Hallo, ich bin neu und habe das bekannte ntsearch Problem! da mir einige schon versucht haben zu helfen, habe ich jetzt tausende Suchprogramme auf dem Rechner, die das Biest alle nicht finden!
Ich kann ihn in der Registry löschen, aber nicht unter C:/windows, da sagt er das die Datei schreibgeschützt ist, oder verwendet wird.
Die Seite öffnet sich auch bei mir nicht mehr, allerdings kann ich nach wie vor einige andere Seiten nicht mehr laden! Unten steht dann "fertig", aber der Bildschirm bleibt weiß!
Wie bekomme ich das Problem jetzt endlich vom Tisch bzw. Rechner! Ich werde noch wahnsinnig!!
HILFE!
Vielen Dank schon einmal!

Bitte mehr Informationen zu dein Problem.

Mach mal einen Virensacann mit einen AV Programm, und poste hier dein Ergebnis davon...

Weiter würde ich emfehlen dein System nach Spyware zu untersuchen mit Adaware der Link ist www.lavasoft.com, und mit spybot seek & destroy der Link ist http://www.safer-networking.org/

Für den normalen gebrauch kann man die kostenlos nutzen, Instalieren, Updaten, Prüfen, und Ergebnis hier Posten....

Also Poste noch mal die Ergebnisse, und beschreibe noch mal genau dein Problem.

THN

Moin nata und Willkommen im Board!

</font><blockquote>Zitat:</font><hr />Original erstellt von nata1101:
...da mir einige schon versucht haben zu helfen, habe ich jetzt tausende Suchprogramme auf dem Rechner, die das Biest alle nicht finden!</font>[/QUOTE]Leider hast Du nicht geschrieben, welche Programme Du schon auf Deinem Rechner angesammelt hast, um das Problem zu lösen.
Gehören die in diesem Artikel beschriebenen Tools auch dazu?

Wenn ja, und diese Dir auch nicht weiterhelfen konnten, habe ich vorhin in einem anderem Board noch ein Tool gesehen, welches ich allerdings selbst noch nicht getestet habe.
Vielleicht hilft Dir das weiter?!?

tschööö, DerBilk

Hallo, endlich Antwort! Hatte gerade eine lange Antwort geschrieben inkl. Logfile, aber er sagt mir irgendwas in html ist nicht erlaubt!!

Was muss ich nach dem Scan (hijackthis)tun?
Im File finde ich die Datei, aber im Programm nicht. Warum kann ich ihn nicht posten?
Wie komm ich an son Mist, bekomme auch ständig Viren per Mail, warum ich???

Du hast, wenn ich Dich richtig verstanden habe, Deinen Rechner mit HijackThis gescannt?

Dann hast Du anschließend eine 'LogDatei' im Programm-Fenster. Auf dem Button, auf dem vorher Scan stand, steht jetzt SaveLog. Hierauf musst Du klicken. Dann brauchst Du nur noch einen Dateinamen angeben, den Du Dir merken kannst, z. B. log.txt. Und den Speicherort solltest Du Dir natürlich auch merken. Wenn Du auf speicher geklickt hast, sollte normalerweise automatisch der Editor (ein simples Schreibprogramm) geöffnet werden. Dort markierst Du den ganzen Inhalt (Nachtrag: kopierst diesen markierten Inhalt mit [STRG] und [C]) und kannst ihn in Deine Antwort hier im Board mit den Tasten [STRG] + [V] einfügen...

Das ist nicht das Problem. Das habe ich ja gemacht, nur wenn ich dann auf Vorschau gehe, sagt das Forum, dass es ein Problem gibt, ich erhalte folgende Fehlermeldung:

Information
Das folgende HTML-Tag ist nicht erlaubt: Parenthesis in HTML tag

Nochmal ich, auch wenn es so aussieht, ich will hoffen ich bin nicht der dümmste im Raum!
Habe einen Neustart gemacht, habe einen neuen Scan gemacht, und siehe da sp.exe ist weg! Und meine Internetseiten laden auch wieder.
Aus irgendeinem HTML Grund kann ich das Logfile hier nicht posten. Ich würde aber trotzdem gerne mal jemanden darüber schauen lassen, was ich noch für einen Müll hier drauf hab. Kann ich dir das irgendwie mailen??? Wie kann ich das für die Zukunft verhindern?

hier findest du ein programm das den trojaner löscht.

Link zum NTSearch.com Deinstaller

</font><blockquote>Zitat:</font><hr />Original erstellt von nata1101:
...
Aus irgendeinem HTML Grund kann ich das Logfile hier nicht posten.
...</font>[/QUOTE]irgendetwas innerhalb deines logs interpretiert das board als html. html ist aus sicherheitsgründen hier deaktiviert.

</font><blockquote>Zitat:</font><hr />...
Ich würde aber trotzdem gerne mal jemanden darüber schauen lassen, was ich noch für einen Müll hier drauf hab.
[...]
Wie kann ich das für die Zukunft verhindern?
...</font>[/QUOTE]du kannst es ohne probleme posten, und zwar in einer art, wie logs IMO gepostet werden sollten (erklärungen warum stehen weiter unten), leider bis jetzt keiner hat:

verwende den bb-tag code:
</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">&lt;html&gt;
&lt;body&gt;
hier kann html- und anderer logtext bzw. code leserlich stehen.
&lt;/body&gt;
&lt;/html&gt;</pre>[/QUOTE]einfach auf den code-knopf drücken, und zwischen den beiden code-bb-tags den log reinkopieren (alternativ: den code-beginn-tag oben am anfang der ersten, den code-ende-tag unten am ende der letzten zeile manuell einfügen).

wie du erkennen kannst: alles, was innerhalb der code-tags steht, wird nicht vom board geparst (abgearbeitet), sondern rein als text wiedergegeben. und ausserdem ist wunderschön erkennbar, wo der log anfängt, und wo er aufhört (und die etwas kleinere schrift bietet auch etwas längeren links platz, ohne das layout zu killen *g*)...

[img]graemlins/teufel3.gif[/img]

[ 06. Januar 2004, 06:01: Beitrag editiert von: n_dot_force ]

Moin nata,

</font><blockquote>Zitat:</font><hr />ich will hoffen ich bin nicht der dümmste im Raum!</font>[/QUOTE]Mit meiner 'Signatur' habe ich in keiner Weise Dich gemeint. Ich hoffe, Du fühltest Dich nicht angesprochen!!

Da hatten wir wohl gestern ein kleines Missverständnis. Ich habe in den letzten Tagen zig HijackThis-Logs gesehen, aber bisher hatte noch niemand das Problem, dass das Board den Inhalt nicht anzeigen wollte. Bitte befolge
die Hinweise von n_dot_force von heute morgen, um den Log-Inhalt als 'Code' anzuzeigen.

Das sollte nun aber wirklich funktionieren...

tschööö, DerBilk

Sorry, es klappt auch damit nicht, ständig die gleiche Fehlermeldung!! Ich werde noch irre!

Hi Nata,

dann schick mir mal den Log als Email. Meine Mailadresse bekommst Du gleich per PM (Private Message)

DerBilk

Hab ich dir gemailt. Vielen Dank!

Ich poste hier mal die Log-Datei von nata, damit andere auch sehen, worüber wir sprechen:

</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">
Logfile of HijackThis v1.97.7
Scan saved at 22:09:26, on 05.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\WINDOWS\6238.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\wuauclt.exe
c:\programme\comundo\WsRasMon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Nata1101\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schalke04.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.comundo.lycos.de/?version=v401
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Comundo - Click to Quality
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.1\SDHelper.dll
O3 - Toolbar: &amp;Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] &quot;C:\Programme\Messenger\msmsgs.exe&quot; /background
O4 - HKCU\..\Run: [YAW Autostart] &quot;C:\Programme\YAW\yaw.exe&quot;
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &amp;Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.comundo.lycos.de/?version=v401
O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} (SecureWeb Class) - http://secure.goodthinxx.com/(mdp0hm452ftn15zjln1kjs55)/secureweb/securewebgt.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...988.4037268519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E247FC53-C3C7-4434-9022-2FEA667BED7D}: NameServer = 62.53.158.99 193.189.244.205</pre>[/QUOTE]Ich bin im Moment am 'schaffen' also am arbeiten und kann mich z. Zt. nicht eingehend damit beschäftigen. Spätestens heute Abend melde ich mich wieder. Vielleicht kann ja auch einer der anderen schon mal drüber schauen?!?

tschööö, DerBilk

C:\WINDOWS\6238.exe

Könnte ein Dialer sein. Direkte Hinweise auf ntsearch finde ich jedoch nicht, wenngleich der ein oder anderen Eintrag noch auf eine Adware hindeuten könnte.

[ 06. Januar 2004, 12:48: Beitrag editiert von: mmk ]