Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.11.2007, 11:21   #1
sunmande
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Hi ihr,

wie vielen andere hier schon geschrieben haben wurde mir ebenfalls von meiner Bank gesagt das ich den WSNPoem Trojaner habe!

Ich habe mir hier viele Beiträge durchgelesen und dieses MCAfee Root Kit laufen lassen und habe dann zwei Dateien angezeigt bekommen

1.ntos --> die habe ich gelöscht nach restart
2. WNSPoem und die gab es irgendwie nicht in dem angegebenen Ordner System32, jedoch hat mein Virenscan Antivir paar Sachen gefunden und mich dann aufmerksam gemacht, wie WNS Trojaner und Trojaner in Temp die ich in Quarantäne verschoben habe und dann gelöscht.

Da ich ein absoluter Laie bin, weiss ich nicht wie sicher das jetzt ist.
Ich habe vor dem McAfee wie ihr immer wollt, dieses Hijacklog gemacht und nachdem ich es gelöscht habe und Antivir eingegriffen habe nochmal.

Ich würde euch gerne eben beide vorlegen und auf eure Antworten waren wie sicher es ist oder welche Dateien da drin stehen die gefährlich sind oder was ich noch tun soll?
Ist der WNSPoem weg? Kann man das raus lesen?
Wie gesagt einmal hat Antivir danach reagiert noch.

Das ist vor dem was ich alles gemacht hab, also Hijack 1
Scan saved at 11:24:29, on 05.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Stefan\LOKALE~1\Temp\~AceTemp\McafeeRootkitDetective[1]\Rootkit_Detective.exe
C:\Programme\HijackThis-tester\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4985 bytes


und das nach den sachen (mcafee etc)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:26, on 05.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis-tester\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4496 bytes


hoffe ihr könnt mir helfen

lg

Stefan

Alt 05.11.2007, 13:40   #2
irrlicht
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Hallo,

das hier kann dein Feind :Troj/Dloadr-AWQ - Trojaner - Sophos Bedrohungsanalyse

Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich...
Leider ist es kein Besandteil mehr ,wenn er sich an Stellen wie dieser zeigt :
Zitat:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
Dies ist aus deinem alten Log.
Nach deinen Versuchen zu putzen und zu reinigen ,hast du ihn nun dorthin gejagt :
Zitat:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
Mit anderen Worten :außer Spesen nix gewesen...

Da in deiner Kiste noch andere "böse und böseste Buben ihr abscheuchliches Unwesen treiben,kann dir nur geraten werden ,dich hier umzusehen :http://www.trojaner-board.de/anleitungen-faqs-links/
Dort solltest du den Thread zum "Neuaufsetzen des Systems und der anschließenden Absicherung" größte Beachtung schenken !!!
Auch wären allgemeine Informationsdefizite zu beseitigen.....
Insbesondere deine "ich klick und installier alles was bunt ist" Mentalität bedarf der gründlichen Überarbeitung.
Du wirst sonst ganz schnell wieder mit einer so versauten Kiste konfrontiert werden....
Lese deshalb besser hier und versuche umzusetzen was dort angeraten wird :SIDES - Computersicherheit für Privatanwender : Checkliste
Irrlicht
__________________


Alt 07.11.2007, 13:13   #3
sunmande
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Zitat:
Zitat von irrlicht Beitrag anzeigen
Hallo,

das hier kann dein Feind :Troj/Dloadr-AWQ - Trojaner - Sophos Bedrohungsanalyse

Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich...
Leider ist es kein Besandteil mehr ,wenn er sich an Stellen wie dieser zeigt :

Dies ist aus deinem alten Log.
Nach deinen Versuchen zu putzen und zu reinigen ,hast du ihn nun dorthin gejagt :


Mit anderen Worten :außer Spesen nix gewesen...

Da in deiner Kiste noch andere "böse und böseste Buben ihr abscheuchliches Unwesen treiben,kann dir nur geraten werden ,dich hier umzusehen :http://www.trojaner-board.de/anleitungen-faqs-links/
Dort solltest du den Thread zum "Neuaufsetzen des Systems und der anschließenden Absicherung" größte Beachtung schenken !!!
Auch wären allgemeine Informationsdefizite zu beseitigen.....
Insbesondere deine "ich klick und installier alles was bunt ist" Mentalität bedarf der gründlichen Überarbeitung.
Du wirst sonst ganz schnell wieder mit einer so versauten Kiste konfrontiert werden....
Lese deshalb besser hier und versuche umzusetzen was dort angeraten wird :SIDES - Computersicherheit für Privatanwender : Checkliste
Irrlicht


so danke für die antwort, das system ist neu aufgezogen, kannst du oder jemand anders mal bitte drüber schauen ob alles soweit ok ist bevor ich alles weiter mache und sichere wie im artikel steht und ist jetzt schon nicht sicher:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--

lg

danke
__________________

Alt 07.11.2007, 13:43   #4
BataAlexander
> MalwareDB
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Fürs Protokoll: Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Zitat:
Zitat von irrlicht Beitrag anzeigen
Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich...
NEIN, NIE!
Außerdem handelt es sich hier um multiple Infektionen
Zitat:
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
und
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
kommt nicht von dem Dloadr-AWQ!

@ sunmande: Wie hat Dir Deine Bank das gesagt und welche? Per Telefon, eMail, Brief.

Alt 07.11.2007, 13:57   #5
sunmande
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



hab angrufen, weil ich probleme hatte und er hat in die datenbank geschaut und mir den namen gesagt!
ist mein system jetzt sauber?
nach neuaufziehen?
siehe logfile unten?


Alt 10.11.2007, 23:24   #6
Frank62
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Hallo,
nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach.

Datei Commander 8.3 öffnen.
Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen,
Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen. *grins*

Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie.

Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann.

Danach Rechner runterfahren und neu starten.

Mehr nicht, das Einfache liegt so nah.

Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen.
Viele Grüße

Ntos.exe sitzt unter Windows-system32 als exe Datei. Im Register wird er beim hochfahren aktiv und hängt im Speicher.
Die <System>\wsnpoem\audio.dll <System>\wsnpoem\video.dll sind keine DLL Dateien sondern sie registrieren die Passwörter und Zugänge.
Selbst wenn du die Datei löschen könntest, es würde nicht helfen, beim runterfahren schreibt er sie zurück.
Du kannst aber im Process Explorer das Programm schließen, es lädt NICHT nach, nur die beiden wsnpoem Dateien sind weiter aktiv.
Nachdem die Datei im Win/system32 umbenannt ist, ist Schluss, er findet sie nicht mehr.

Alt 11.11.2007, 09:44   #7
spilot
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Habe es wie beschrieben versucht,
aber beim umbennen schreibt er: Quellpfad existiert nicht!

Alt 11.11.2007, 10:47   #8
Frank62
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Du musst mit Backflash schreiben, nicht wie ich es getan habe. Ansonsten kopiere den Pfad aus dem Process Explorer rüber, wegen der Schreibfehler.

Alt 11.11.2007, 10:57   #9
Frank62
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Die ntos.exe residiert nur zu einem Zweck im Arbeitspeicher, damit sie sich beim herunterfahren den Rechners erneut in das Verzeichnis eintragen kann bzw überschreiben kann, falls ein Virenscanner sie aufgespürt hat.

Alt 11.11.2007, 11:03   #10
nochdigger
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Hallo

@spilot hast du das System neu installiert?
Wenn ja, sollte die Datei auch nicht mehr zu finden sein

@Frank62 was machst du mit den restlich versteckt laufenden Dateien?

MFG

Alt 11.11.2007, 11:08   #11
Frank62
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo

@spilot hast du das System neu installiert?
Wenn ja, sollte die Datei auch nicht mehr zu finden sein

@Frank62 was machst du mit den restlich versteckt laufenden Dateien?

MFG
Nichts, was sollen sie machen ohne der ntos.exe?
V.G.

Alt 11.11.2007, 11:09   #12
Frank62
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Im Übrigen ist die von mir umbenannte ntos.exe sichtbar geworden.
V.G.

Alt 11.11.2007, 15:23   #13
Frank62
 
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Standard

Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!



Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo

@spilot hast du das System neu installiert?
Wenn ja, sollte die Datei auch nicht mehr zu finden sein

@Frank62 was machst du mit den restlich versteckt laufenden Dateien?

MFG
Habe jetzt das Verzeichnis „wsnpoem“ auch gefunden, es war jetzt auch sichtbar, sowie die umbenannte ntos.exe, habe alles gelöscht. Alles sauber.
V.G.

Antwort

Themen zu Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!
adobe, antivir, application, avira, bho, bitte um hilfe, ctfmon.exe, excel, explorer, file, firewall, helper, hkus\s-1-5-18, internet, internet explorer, microsoft, nvidia, ordner, outlook express, pdf, programme, quara, root kit, rundll, s-1-5-18, scan, software, system, temp, trend micro, trojaner, userinit.exe, windows, windows xp



Ähnliche Themen: Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!


  1. Aggressive Werbeeinblendungen und POPUPs, ebenfalls viele von gqs.donedrive.net
    Log-Analyse und Auswertung - 22.09.2013 (9)
  2. Ebenfalls Windows gesperrt, 50 Euro Trojaner, Bitte um Hilfe
    Log-Analyse und Auswertung - 28.12.2011 (6)
  3. Bitte Dringend hilfe! (cmd netstat viele ports offen) normal?
    Überwachung, Datenschutz und Spam - 25.04.2009 (2)
  4. viele Tr/... bitte um hilfe :(
    Log-Analyse und Auswertung - 03.02.2009 (0)
  5. Viele Problem... :( Bitte um Hilfe!!!
    Log-Analyse und Auswertung - 10.09.2008 (10)
  6. WSNPOEM-Trojaner
    Mülltonne - 07.06.2008 (0)
  7. ganz viele trojaner, bitte um hilfe
    Log-Analyse und Auswertung - 06.03.2008 (28)
  8. WSNPOEM - Trojaner, Konto gesperrt, McAffee gelöscht
    Plagegeister aller Art und deren Bekämpfung - 10.12.2007 (7)
  9. Hilfe Phising-Attacke wsnpoem Trojaner!
    Plagegeister aller Art und deren Bekämpfung - 13.11.2007 (26)
  10. Kontosperrung wegen WSNPOEM trojaner trotz Neuinstallation von XP
    Plagegeister aller Art und deren Bekämpfung - 08.11.2007 (9)
  11. Anruf von BANK, Konto gesperrt! GRUND: WSNPOEM (Trojaner!)
    Plagegeister aller Art und deren Bekämpfung - 01.11.2007 (9)
  12. Hilfe- viele Trojaner!!
    Log-Analyse und Auswertung - 10.05.2007 (13)
  13. Viele Viruse und Spyware auf dem PC ! Bitte um Hilfe
    Log-Analyse und Auswertung - 08.04.2007 (13)
  14. Hab mir viele böse Sachen eingefangen...Bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 24.02.2006 (1)
  15. Viele Unbekante Datein in C:/windows/System32 bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 26.03.2005 (1)
  16. Trojan.Favadd und viele andere Bazillen!!!Bitte um Hilfe.weil ich ein Mädchen bin*g*
    Plagegeister aller Art und deren Bekämpfung - 18.02.2005 (5)
  17. Hilfe viele Trojaner, die ich nicht wegbekomme
    Plagegeister aller Art und deren Bekämpfung - 25.11.2004 (1)

Zum Thema Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! - Hi ihr, wie vielen andere hier schon geschrieben haben wurde mir ebenfalls von meiner Bank gesagt das ich den WSNPoem Trojaner habe! Ich habe mir hier viele Beiträge durchgelesen und - Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele!...
Archiv
Du betrachtest: Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.