NTsearch...sp.exe usw. - CleanUp Tool Entwicklung

#1 hm irgendwie wunder ich mich ein wenig über die häufigen fragen und probleme mit der sp.exe
eigentlich sollte doch das löschen nun kein problem mehr sein.
immerhin gibts von mir einen deinstaller und ner menge anderer leute auch.

man sollte den Thread 'lösung bei ntsearch' mal oben halten und dort dann die diversen tools anbieten.
den das raman alle paar minuten ein log mit sp.exe überprüpft muss ja nicht sein , oder ?

nach wie vor stehe ich auch gerne zur verfügung, wenn ein user ein neues file gefunden hat, das mir anzusehen und eventuell einen deinstaller zu coden.

das ist aber schwer, zur zeit posten die leute die logs und meist raman hilft und sagt dann was gelöscht werden soll.
und schwupp weg ist die malware...

wenn ihr lust habt, können wir ja zusammen was machen und überlegen wie man den besuchern helfen kann und gleichzeitig an die malware der user kommt.

ich erwarte tonnen ideen usw

gruss coder

#2 Hallo Coder,

erstmal ein dickes Lob für deine tolle Hilfe und dein cleveres Tool hier!

Ntsearch ist zwar immer noch sehr gefragt, besonders bei Google sind die Threads aus diesem Forum sehr weit oben, aber ich denke es beruhigt sich langsam, da hier wirklich eine professionelle Lösung entwickelt wurde.

Was in diesem Forum fehlt ist eindeutig ein bisschen mehr Struktur, d.h. heisst angepinnte Anleitungen / Lösungen und Linklisten zu Tools wie die Deinen!

eine Anleitung wie man seine Hijackthis Logs selbst auswertet wäre z.B. toll!

greetz Lp

#3

Zitat

coder postete
wenn ihr lust habt, können wir ja zusammen was machen und überlegen wie man den besuchern helfen kann und gleichzeitig an die malware der user kommt.

gibt es mehrere Möglichkeiten:

- Ich könnte im Virenforum eine kleine Notiz mit einbauen, wo man Malware z.B. per eMail zum durchchecken hinsenden könnte
- ich könnte eine kleine Upload Station für Viren basteln, wo man verdächtige Viren hochladen kann.
- Wir könnten mit Rokop Security zusammenarbeiten, da die einen Viren Check Service schon anbieten! (und sozusagen einen Verteiler basteln )

Laserpointa's Tutorital Ideen sind sehr gut allerdings wer diese dann schreibt, daran hängt es leider zu oft...
__________
Gruß Lukas

#4 Einer Zusammenarbeit steht von mir aus nichts im Wege, im Gegenteil, ich wär sehr erfreut darüber. Schließlich kämpfen wir alle für eine gemeinsame Sache.
__________
(-- Rokop --)
www.rokop-security.de

#5 prima das hört sich ja schon gut an

mit dem schreiben der tutoriale könnten wir uns ja abwechseln ?
zu viert sind das schon max. 1 tut pro woche, bei mehr leuten die mitmachen wirds dann weniger und weniger einsatz, den der einzelne bringen müste.

wenn wir den bestehenden service mitnutzen könnten wäre das doch super.
nach 1 woche ab und an surfen habe ich nix im web gefunden das meinen alten ie5 anfallen wollte
ein user von spoonweg hat mir ein vbscript gemailt, fonts.hta den hugesearch.sowieso hijacker.
damit kann man dann nicht sehr schnell reagieren.

hab schon überlegt ein tool zu coden das auf einem kleinen alten pc durchs web surft und ich sehe mir dann abends den müll auf der kiste an...aber am ende surfe ich ohne wissen x kinderp. seiten ab und bin dann plötzlich vor gericht.

daher wäre es schon besser wenn die user der jeweiligen sircherheitsseite die verdächtigen files, die man ja durch die hijack logs finden kann, zu uns senden und nicht sofort löschen.

kann man ja mal durchrechnen, eventuell 1000 besucher am tag auf der seite.
davon sicher mind. 10 die was neues haben.

nur schade das die benutzer meist nach der lösung des problems wieder weg sind

gruss coder

#6 hi,
ich melde mich hier zum thema sp.exe und ntsearch,um einen erfahrungsbericht abzugeben.
ich arbeite mit win2000 und hatte (hoffentlich) das angesprochene problem.
nach installation und ausführung von ad-aware6.0 und update dieses tool's
war bei mir schluß mit dem spuk.
leider habe ich jetz noch ein problem.
wenn ich bestimmte seiten aufrufe(zb.www.denic.de ,und weitere)tut sich das schwer ,einfach gesagt ,es geht nix los.
da ich in einem netzwerk hinter einem router arbeite ,konnte ich bei den andern Arbeitsstationen (mit xp , win95 ,linux ) ,welche nicht befallen waren ,diesen makel nicht feststellen.
hier lassen sich diese seiten einwandfrei aufrufen.
ich hoffe nun , daß einer etwas hilfreiches zur behebung dieses problem's sagen kann.
bye
tilo

#7 Ja, aber poste erstmal ein HiJackThis Log
__________
(-- Rokop --)
www.rokop-security.de

#8 hier nun das mühevoll erarbeitete hijackthis-logfile:

Logfile of HijackThis v1.97.7
Scan saved at 23:57:54, on 18.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\mspmspsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinMX\WinMX.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37984.6568634259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5078F19-C551-11D3-89B9-0000F81FE221} (XML Parser) - http://cm4all08.kundenserver.de/app/static/activex/msxml3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33509DE0-74EA-4B6D-9177-1C820398E11E}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{33509DE0-74EA-4B6D-9177-1C820398E11E}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{33509DE0-74EA-4B6D-9177-1C820398E11E}: NameServer = 192.168.1.1


das posten war vieleicht ne elefantenkur ,hoffentlich könnt ihr was damit anfangen und vor allem ,die ursache für das nichtöffnen bestimmter seiten erkennen.

#9 Also ich seh nichts böses ...
__________
(-- Rokop --)
www.rokop-security.de

#10 Hi,

also da : C:\Programme\WinMX\WinMX.exe
kommt deine malware sicher her...
alter p2p

eventuell ein xyz.HTA file wie der hugesearch hijacker ?
schon die betreffenden registry keys gesäubert , problem noch da ?

wenn nicht hiermit mal säubern :
---------- regfix.reg -------
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=""
"Default_Search_URL"=""
"Search Page"=""
"Start Page"="about:blank"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"CustomizeSearch"=""
"Default_Search_URL"="www.google.de"
"SearchAssistant"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]
"url1"=""
"url2"=""
"url3"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=""
"Default_Search_URL"=""
"Search Bar"=""
"Search Page"=""
"Start Page"="about:blank"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"CustomizeSearch"=""
"Default_Search_URL"=""
"SearchAssistant"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
@=""


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
@="http://"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes]
"www."="http://"
"www"="http://"

---------- regfix.reg -------

gruss coder

#11 hi,
also coder ,die sache mit dem winmx möcht ich definitiv ausschließen ,es ist mit und ohne winmx das gleiche problem.
es war einfach nur meine eigene blödheit , daß winmx grad beim scan mit hijackthis lief.
an der zweiten geschichte , mit dem bearbeiten der registrie könnte eher was drann sein , ich das mal untersuchen.

besten dank für die hinweise

gruß , tilo

#12 nein nein, ich meinte über winmx kommen die verseuchten tools und Cra*hier nicht!* auf deinen pc

#13 hallo,
jetz isses wieder mal soweit.
ich bin nahe drann win2000 neu zu installieren.
seit den letzten registry-experimenten hab ich jetzt folgendes problem zu verzeichnen ,was ich sicher ohne großen aufwand nicht lösen kann.
und zwar brauch jetzt die svchost.exe die volle cpu-leistung(laut taskmanager-prozesse),ich weiß jetz nicht ,wie ich das abstellen kann.
ne idee dazu wird sicherlich keiner haben.:-)
gruß
tilo

#14 "ne idee dazu wird sicherlich keiner haben.:-)"

doch klar ,einer findet sich immer der sowas schon gehört hat, früher oder später :-)

der gute mann hier hat auch schon endlose stunden hinter sich, bis er die lösung (ganz unten im text) gefunden hat.

http://www.cumba.de/web1/comp_svchost.htm

auch nicht schlecht ist diese lösung : http://www.pro-support.de/ps1.pl?read=891

leider schlecht zu sagen was in deinem fall hilft, ich würde zuerst mal die registry säubern wie in fall eins, sonst plan b :-)

alle benötigten infos zu dem service gibts mit bild hier : http://www.pctip.ch/helpdesk/kummerkasten/archiv/win2k/25498.asp

gruss coder