
hoffe, es bleibt jetzt auch so!
muss ich jetzt irgendwas beachten bzw. tun, um ganz sicher
zu gehn', dass "ER" nicht wieder erscheint???

ansonsten schon mal ein supimegagrosses dankeschön!!!!!!
...auch an RAMAN!!!
ich melde mich sonst wieder!!!!*smile

DANKE sagt TIINA!!!!!!!

#66 Hallo,

als Neuling habe ich mit Begeisterung diesen thread gefunden und angewendet. Bis jetzt geht alles gut, sp.exe ist im Nirvana der bits und bytes verschwunden. Hoffentlich kommt es nicht wieder!

Btw: Wo kommt dieser ntsearch hijacker her? Als mail oder direkt via Internet?

Danke an alle für die Beiträge, insbesondere an Raman für Deine kompetente Hilfe!!!



Grüße,
LuckyPC
__________
Grüße,
LuckyPC

#67 Er verbreitet sich wohl via einer Sicherheitsluecke in einer bestimmten Java Version von Microsoft. Darum ist das Windowsupdate so wichtig, denn sonst kommt das Ding immer wieder.
__________
MfG Ralf
SEO-Spam Hunter

#68 Das Popupfenster zum Download von ntsearch.com kommt auch nach der Säuberung wieder, allerdings treten keine Links mehr auf. Ich kann sp bzw. sp.exe auch nicht mehr feststellen, allerdings hat sich in c:\windows\prefetch folgendes angesiedelt:

sp.exe-0742D577.pf

Von Sun habe ich die neueste Java-Version aufgespielt.

Hat jemand einen Rat parat? Ich bin ja schon froh, das die Links nicht mehr auftreten, allerdings nervt mich das jeweils dreimalige auftreten der Popup-Downloadaufforderung verbunden mit einer nicht nachvollziehbaren Virenmeldung von Mcafee. Gleichzeitig teilt die McAfee-Firewall mit, das sie das Ausführen eines ungewünschten Scriptes gestoppt hat.

Danke im Voraus und einen schönen (virenfreien) Sonntag




Hallo allerseits, hier noch ein Nachschlag zu meinem ersten Posting von heute:

Ich habe soeben aus "gegebenem Anlaß" die ganze Sache mal genauer protokolliert. Sollte dies vorher schon jemand irgendwo getan haben, bitte ich als Neuling um Nachsicht, andernfalls bin ich für Eure Hilfe dankbar:

Es erscheint eine Download-Aufforderung für einen Dialer für offensichtlich pornographische Seiten.

Herausgeber ist E-Service Inc.

Im Hintergrund öffnet sich der I-Explorer mit der Befehlszeile

www.ntsearch.com/index.html

ohne, daß der Befehl exekutiert wird (blanko).

Gleichzeitig erscheint eine Warnung der Firewall und des Virenscanners.

Die Firewall teilt mit, daß ein unerwünschtes Script ausgeführt werden sollte, dies aber gestoppt hat in Pfad

C:\Windows\System32\mshta.exe.

Deshalb bleibt der I-Explorer wohl auch weiß (blanko).

Der Virenscanner teilt folgendes mit:

Temporary Internetfiles\Content.IE5\HVJR1D6E\popup[2].hta

enthält einen Virus VBS/Inor Trojan.

Unter

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100598

findet man eine Beschreibung des Virus, der offensichtlich nur der Vorbereiter für die weitere Installation eines Trojaners ist.

Wie kann ich diesen Downloader für den Dialer, der offensichtlich ntsearch.com im Gefolge hat, auf Dauer stoppen?
Die Systemwiederherstellung habe ich deaktiviert, da kann sich nichts eingenistet haben.
Ich bin ja schon froh, daß die Firewall und der Virenscanner von McAfee korrekt arbeiten.

Danke für Eure Hilfe,
__________
Grüße,
LuckyPC

#69

Zitat

offense postete
danke für die hilfe zur lösung des problems!
allerdings kann man das auch etwas verkürzen, jedenfalls hat es bei mir geklappt (win2000, ie6):


1. im taskmanager die sp.exe beenden
2. sp.exe im windows ordner löschen
3. browser neustarten


adios!

Oder wie gesagt im Taskmanager=msconfig sp.exe entfernen neustart des Pc´s dann Sp.exe mit dem Regedit löschen und im Regestry auch und dann nochmals Neustart. Das geht auch nur ein schritt mehr :-))
__________
Take it Easy!!!

#70 @descalin,

das ist ein Irrtum!

Trotz dieser Prozedur kommt die im 2. Teil meines Postings beschriebene Popup- und ntsearch-Geschichte wieder, ohne, daß sp.exe sich wieder eingenistet hat. Der einzige Hinweis darauf liegt in der im 1. Teil meines Postings beschriebenen sp.exe-0742D577.pf in Windows\prefetch.

Was nach dem Löschen der entsprechenden sp.exe-Einträge ausbleibt ist lediglich die Hinterlegung von Links unter einzelne Begriffe.
__________
Grüße,
LuckyPC

#71 So nun habe ich das Prob endlich beseitig dachte ich mir@all aber nein wenn ich mit meinem Internet Explorer wieder ins Internet gehen möchte kommt dieser ........ sp.exe schon wieder menno *heul* wie kann ich das viech denn los werden???




ok versuche es nun mal mit einem Windows Update und dann mal weiter sehen wenn es alles geklappt hat wie mir das gepostet wurde dann schriebe ich das alles ins Forum Thx@all ins besonders danke an Raman
__________
Take it Easy!!!

#72 Ich hab damals bei mir einfach bei msconfig "Systemstart" die sp.exe ausgestellt... dann ging alles wieder... aber ich bin mir nicht sicher ob das reicht... mein Anti-Vir hat den Trojaner erkannt und verbannt (gelöscht). Hab mir nochmal von hier den Removal Tool (spoonerweg) oder so ähnlich runtergeladen, das hat nichts gefunden. Jetzt zu meiner Frage: Bin ich auf der sicheren Seite? Achso... mein OS ist Windows XP
Was richtet eigentlich der spooner an?
Gruß Sebastian
P.S. Die msblast.exe steht auch noch in meinem Systemstart.. obwohl ich damals alle möglichen Removal Tools drüberlaufen lassen hab.

#73

Zitat

raman postete
AVK2004 haette ihn auch erkannt, wenn dort nicht das Problem waere, das man nur einmal die Woche neue Sigs bekommt. Es nutzt ja die KAV Engine( und die haben die Erkennung schon laengst drin). Ob bei dir nun alles entfernt wurde kann ich nur raten, aber das meiste wird wohl weg sein!;)

Hallo raman,

eigendlich wollte ich ja nimmer mit-posten, hab aber noch ein anderes teil auf meinem rechenr gefunden. "querty-search" oder so ähnlich, hab dann mit Hijack nen scan gemacht und alles was mit IE und diesem search-teil in verbindung stand gefixed. soviel zur vorarbeit ;-)

da ich aber finde das recht viele prozesse im TM laufen wollt ich dir trotzallem mal mein log posten:
( mit ***markierte teile sind mir klar, mit$$$markierte sind mir schleierhaft)


Logfile of HijackThis v1.97.7
Scan saved at 20:29:21, on 11.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
$$$ C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
$$$ C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
$$$2mal$$$ C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
*** D:\AntiVirusKit_2004\AVKService.exe
*** D:\AntiVirusKit_2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
*** C:\Programme\Microsoft IntelliPoint\point32.exe
*** C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
*** C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
*** D:\Winamp\Winamp.exe
*** C:\Dokumente und Einstellungen\Norman Bates\Desktop\SEARCHENGINE_PROBLEM\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
O4 - HKLM\..\Run: [WinAuth] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Aureon 5.1 Fun Mixer] C:\WINDOWS\System32\Aureon 5.1 Fun Mixer.exe /minimize
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Postguard (HKLM)
O9 - Extra 'Tools' menuitem: Postguard starten (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

wäre fein wennst mir evtl Zeile die ich fixen muss nennst und die sachen mit den prozessen wenns net zu aufwendig ist.

danke nochmal NormanB.

#74 Ich bin zwar nicht Raman aber bei dieser Gelegenheit würde ich noch den Realplayer Kram rauswerfen:

- *** C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

-O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

Ansonst kann ich nicht böses finden, Du musst selbst wissen, ob Du das ganze Zeug nutzt was da sonst noch eingetragen ist.
__________
(-- Rokop --)
www.rokop-security.de

#75 Das kann man ja schon als Standardantwort nehmen, du hast auch eine Coolebsearchvariante: soundmx.exe

Sprich nimm diese beiden Sachen raus, starte neu:
O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
O4 - HKLM\..\Run: [WinAuth] C:\WINDOWS\winlogon.exe

und lasse dann cwshredder mal laufen: http://www.merijn.org/cwschronicles.html

Diese Datei: C:\WINDOWS\winlogon.exe teste mal hier: http://www.kaspersky.com/remoteviruschk.html und sag, was dabei rauskam.
__________
MfG Ralf
SEO-Spam Hunter