Ok Leute, ich kann Euch helfen:
Viele Anwender melden sich seit den Weihnachtsfeiertagen in diversen Security-Foren mit Meldungen wie dieser:
Auf einmal hat "ntsearch" auf alle möglichen Wörter einen Hyperlink gesetzt und nun gehen einige Homepages nicht mehr richtig! Z. B. wird eine Seite geladen, und sobald diese geladen ist, ist die Seite nur noch grau...
Einmal gestartet, versucht der durch den Trojaner eingeschleppte Prozess sp.exe den Internet-Surfer auf die Seite
www.ntsearch.com zu entführen (hinter dieser Adresse verbirgt sich ebenfalls die Suchmaschine Cool Web Search). Diese neueste Variante des Browser-Hijacking wird zum Zeitpunkt dieses Berichts vom CWShredder noch nicht erkannt, da der Programmierer lt. eigener Homepage zur Zeit erkrankt ist!
Bei auf NT basierenden Betriebssystemen (WinNT 4.0, Windows2000, WinXP) funktioniert die Entfernung des Trojaners vielfach durch die folgenden Schritte:
1. Im Taskmanager den Prozess sp.exe beenden
2. Die Datei sp.exe im Ordner C:\WINNTlöschen
3. In der Registry unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run den Eintrag 'C:\WINDOWS\sp.exe' löschen
4. Bei Windows ME und Windows XP die Systemwiederherstellung deaktivieren
5. PC neu starten
6. Bei Windows ME und Windows XP die Systemwiederherstellung wieder aktivieren
Die Punkte 4 und 6 gelten nur bei den Betriebssystemen Windows ME und Windows XP. Bei allen anderen Windowsbetriebssystemen kann nach der Löschung des Registry-Schlüssels gleich der PC neugestartet werden.
Gruß
Flightcrank 8)