Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"

Lutz

Moin,

viele User haben sich pünktlich zum Weihnachtsfest mit einem 'frischen' Trojaner beschenken lassen.
Fehlermeldungen wie diese häufen sich in den diversen Foren:
</font><blockquote>Zitat:</font><hr />...Auf einmal hat "ntsearch" auf alle möglichen Wörter einen Hyperlink gesetzt und nun gehen einige Homepages nicht mehr richtig! Z. B. wird eine Seite geladen, und sobald diese geladen ist, ist die Seite nur noch grau...</font>[/QUOTE]Wenn ihr auch von diesem Problem betroffen seit, schlage ich folgende Vorgehensweise vor:

1. Ruhe bewahren!

2. Download des Tools cwsshredder
Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.spywareinfo.com/~merijn/files/cwshredder.zip nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit!
Edit:
Alternative Downloadseiten:
http://filepony.de/download-cwshredder/ oder
http://www.wintotaldb.de/yad/softw.php?id=1935
/Edit:

3. cwsshredder ausführen Achtung: Alle Browserfenster müssen geschlossen sein!

4. Download des Tools HijackThis
Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.merijn.org/files/HijackThis.exe nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit!
Edit:
Alternative Downloadseiten:
http://www.chip.de/downloads/c_downloads_11353576.html oder
http://www.wintotaldb.de/yad/softw.php?id=2022
/Edit:

5. HijackThis starten und auf "Scan" klicken.

6. Wenn ihr den Eintrag
</font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe </font>[/QUOTE]findet, diesen 'fixen'. Achtung: Vor dem 'fixen' müssen alle Browserfenster geschlossen sein! Ist der Eintrag nicht vorhanden, weiter mit Nr. 9

7. Edit -gestrichen- (DerBilk) /Edit

8. C:\WINDOWS\sp.exe löschen

Edit
Nachtrag:
Da der wichtige Hinweis von mmk scheinbar leicht untergeht, setze ich ihn hier noch einmal hin.
Nach erfolgreicher Entfernung sollte bei Win ME und XP die Systemwiederherstellung temporär deaktiviert, der PC dann neugestartet und die Systemwiederherstellung reaktiviert werden. Die sp.exe wird sonst nach einem weiteren Neustart wieder aktiv.
/Edit

9. Windows und insbesondere den Internet-Explorer updaten.

10. SpybotSD und Adaware herunterladen, installieren, updaten, ausfuehren, reinigen lassen.

11. System neu starten

12. HijackThis erneut starten und auf "Scan" klicken. Anschließend steht auf dem gleichen Button "Save Log". Ausführen und die Logdatei bitte j e d e r (!!) in einem neuen, eigenen Thread posten. Wenn ihr alles in einen Thread posted. verlieren wir völlig die Übersicht...

13. Ruhe bewahren!!

14. Beachten, dass wir alle nur freiwillig und zeitweise im Board sind. Auch wenn eine Antwort mal länger dauert, wir vergessen Euch nicht!!

15. In anderen Threads suchen, ob ihr Lösungsvorschläge zu Euren Log-Dateien findet!

16. In der Zwischenzeit ernsthaft über einen Browserwechsel nachdenken!!

In diesem Sinne,
tschööö, DerBilk

p.s. @Raman, wenn Du hier reinschaust, hab ich was wichtiges vergessen???

Edit:
Schreibfehler korrigiert, siehe auch Posting von raman.
Edit2: Link zu HijackThis auf Original-Fundstelle korrigiert
Edit3: Hinweis zur Systemwiederherstellung eingefügt
Edit4: Alternative Downloadseiten für HijackThis und CWShredder hinzugefügt
Edit5: Thread Titel geändert

[ 05. M&auml;rz 2004, 18:52: Beitrag editiert von: DerBilk ]

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)