Hallo,

das hier kann dein Feind :Troj/Dloadr-AWQ - Trojaner - Sophos Bedrohungsanalyse

Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich...
Leider ist es kein Besandteil mehr ,wenn er sich an Stellen wie dieser zeigt :

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,

Dies ist aus deinem alten Log.
Nach deinen Versuchen zu putzen und zu reinigen ,hast du ihn nun dorthin gejagt :

Zitat:

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Mit anderen Worten :außer Spesen nix gewesen...

Da in deiner Kiste noch andere "böse und böseste Buben ihr abscheuchliches Unwesen treiben,kann dir nur geraten werden ,dich hier umzusehen :http://www.trojaner-board.de/anleitungen-faqs-links/
Dort solltest du den Thread zum "Neuaufsetzen des Systems und der anschließenden Absicherung" größte Beachtung schenken !!!
Auch wären allgemeine Informationsdefizite zu beseitigen.....
Insbesondere deine "ich klick und installier alles was bunt ist" Mentalität bedarf der gründlichen Überarbeitung.
Du wirst sonst ganz schnell wieder mit einer so versauten Kiste konfrontiert werden....
Lese deshalb besser hier und versuche umzusetzen was dort angeraten wird :SIDES - Computersicherheit für Privatanwender : Checkliste
Irrlicht

Zitat:

Zitat von irrlicht

Hallo,

das hier kann dein Feind :Troj/Dloadr-AWQ - Trojaner - Sophos Bedrohungsanalyse

Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich...
Leider ist es kein Besandteil mehr ,wenn er sich an Stellen wie dieser zeigt :

Dies ist aus deinem alten Log.
Nach deinen Versuchen zu putzen und zu reinigen ,hast du ihn nun dorthin gejagt :


Mit anderen Worten :außer Spesen nix gewesen...

Da in deiner Kiste noch andere "böse und böseste Buben ihr abscheuchliches Unwesen treiben,kann dir nur geraten werden ,dich hier umzusehen :http://www.trojaner-board.de/anleitungen-faqs-links/
Dort solltest du den Thread zum "Neuaufsetzen des Systems und der anschließenden Absicherung" größte Beachtung schenken !!!
Auch wären allgemeine Informationsdefizite zu beseitigen.....
Insbesondere deine "ich klick und installier alles was bunt ist" Mentalität bedarf der gründlichen Überarbeitung.
Du wirst sonst ganz schnell wieder mit einer so versauten Kiste konfrontiert werden....
Lese deshalb besser hier und versuche umzusetzen was dort angeraten wird :SIDES - Computersicherheit für Privatanwender : Checkliste
Irrlicht

so danke für die antwort, das system ist neu aufgezogen, kannst du oder jemand anders mal bitte drüber schauen ob alles soweit ok ist bevor ich alles weiter mache und sichere wie im artikel steht und ist jetzt schon nicht sicher:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--

lg

danke

Zitat:

Zitat von irrlicht

Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich...

NEIN, NIE!
Außerdem handelt es sich hier um multiple Infektionen

Zitat:

O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

und
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
kommt nicht von dem Dloadr-AWQ!

@ sunmande: Wie hat Dir Deine Bank das gesagt und welche? Per Telefon, eMail, Brief.

hab angrufen, weil ich probleme hatte und er hat in die datenbank geschaut und mir den namen gesagt!
ist mein system jetzt sauber?
nach neuaufziehen?
siehe logfile unten?

Hallo,
nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach.

Datei Commander 8.3 öffnen.
Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen,
Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen. *grins*

Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie.

Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann.

Danach Rechner runterfahren und neu starten.

Mehr nicht, das Einfache liegt so nah.

Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen.
Viele Grüße

Ntos.exe sitzt unter Windows-system32 als exe Datei. Im Register wird er beim hochfahren aktiv und hängt im Speicher.
Die <System>\wsnpoem\audio.dll <System>\wsnpoem\video.dll sind keine DLL Dateien sondern sie registrieren die Passwörter und Zugänge.
Selbst wenn du die Datei löschen könntest, es würde nicht helfen, beim runterfahren schreibt er sie zurück.
Du kannst aber im Process Explorer das Programm schließen, es lädt NICHT nach, nur die beiden wsnpoem Dateien sind weiter aktiv.
Nachdem die Datei im Win/system32 umbenannt ist, ist Schluss, er findet sie nicht mehr.

Habe es wie beschrieben versucht,
aber beim umbennen schreibt er: Quellpfad existiert nicht!

Du musst mit Backflash schreiben, nicht wie ich es getan habe. Ansonsten kopiere den Pfad aus dem Process Explorer rüber, wegen der Schreibfehler.

Die ntos.exe residiert nur zu einem Zweck im Arbeitspeicher, damit sie sich beim herunterfahren den Rechners erneut in das Verzeichnis eintragen kann bzw überschreiben kann, falls ein Virenscanner sie aufgespürt hat.