Moin,

viele User haben sich pünktlich zum Weihnachtsfest mit einem 'frischen' Trojaner beschenken lassen.
Fehlermeldungen wie diese häufen sich in den diversen Foren:
</font><blockquote>Zitat:</font><hr />...Auf einmal hat "ntsearch" auf alle möglichen Wörter einen Hyperlink gesetzt und nun gehen einige Homepages nicht mehr richtig! Z. B. wird eine Seite geladen, und sobald diese geladen ist, ist die Seite nur noch grau...</font>[/QUOTE]Wenn ihr auch von diesem Problem betroffen seit, schlage ich folgende Vorgehensweise vor:

1. Ruhe bewahren!

2. Download des Tools cwsshredder
Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.spywareinfo.com/~merijn/files/cwshredder.zip nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit!
Edit:
Alternative Downloadseiten:
http://filepony.de/download-cwshredder/ oder
http://www.wintotaldb.de/yad/softw.php?id=1935
/Edit:

3. cwsshredder ausführen Achtung: Alle Browserfenster müssen geschlossen sein!

4. Download des Tools HijackThis
Sollte der Link aufgrund der 'ntsearch-Problematik' nicht funktionieren, könnt ihr auch diesen direkten Dowanloadlink http://www.merijn.org/files/HijackThis.exe nutzen. Achtung: Bei diesem Link startet sofort der Download. Normalerweise werden hier keine direkten Downloadlinks geposted, aber aufgrund der Problematik sehe ich keine andere Möglichkeit!
Edit:
Alternative Downloadseiten:
http://www.chip.de/downloads/c_downloads_11353576.html oder
http://www.wintotaldb.de/yad/softw.php?id=2022
/Edit:

5. HijackThis starten und auf "Scan" klicken.

6. Wenn ihr den Eintrag
</font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe </font>[/QUOTE]findet, diesen 'fixen'. Achtung: Vor dem 'fixen' müssen alle Browserfenster geschlossen sein! Ist der Eintrag nicht vorhanden, weiter mit Nr. 9

7. Edit -gestrichen- (DerBilk) /Edit

8. C:\WINDOWS\sp.exe löschen

Edit
Nachtrag:
Da der wichtige Hinweis von mmk scheinbar leicht untergeht, setze ich ihn hier noch einmal hin.
Nach erfolgreicher Entfernung sollte bei Win ME und XP die Systemwiederherstellung temporär deaktiviert, der PC dann neugestartet und die Systemwiederherstellung reaktiviert werden. Die sp.exe wird sonst nach einem weiteren Neustart wieder aktiv.
/Edit

9. Windows und insbesondere den Internet-Explorer updaten.

10. SpybotSD und Adaware herunterladen, installieren, updaten, ausfuehren, reinigen lassen.

11. System neu starten

12. HijackThis erneut starten und auf "Scan" klicken. Anschließend steht auf dem gleichen Button "Save Log". Ausführen und die Logdatei bitte j e d e r (!!) in einem neuen, eigenen Thread posten. Wenn ihr alles in einen Thread posted. verlieren wir völlig die Übersicht...

13. Ruhe bewahren!!

14. Beachten, dass wir alle nur freiwillig und zeitweise im Board sind. Auch wenn eine Antwort mal länger dauert, wir vergessen Euch nicht!!

15. In anderen Threads suchen, ob ihr Lösungsvorschläge zu Euren Log-Dateien findet!

16. In der Zwischenzeit ernsthaft über einen Browserwechsel nachdenken!!

In diesem Sinne,
tschööö, DerBilk

p.s. @Raman, wenn Du hier reinschaust, hab ich was wichtiges vergessen???

Edit:
Schreibfehler korrigiert, siehe auch Posting von raman.
Edit2: Link zu HijackThis auf Original-Fundstelle korrigiert
Edit3: Hinweis zur Systemwiederherstellung eingefügt
Edit4: Alternative Downloadseiten für HijackThis und CWShredder hinzugefügt
Edit5: Thread Titel geändert

[ 05. M&auml;rz 2004, 18:52: Beitrag editiert von: DerBilk ]

Nein, einsame Spitze! Darf ich den Text "klauen"?

Moment, eine Kleinigkeit. es ist ntsearch.com nicht netsearch.com

ich versuche das jetzt auch gleich mal, bin nämlich schon total am verzweifeln, bei mir besteht jedes Forum, jede Homepage zu 85% aus NTSEARCH-Hyperlinks, ich habe jetzt über 13min gebraucht, um diesen Beitrag erfolgreich zu schreiben! [img]graemlins/kloppen.gif[/img]

Zum Ausgangsbeitrag bekam ich von mmk folgenden Hinweis:

</font><blockquote>Zitat:</font><hr />Zu den Punkten sechs bis acht:

Ich würde vorschlagen, _erst_ den laufenden Prozess der Datei sp.exe über den Taskmanager zu beenden, sie zu löschen, und _dann_ den Registry-Eintrag zu entfernen. Ich weiß nicht, wie es sich bei diesem - übrigens von Eset als Trojaner eingestuften "Nonyr.A" - im Detail verhält, aber es besteht die Gefahr, dass ein noch alktiver Trojaner einen gelöschten Registry-Eintrag schnell wiederherstellt.

Zudem: nach erfolgreicher Entfernung sollte bei Win ME und XP die Systemwiederherstellung temporär deaktiviert, der PC dann neugestartet und die Systemwiederherstellung reaktiviert werden. Sie wird nach einem weiteren Neustart wieder aktiv.
</font>[/QUOTE]Danke für den Input [img]graemlins/daumenhoch.gif[/img]
DerBilk

</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
...Darf ich den Text "klauen"?...</font>[/QUOTE]Moin raman,

ist Dir denn gar nicht aufgefallen, dass ich vieles aus Deinen Postings in den diversen Security-Boards 'zusammengeklaut' habe?
Klar kannst Du den Text benutzen!

tschööö, DerBilk

ich mache jetzt einen Thread auf mit meiner Logfile, wäre nett wenn mir einer von euchg helfen könnte!

Vielen Dank!

@Bilk:

Sehr schön. [img]smile.gif[/img]

Wenn du das noch mit ein paar weiteren Links zum Board bzw. zu unserer Seite ausstattest und ggfls. noch etwas erweiterst (evtl. kurze Erklärung, was die beiden Programme machen) und den Text für unsere Webseite aufarbeitest, dann könntest du dir zwischen 20-25 Euro damit verdienen.

Andreas

Vielleicht sollte man noch zum HiJackThis verlinken?

Cobra

@Andreas,

ich fürchte, bei meiner 'journalistischen Begabung' wäre der Bericht fertig, wenns schon längst nicht mehr aktuell ist.
Aber ich versuche es. Muss aber gleich dazu sagen, dass es heute garantiert nichts mehr wird!

Ach ja, es wäre schön, wenn mir einer der Betroffenen einen Screenshot zur Verfügung stellen könnte, wie sich das im Browser auswirkt. Bitte via PM melden. Danke!

tschööö, DerBilk

Jetzt muß ich mal eine Frage stellen. Vielleicht ist die sehr dämlich, aber watt solls. Kann ich mir den oben genannten Trojaner eigentlich auch einfangen, wenn ich ein upgedatetes Windows und eine upgedatete Virensoftware habe? Oder sind die meisten Probleme hier im Bord mit Ungeziefer selbstverschuldet durch Unachtsamkeit und Ignoranz?

Edit: Um Verunsicherungen bei neuen Usern zu vermeiden, korrigiere ich dieses Posting, innerhalb dessen ich anfangs über den Installationsweg "Active X" als Ursache sprach.

</font><blockquote>Zitat:</font><hr />Original erstellt von flexibel44:
Kann ich mir den oben genannten Trojaner eigentlich auch einfangen, wenn ich ein upgedatetes Windows und eine upgedatete Virensoftware habe?</font>[/QUOTE]Korrigiert: Nein.

</font><blockquote>Zitat:</font><hr />Oder sind die meisten Probleme hier im Bord mit Ungeziefer selbstverschuldet durch Unachtsamkeit und Ignoranz?</font>[/QUOTE]In diesem Fall hängt es schlichtweg mit der Nutzung des Internet Exploreres als Browser zusammen, (Korrigiert: und einer ungepatchten Java VM von Microsoft).

Aber den IE mit diesem Gefahrenpotential (u.a. auch Active X im Allgemeinen) zu nutzen, könnte man durchaus bereits als "Unachtsamkeit" bezeichnen, ja.

Ich sage nur: Firebird, Mozilla Suite, Opera oder K-Meleon. Auf den IE sollte aufgrund seiner tiefen Integration in das Betriebssystem dringend verzichtet werden. Allgemein gilt aber weiterhin bei jeder Software: zusätzlich auf dem aktuellsten Stand halten.

[ 30. Dezember 2003, 11:46: Beitrag editiert von: mmk ]

</font><blockquote>Zitat:</font><hr />Original erstellt von flexibel44:
Kann ich mir den oben genannten Trojaner eigentlich auch einfangen, wenn ich ein upgedatetes Windows und eine upgedatete Virensoftware habe?</font>[/QUOTE]In diesem Fall denke(!) ich das du mit einem aktuell gehaltenen Windows/IE nicht mit diesem Trojaner auf normalem Weg infiziert werden kannst. Da er auf eine Seite verlinkt die etwas mit Coolwebsearch zu tun hat, denke ich, das es den Verbreitungsweg nimmt wie alle CWS Varianten, naemlich ueber einen Bug in MS virtal machine.

Orakel:

Wenns nicht der o.g. Trojaner ist, dann ist es ein anderer. Und wenns nicht der Bug in der MS virtal machine ist, dann ist es ein anderer.

Und wenns kein Bug und kein neuer Trojaner ist, dann ist es die Dummheit (oder soll ich lieber Blauäugigkeit sagen?) der User.

Andreas

</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
Da er auf eine Seite verlinkt die etwas mit Coolwebsearch zu tun hat, denke ich, das es den Verbreitungsweg nimmt wie alle CWS Varianten, naemlich ueber einen Bug in MS virtal machine.</font>[/QUOTE]Edit: Ach so, du meinst u.a. wegen der Verlinkung zum cws-shredder?

Eine Verbindung zu cws und dessen Verbreitungsweg hatte ich nun noch nicht gesehen. Nicht alles muss sich zwangsläufig über die gleichen Sicherheitslücken verbreiten. Aber OK, wenn anderweitig diese Verbindung zu cws schon hergestellt wurde, dann ist es wahrscheindlich, dass auch hier die VM-Lücke genutzt wird.

*Wenn* er sich also wie andere cws-Varianten über die Sicherheitslücke in der Java VM verbreitet, dann *hätte* in diesem Fall Patchen sicher geholfen. Doch wie Andreas bereits sagte: beim nächsten Trojaner kann es bereits wieder anders sein. Daher bleibt es prinzipiell bei meinem Tipp, auf den IE zu verzichten. Grundsätzlich.

Edit 2:
Browserwechsel
- http://firebird-browser.de
- http://mozilla.kairo.at
- http://opera7.de

Java von Sun:
http://www.java.com/de/index.jsp

[ 30. Dezember 2003, 02:14: Beitrag editiert von: mmk ]

hier findet man ein programm das den trojaner löscht.

wäre nett wenn ihr das den leuten als schnelle hilfe anbieten würdet [img]graemlins/daumenhoch.gif[/img]

Link zum NTSearch.com Deinstaller