Trojaner Tr/sp1

#1 Hallo,
ich hab den Trojaner TR/SP1 auf dem Rechner die Datei ist sp.exe.
Ich habe Antivir 6 und den auch schon ein paar mal entfernt, aber ich kriege ihn nicht ganz weg, der kommt immer wieder...
Ich hab die Vermutung das das vielleicht irgendwie mit dem Internetexplorer zusammen hängt, vielleicht auch nicht.
Kann mir jemand helfen wie ich das Ding endgültig vom Rechner bekomme?
Vielen Dank schon mal...

Gruß Rokka

#2 Hi,
sowohl hier als bei AntiVir gibt es eine sehr hilfreiche Forensuche:
u.a.:

http://board.protecus.de/t7655.htm?highlight=sp.exe
http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic&f=13&t=001814

und natürlich alle Windowsupdates machen, und IE absichern

#3 Hi,
danke erst mal für die schnelle Antwort...ich hab jetzt erst mal ad aware drüberlaufen lassen und die Sachen gelöscht die zu löschen waren...
Jetzt habich versucht mir den CWShredder und Hijack... runterzuladen, hat leider nicht geklappt, ich komm nicht auf die Seite, auch nicht mit dem directlink...jetzt hatte ich dann plötzlich noch nen TR/Pac drauf, den hab ich dann auch gleich gelöscht...
Ich denke aber den TR/SP1 bin ich noch nicht los, sonst hätte ich ja ohne Probleme auf die Seite spywareinfo.comund die merijn kommen müssen oder???
Ich bin da leider noch nicht so bewandert mit...
Danke für die Hilfe!

#4 Hi Rokka,

unter dem o.g., 1. Link findest du einen direkt-Downlaod eines Tools gegen Spooner/sp.exe:
http://www.rokop-security.de/main/download.php?op=getit&lid=55

spywareinfo und merijn.org leiden grade unter einem DDOS-Angriff und sind schwer erreichbar.. abwarten

#5 Hi,
mit dem Spoonweg.exe hab ichdas schon probiert, das ist aber wohl nicht der...es handelt sich um dies hier:

Auf dieser Seite:
http://www.trojaner-info.de/news/ntsearch.shtml

Viele Anwender melden sich seit den Weihnachtsfeiertagen in diversen Security-Foren mit Meldungen wie dieser:


Auf einmal hat "ntsearch" auf alle möglichen Wörter einen Hyperlink gesetzt und nun gehen einige Homepages nicht mehr richtig! Z. B. wird eine Seite geladen, und sobald diese geladen ist, ist die Seite nur noch grau...

Einmal gestartet, versucht der durch den Trojaner eingeschleppte Prozess sp.exe den Internet-Surfer auf die Seite www.ntsearch.com zu entführen (hinter dieser Adresse verbirgt sich ebenfalls die Suchmaschine Cool Web Search). Diese neueste Variante des Browser-Hijacking wird zum Zeitpunkt dieses Berichts vom CWShredder noch nicht erkannt, da der Programmierer lt. eigener Homepage zur Zeit erkrankt ist!

Bei auf NT basierenden Betriebssystemen (WinNT 4.0, Windows2000, WinXP) funktioniert die Entfernung des Trojaners vielfach durch die folgenden Schritte:

1. Im Taskmanager den Prozess sp.exe beenden
2. Die Datei sp.exe im Ordner C:\WINDOWS löschen
3. In der Registry unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run den Eintrag 'C:\WINDOWS\sp.exe' löschen
4. Bei Windows ME und Windows XP die Systemwiederherstellung deaktivieren
5. PC neu starten
6. Bei Windows ME und Windows XP die Systemwiederherstellung wieder aktivieren

Die Punkte 4 und 6 gelten nur bei den Betriebssystemen Windows ME und Windows XP. Bei allen anderen Windowsbetriebssystemen kann nach der Löschung des Registry-Schlüssels gleich der PC neugestartet werden.

Bei älteren Betriebssystemen, oder falls diese schnelle Version zu keinem Erfolg führt, hilft das kostenlose Tool HijackThis. Dieses Tool - ebenfalls entwickelt von 'Merijn' - ist auch auf der Seite www.spywareinfo.com zu bekommen. Mit HijackThis bekommt man auf einen Blick all das angezeigt, was auf dem Rechner automatisch gestartet wird (bzw. wurde) und mit ein bisschen Erfahrung sieht man schnell, was zum System gehört und was nicht.
Ein englischsprachiges HijackThis Log Tutorial auf der Seite http://www.merijn.org/htlogtutorial.html hilft bei der Identifizierung und Zuordnung der einzelnen Einträge weiter.

...

bis jetzt hat er sih nicht merh gezeigt, vielleicht hab ich ja Glück und ihn komplett entfernt ;-)

falls nicht melde ich mich nochmal...