Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.12.2003, 10:39   #1
Lutz
 

Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Ausrufezeichen

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



Moin,

viele User haben sich pünktlich zum Weihnachtsfest mit einem 'frischen' Trojaner beschenken lassen.
Fehlermeldungen wie diese häufen sich in den diversen Foren:
</font><blockquote>Zitat:</font><hr />...Auf einmal hat "ntsearch" auf alle möglichen Wörter einen Hyperlink gesetzt und nun gehen einige Homepages nicht mehr richtig! Z. B. wird eine Seite geladen, und sobald diese geladen ist, ist die Seite nur noch grau...</font>[/QUOTE]Wenn ihr auch von diesem Problem betroffen seit, schlage ich folgende Vorgehensweise vor:

1. Ruhe bewahren!

2. Download des Tools cwsshredder
Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.spywareinfo.com/~merijn/files/cwshredder.zip nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit!
Edit:
Alternative Downloadseiten:
http://filepony.de/download-cwshredder/ oder
http://www.wintotaldb.de/yad/softw.php?id=1935
/Edit:

3. cwsshredder ausführen Achtung: Alle Browserfenster müssen geschlossen sein!

4. Download des Tools HijackThis
Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.merijn.org/files/HijackThis.exe nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit!
Edit:
Alternative Downloadseiten:
http://www.chip.de/downloads/c_downloads_11353576.html oder
http://www.wintotaldb.de/yad/softw.php?id=2022
/Edit:

5. HijackThis starten und auf "Scan" klicken.

6. Wenn ihr den Eintrag
</font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe </font>[/QUOTE]findet, diesen 'fixen'. Achtung: Vor dem 'fixen' müssen alle Browserfenster geschlossen sein! Ist der Eintrag nicht vorhanden, weiter mit Nr. 9

7. Edit -gestrichen- (DerBilk) /Edit

8. C:\WINDOWS\sp.exe löschen

Edit
Nachtrag:
Da der wichtige Hinweis von mmk scheinbar leicht untergeht, setze ich ihn hier noch einmal hin.
Nach erfolgreicher Entfernung sollte bei Win ME und XP die Systemwiederherstellung temporär deaktiviert, der PC dann neugestartet und die Systemwiederherstellung reaktiviert werden. Die sp.exe wird sonst nach einem weiteren Neustart wieder aktiv.
/Edit

9. Windows und insbesondere den Internet-Explorer updaten.

10. SpybotSD und Adaware herunterladen, installieren, updaten, ausfuehren, reinigen lassen.

11. System neu starten

12. HijackThis erneut starten und auf "Scan" klicken. Anschließend steht auf dem gleichen Button "Save Log". Ausführen und die Logdatei bitte j e d e r (!!) in einem neuen, eigenen Thread posten. Wenn ihr alles in einen Thread posted. verlieren wir völlig die Übersicht...

13. Ruhe bewahren!!

14. Beachten, dass wir alle nur freiwillig und zeitweise im Board sind. Auch wenn eine Antwort mal länger dauert, wir vergessen Euch nicht!!

15. In anderen Threads suchen, ob ihr Lösungsvorschläge zu Euren Log-Dateien findet!

16. In der Zwischenzeit ernsthaft über einen Browserwechsel nachdenken!!

In diesem Sinne,
tschööö, DerBilk

p.s. @Raman, wenn Du hier reinschaust, hab ich was wichtiges vergessen???

Edit:
Schreibfehler korrigiert, siehe auch Posting von raman.
Edit2: Link zu HijackThis auf Original-Fundstelle korrigiert
Edit3: Hinweis zur Systemwiederherstellung eingefügt
Edit4: Alternative Downloadseiten für HijackThis und CWShredder hinzugefügt
Edit5: Thread Titel geändert

[ 05. M&auml;rz 2004, 18:52: Beitrag editiert von: DerBilk ]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 28.12.2003, 11:22   #2
raman
 
Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



Nein, einsame Spitze! Darf ich den Text "klauen"?

Moment, eine Kleinigkeit. es ist ntsearch.com nicht netsearch.com
__________________

__________________

Alt 28.12.2003, 11:57   #3
Basti@DT125R
 
Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



ich versuche das jetzt auch gleich mal, bin nämlich schon total am verzweifeln, bei mir besteht jedes Forum, jede Homepage zu 85% aus NTSEARCH-Hyperlinks, ich habe jetzt über 13min gebraucht, um diesen Beitrag erfolgreich zu schreiben! [img]graemlins/kloppen.gif[/img]
__________________

Alt 28.12.2003, 12:17   #4
Lutz
 

Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



Zum Ausgangsbeitrag bekam ich von mmk folgenden Hinweis:

</font><blockquote>Zitat:</font><hr />Zu den Punkten sechs bis acht:

Ich würde vorschlagen, _erst_ den laufenden Prozess der Datei sp.exe über den Taskmanager zu beenden, sie zu löschen, und _dann_ den Registry-Eintrag zu entfernen. Ich weiß nicht, wie es sich bei diesem - übrigens von Eset als Trojaner eingestuften "Nonyr.A" - im Detail verhält, aber es besteht die Gefahr, dass ein noch alktiver Trojaner einen gelöschten Registry-Eintrag schnell wiederherstellt.

Zudem: nach erfolgreicher Entfernung sollte bei Win ME und XP die Systemwiederherstellung temporär deaktiviert, der PC dann neugestartet und die Systemwiederherstellung reaktiviert werden. Sie wird nach einem weiteren Neustart wieder aktiv.
</font>[/QUOTE]Danke für den Input [img]graemlins/daumenhoch.gif[/img]
DerBilk
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 28.12.2003, 12:22   #5
Lutz
 

Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
...Darf ich den Text "klauen"?...</font>[/QUOTE]Moin raman,

ist Dir denn gar nicht aufgefallen, dass ich vieles aus Deinen Postings in den diversen Security-Boards 'zusammengeklaut' habe?
Klar kannst Du den Text benutzen!

tschööö, DerBilk

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 28.12.2003, 12:41   #6
Basti@DT125R
 
Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



ich mache jetzt einen Thread auf mit meiner Logfile, wäre nett wenn mir einer von euchg helfen könnte!

Vielen Dank!

Alt 28.12.2003, 12:47   #7
Andreas Ebert
 

Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



@Bilk:

Sehr schön. [img]smile.gif[/img]

Wenn du das noch mit ein paar weiteren Links zum Board bzw. zu unserer Seite ausstattest und ggfls. noch etwas erweiterst (evtl. kurze Erklärung, was die beiden Programme machen) und den Text für unsere Webseite aufarbeitest, dann könntest du dir zwischen 20-25 Euro damit verdienen.

Andreas
__________________
"Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen."

Alt 28.12.2003, 13:05   #8
Cobra
 
Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



Vielleicht sollte man noch zum HiJackThis verlinken?

Cobra

Alt 28.12.2003, 15:46   #9
Lutz
 

Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



@Andreas,

ich fürchte, bei meiner 'journalistischen Begabung' wäre der Bericht fertig, wenns schon längst nicht mehr aktuell ist.
Aber ich versuche es. Muss aber gleich dazu sagen, dass es heute garantiert nichts mehr wird!

Ach ja, es wäre schön, wenn mir einer der Betroffenen einen Screenshot zur Verfügung stellen könnte, wie sich das im Browser auswirkt. Bitte via PM melden. Danke!

tschööö, DerBilk
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 28.12.2003, 18:25   #10
flexibel44
 
Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



Jetzt muß ich mal eine Frage stellen. Vielleicht ist die sehr dämlich, aber watt solls. Kann ich mir den oben genannten Trojaner eigentlich auch einfangen, wenn ich ein upgedatetes Windows und eine upgedatete Virensoftware habe? Oder sind die meisten Probleme hier im Bord mit Ungeziefer selbstverschuldet durch Unachtsamkeit und Ignoranz?

Alt 28.12.2003, 18:43   #11
mmk
 
Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Ausrufezeichen

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



Edit: Um Verunsicherungen bei neuen Usern zu vermeiden, korrigiere ich dieses Posting, innerhalb dessen ich anfangs über den Installationsweg "Active X" als Ursache sprach.

</font><blockquote>Zitat:</font><hr />Original erstellt von flexibel44:
Kann ich mir den oben genannten Trojaner eigentlich auch einfangen, wenn ich ein upgedatetes Windows und eine upgedatete Virensoftware habe?</font>[/QUOTE]Korrigiert: Nein.

</font><blockquote>Zitat:</font><hr />Oder sind die meisten Probleme hier im Bord mit Ungeziefer selbstverschuldet durch Unachtsamkeit und Ignoranz?</font>[/QUOTE]In diesem Fall hängt es schlichtweg mit der Nutzung des Internet Exploreres als Browser zusammen, (Korrigiert: und einer ungepatchten Java VM von Microsoft).

Aber den IE mit diesem Gefahrenpotential (u.a. auch Active X im Allgemeinen) zu nutzen, könnte man durchaus bereits als "Unachtsamkeit" bezeichnen, ja.

Ich sage nur: Firebird, Mozilla Suite, Opera oder K-Meleon. Auf den IE sollte aufgrund seiner tiefen Integration in das Betriebssystem dringend verzichtet werden. Allgemein gilt aber weiterhin bei jeder Software: zusätzlich auf dem aktuellsten Stand halten.

[ 30. Dezember 2003, 11:46: Beitrag editiert von: mmk ]
__________________
Grüße, Markus

Alt 28.12.2003, 20:40   #12
raman
 
Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



</font><blockquote>Zitat:</font><hr />Original erstellt von flexibel44:
Kann ich mir den oben genannten Trojaner eigentlich auch einfangen, wenn ich ein upgedatetes Windows und eine upgedatete Virensoftware habe?</font>[/QUOTE]In diesem Fall denke(!) ich das du mit einem aktuell gehaltenen Windows/IE nicht mit diesem Trojaner auf normalem Weg infiziert werden kannst. Da er auf eine Seite verlinkt die etwas mit Coolwebsearch zu tun hat, denke ich, das es den Verbreitungsweg nimmt wie alle CWS Varianten, naemlich ueber einen Bug in MS virtal machine.
__________________
MfG Ralf

Alt 28.12.2003, 20:50   #13
Andreas Ebert
 

Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Beitrag

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



Orakel:

Wenns nicht der o.g. Trojaner ist, dann ist es ein anderer. Und wenns nicht der Bug in der MS virtal machine ist, dann ist es ein anderer.

Und wenns kein Bug und kein neuer Trojaner ist, dann ist es die Dummheit (oder soll ich lieber Blauäugigkeit sagen?) der User.

Andreas
__________________
"Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen."

Alt 29.12.2003, 01:40   #14
mmk
 
Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Lächeln

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
Da er auf eine Seite verlinkt die etwas mit Coolwebsearch zu tun hat, denke ich, das es den Verbreitungsweg nimmt wie alle CWS Varianten, naemlich ueber einen Bug in MS virtal machine.</font>[/QUOTE]Edit: Ach so, du meinst u.a. wegen der Verlinkung zum cws-shredder?

Eine Verbindung zu cws und dessen Verbreitungsweg hatte ich nun noch nicht gesehen. Nicht alles muss sich zwangsläufig über die gleichen Sicherheitslücken verbreiten. Aber OK, wenn anderweitig diese Verbindung zu cws schon hergestellt wurde, dann ist es wahrscheindlich, dass auch hier die VM-Lücke genutzt wird.

*Wenn* er sich also wie andere cws-Varianten über die Sicherheitslücke in der Java VM verbreitet, dann *hätte* in diesem Fall Patchen sicher geholfen. Doch wie Andreas bereits sagte: beim nächsten Trojaner kann es bereits wieder anders sein. Daher bleibt es prinzipiell bei meinem Tipp, auf den IE zu verzichten. Grundsätzlich.

Edit 2:
Browserwechsel
- http://firebird-browser.de
- http://mozilla.kairo.at
- http://opera7.de

Java von Sun:
http://www.java.com/de/index.jsp

[ 30. Dezember 2003, 02:14: Beitrag editiert von: mmk ]
__________________
Grüße, Markus

Alt 06.01.2004, 02:18   #15
faraji
 
Probleme mit "BrowserHijackern"   nicht nur "www.ntsearch.com" - Daumen hoch

Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"



hier findet man ein programm das den trojaner löscht.

wäre nett wenn ihr das den leuten als schnelle hilfe anbieten würdet [img]graemlins/daumenhoch.gif[/img]

Link zum NTSearch.com Deinstaller

Antwort

Themen zu Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"
.html, button, diverse, download, downloadlinks, ellung, folge, foren, gen, hijack, internet-explorer, klicke, log, logdatei, neue, neustart, nicht, nicht mehr, nicht vorhanden, problem, scan, seite, starten, startet, suche, system neu, systemwiederherstellung, temporär, trojaner, update, verlieren, win me, windows, wörter



Ähnliche Themen: Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "Prozedureinsprungpunkt"_iob_func" wurde in der DLL "MSVCR70.dll" nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 11.03.2014 (4)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  5. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  6. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  7. AVIRA meldet "W32/Patched.ZA", "TR/ATRAPS.Gen2", "TR/ATRAPS.Gen", "ZR/sirefe.P.487"
    Log-Analyse und Auswertung - 30.07.2012 (9)
  8. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  9. Fehlermeldung "Festplatte defekt", "Probleme mit IDE / SATA- Festplatten", Dateien weg
    Log-Analyse und Auswertung - 28.05.2011 (1)
  10. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  11. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  12. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  13. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  14. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  15. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  16. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com" - Moin, viele User haben sich pünktlich zum Weihnachtsfest mit einem 'frischen' Trojaner beschenken lassen. Fehlermeldungen wie diese häufen sich in den diversen Foren: </font><blockquote>Zitat:</font><hr />...Auf einmal hat "ntsearch" auf alle - Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com"...
Archiv
Du betrachtest: Probleme mit "BrowserHijackern" nicht nur "www.ntsearch.com" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.