Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ntos.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.09.2007, 15:37   #1
chrischi25
 
ntos.exe - Standard

ntos.exe



Hallo,

leider hat mein antivir das hier gefunden und ich möchte nun gern von Euch wissen, ob ich ein Problem hab oder nicht. :-)

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\ntos.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\wsnpoem\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\wsnpoem\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Bei Virustotal habe ich bereits die eine Datei durchsuchen lassen (s.u.), wurde aber so wie ich das verstehe nichts gefunden.

Komsch ist auch irgendwie, dass bei antivir die datei ntos.exe heißt und wenn ich die datei über Arbeitsplatz suche heißt sie ntoskrnl.exe.


Datei ntoskrnl.exe empfangen 2007.09.25 16:20:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.22.0 2007.09.24 -
AntiVir 7.6.0.15 2007.09.25 -
Authentium 4.93.8 2007.09.25 -
Avast 4.7.1043.0 2007.09.24 -
AVG 7.5.0.485 2007.09.25 -
BitDefender 7.2 2007.09.25 -
CAT-QuickHeal 9.00 2007.09.24 -
ClamAV 0.91.2 2007.09.25 -
DrWeb 4.33 2007.09.25 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5162 2007.09.25 -
Ewido 4.0 2007.09.24 -
FileAdvisor 1 2007.09.25 -
Fortinet 3.11.0.0 2007.09.25 -
F-Prot 4.3.2.48 2007.09.25 -
F-Secure 6.70.13030.0 2007.09.25 -
Ikarus T3.1.1.12 2007.09.25 -
Kaspersky 4.0.2.24 2007.09.25 -
McAfee 5126 2007.09.24 -
Microsoft 1.2803 2007.09.25 -
NOD32v2 2549 2007.09.25 -
Norman 5.80.02 2007.09.25 -
Panda 9.0.0.4 2007.09.25 -
Prevx1 V2 2007.09.25 -
Rising 19.42.11.00 2007.09.25 -
Sophos 4.21.0 2007.09.25 -
Sunbelt 2.2.907.0 2007.09.25 -
Symantec 10 2007.09.25 -
TheHacker 6.2.5.068 2007.09.25 -
VBA32 3.12.2.4 2007.09.25 -
VirusBuster 4.3.26:9 2007.09.25 -
Webwasher-Gateway 6.0.1 2007.09.25 -

Hoffentlich könnt Ihr mir helfen!

Grüße

chrischi25

Alt 25.09.2007, 16:12   #2
Cleriker
 
ntos.exe - Standard

ntos.exe



Hi und Herzlich Willkommen beim Trojaner-Board

das hatte ich doch heute schon einmal, das wäre dieser Trojaner.
Versuchen mal eine Bereinigung:

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Gehe in den Ordner c:\avenger. Dort findest du im Idealfall ein gezipptes Backup. Entzippe und versuche erneut den upload beider Dateien aus dem Archiv.
6.) Poste ausserdem den Inhalt der C:\avenger.txt

Lösche anschließend den gesamten Ordner und leere den Papierkorb
Zitat:
C:\WINDOWS\system32\wsnpoem
* CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- optional kannst du die gelöschten Einträge aus dem Fenster abkopieren und posten

Poste anschließend noch folgende Scans, um zu
überprüfen, ob die Aktivitäten sich schon soweit
ausgeweitet haben, dass mehrere Schädlinge
die Konsequenz sind.

* HijackThis - Scan
- Lade dir das Tool hier runter -> Hijackthis 2.02 Final
- Entpacke es in einen seperaten Ordner und benenne es um
(z.b. C:\Programme\HijackThis\pruefung.com)
- Führe die Datei aus und bestätige die Warnung mit "ok"
- Wähle die Option "Do a System Scan and save a logfile"
- poste den kompletten Inhalt des entstehenden LogFiles
->Entferne persönliche Informationen sowie aktive Links


* MWAV (eScan) - Free Antivirus
-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


* F-Secure Blacklight – Rootkitscanner:
- hier runterladen F-Secure Blacklight
- mit F-Secure dein System nach Rootkits scannen lassen
- Poste im Anschluss das Ergebnis des Reportes
(die Datei wird im selben Ordner wie das Tool gespeichert)

mfg Cleriker
__________________


Alt 25.09.2007, 16:49   #3
BataAlexander
> MalwareDB
 
ntos.exe - Standard

ntos.exe



Ergänzung:

unter c:\ findet sich eine Datei ähnlich syszzma.exe oder sysshbr.exe also irgendwie sys****.exe.
Diese Datei auch löschen!
Es kann sein das Avenger fehlschlägt, da es die Dateien u.U. nicht findet. In dem Fall hilft das Sophos Anti Root Kit (Download kostenlos nach Registierung)

Blacklight wird wohl nichts finden
__________________
__________________

Alt 25.09.2007, 17:01   #4
chrischi25
 
ntos.exe - Standard

ntos.exe



moin jungs,

blacklight hat die drei dateien gefunden. blacklight konnte aber leider ntos.exe
nicht umbennen. Was soll ich nun machen?

chrischi

Alt 25.09.2007, 17:01   #5
Cleriker
 
ntos.exe - Standard

ntos.exe



Zitat:
unter c:\ findet sich eine Datei ähnlich syszzma.exe oder sysshbr.exe also irgendwie sys****.exe.
danke für die Ergänzung -> immer schön aufpassen.


Zitat:
Blacklight wird wohl nichts finden
Du musst auch zu allem was hinzufügen Bata
sicher ist sicher siehe Trojanerauszug:
[QUOTETroj/Dloadr-AWJ kann ein Attachment von Spam-Mails sein und weitere ausführbare Codes herunterladen[/QUOTE]

mfg Cleriker


Alt 25.09.2007, 17:03   #6
Cleriker
 
ntos.exe - Standard

ntos.exe



siehe Bata -> Sophos Anti Root Kit

Alt 25.09.2007, 17:22   #7
chrischi25
 
ntos.exe - Standard

ntos.exe



Danke Danke Danke!

Sophos hat jetzt aber noch das hier gefunden...:

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6-b170-9a65bc822c77

Was ist das schon wieder? :-)

Alt 25.09.2007, 19:01   #8
BataAlexander
> MalwareDB
 
ntos.exe - Standard

ntos.exe



Ja ja, Hab mich auch verschrieben, BL findet kann aber nichts machen.

Zu dem Eintrag, kommt von den Windows Updates
Zitat:
Zitat von MS
Eine Suche wird durch Anklicken der Schaltfläche "Schnellsuche" oder "Benutzerdefinierte Suche" am Client gestartet
Poste aber gern mal sämtliche Logs in [noparse][CODE]Deine Logs[/CODE][noparse]

Cleriker is doch nicht böse gemeint, wollte die Sache nur abkürzen.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Antwort

Themen zu ntos.exe
antivir, arbeitsplatz, automatische, beendet, datei, defender, email, empfangen, filter, frage, gen 2, gestoppt, homepage, klicke, laden, nicht gefunden, problem, sekunden, system, system32, tan, virus, virustotal, warnung, windows, wsnpoem, überschritten



Ähnliche Themen: ntos.exe


  1. ntos.exe ???
    Log-Analyse und Auswertung - 18.02.2009 (3)
  2. ntos, infiziert oder gerettet ?
    Log-Analyse und Auswertung - 31.12.2008 (0)
  3. wsnpoem und ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 28.10.2008 (29)
  4. ntos.exe
    Diskussionsforum - 25.08.2008 (14)
  5. ntos.exe usw. brauche hilfe
    Log-Analyse und Auswertung - 05.08.2008 (3)
  6. TR/Spy.ZBot.cew mit ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 09.06.2008 (5)
  7. ntos.exe bzw. wsnpoem !
    Plagegeister aller Art und deren Bekämpfung - 08.02.2008 (4)
  8. Trojaner ntos und mswin......exe - Maßnahmen ausreichend?
    Plagegeister aller Art und deren Bekämpfung - 15.01.2008 (1)
  9. ntos.exe Nachwehen
    Plagegeister aller Art und deren Bekämpfung - 07.01.2008 (11)
  10. ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 04.01.2008 (3)
  11. NTOS.exe als Backdoor und/oder Rootkit
    Lob, Kritik und Wünsche - 27.11.2007 (32)
  12. Win32.Agent.pz in Datei ntos.exe
    Log-Analyse und Auswertung - 15.10.2007 (3)
  13. Hilfe bin infiziert vermutlich ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 03.10.2007 (5)
  14. Hijack - bitte helfen - ntos.exe?
    Log-Analyse und Auswertung - 14.07.2007 (6)
  15. TR/dropagent.nts in Systemdatei Ntos.exe
    Log-Analyse und Auswertung - 30.05.2007 (1)
  16. ntos.exe pls help
    Log-Analyse und Auswertung - 11.04.2007 (1)
  17. ntos.exe - hat zugeschlagen
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (5)

Zum Thema ntos.exe - Hallo, leider hat mein antivir das hier gefunden und ich möchte nun gern von Euch wissen, ob ich ein Problem hab oder nicht. :-) C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht - ntos.exe...
Archiv
Du betrachtest: ntos.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.