Zitat:

nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach.

Hättest du hier mal aufmerksamer gelesen, wüsstest du, dass es mitnichten gaanz einfach ist, mal eben eine Backdoor zu entfernen.
Sicherheit schafft nur das Neuaufsetzen.

Zitat:

Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen.

Virenscanner sind keine nunmal keine verlässlichen Werkzeuge, dein Ergebnis ist durchaus normal. Was machst du denn mit den Schädlingen, die noch in deinem System sind, aber von keinem Virenscanner gefunden werden?

Naja, hatte mir dann doch mehr fachliches
Feedback gewünscht, aber whatever . . .

Zitat:

Was ist denn das für eine Spezies

Zitat:

...und was hat sie getan, als das ich darauf Rücksicht nehme ?
Die EMailanhangklicker und Adminsurfer haben alles andere als Rücksichtnahme verdient.......
Der Lerneffekt durch eine Neuinstallation und die zukünftige Vermeidung einer solchen Aktion, ist um ein Vielfaches größer als eine Reinigung der Kisteje sein könnte
Dies ließe derlei Leute in dem Glauben ,daß Falschverhalten folgenlos bleiben kann.
Solche Leute haben wir beim nächsten MSN Wurm wieder da ........
...und wieder geben wir ihm einen Fisch ,statt das wir ihm lernen zu fischen....

Deine Meinung ist mir inzwischen sehr gut bekannt und aufgrund deiner
weit-aus-größeren Erfahrung mit TO's respektiere ich sie auch weitesgehend.
Jedoch kann ich nur immer wieder auf die immer höher-auftretende Anzahl an ntos.exe -
Befallenen aufmerksam machen. Und was ist eines der Gründe?
meines Erachtens der, dass viele infiizierte User das Ausmaß unterschätzen und denken,
dass sie mit einem "Lösch-Klick" das ganze System bereinigen.
Ein gutes Beispiel ist hier mit Frank62 gegeben.

Die geteilte Meinung ist hier klar geworden, wie ich gemerkt habe.
Im Folgepost modifiziere ich die Anleitung noch einmnal so, dass genau
klar ist, wann neu aufgesetzt werden sollte und wann unter Vorbehalt
der Risiken bereinigt werden kann. Ich danke allen Meinungsbeteiligten
und schließe mit dem folgenden Satz ab:
Wenn im Trojaner-Board derartige Bereinigungen unerwünscht sind,
hat diese Anleitung hier auch nichts zu suchen. Falls erwünscht würde
es mich freuen, wenn sie so wie im Folgepost festgehalten wird.

NTOS.exe als Backdoor und/oder Rootkit

Was ist ntos.exe?
ntos.exe ist ein Attachment von Spam-Mails,
in denen z.b. eine Anwaltsforderung gestellt
wird. Dabei ist im Anhang eine Rechnung.pdf-Datei
angehängt, die die ntos.exe-Datei in das
System32-Verzeichnis lädt. Hier die konkrete Erläuterung:
Aktenzeichen Schweiz: Falsche Rechnungen vom Anwalt


Was macht ntos.exe genau?
Um nachvollziehen zu können, wie weit
der Schädling bei euch vorran gekommen ist,
macht Ihr am Besten ein Hijackthislog nach Anleitung

Um immer wieder zu starten, trägt sie sich
als folgenden Eintrag ein:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WIN DOWS\system32\ntos.exe

Wenn der fett-makierte Teil dieses Eintrags in
dem Hijackthislogfile auftaucht,
bedeutet das, dass der Schädling aktiv war/ist
und weiterhin folgende Einträge erstellt hat / erstellen wird:

Zitat:

<System>\wsnpoem\audio.dll
<System>\wsnpoem\video.dll

Sollten diese Einträge vorhanden sein,
kann angenommen werden, dass die
Bankdaten ausspioniert wurden und ihr bekommt
vielleicht schon bald Post von eurer Bank.


Was kann man nach Infizierung tuen?
Die sicherste Methode einen PC nach einem
Schädling mit Rootik-Funktionalität oder
Backdooreigenschaften zu bereinigen, ist
natürlich ein komplettes Neuaufsetzen des System, siehe
System neu aufsetzen mit anschließender Absicherung
Und diese Methode kann ich auch jedem raten,
bei dem dieser Schädling vollständig gefunden wurde.

Aus folgenden Gründen kann jedoch eine Bereinigung
unter Vorbehalt von Risiken durchgeführt werden:
1)Der Offline-User:
Benutzer, die nicht am Internet angebunden sind und damit
keinen weiteren Schaden anrichten können
2)Der User ohne Onlinebanking:
Benutzer, die keine vertraulichen Daten im Internet
handeln oder keine auf ihrer Festplatte gesichert haben.
Hier gilt jedoch: Sofort vom Netz trennen



Die Bereinigung:

1) Anleitung Avenger
- Lade dir das Tool Avenger und speichere es auf dem Desktop:
- Klicke nun auf die Option „Input Script manually“
-> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\ntos.exe
C:\System\wsnpoem\audio.dll
C:\System\wsnpoem\video.dll

Folders to delete:
C:\System\wsnpoem

- Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
- Danach das System unverzüglich neu starten lassen
- Poste den Inhalt der C:\avenger.txt

2) Registryeintrag entfernen
- Wechsel in den folgenden Registry-Pfad:
Start > Ausführen > "regedit" eingeben + "Enter"
> HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
- Ändere den String auf der rechten Seite:

Zitat:

C:\Windows\system32\userinit.exe, C:\Windows\system32\ntos.exe

in folgenden String um:

Zitat:

C:\Windows\system32\userinit.exe

3) HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\system32\ntos.exe

- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

Falls das Domain Name System (DNS) verändert wurde,
führe Punkt 4 durch. Ihr könnt es anhand unbekannter
017er-Einträge in dem erstellten Hijackthis-Logifile sehen.
4) LSPFix - DNS-Bereinigung
- lade dir das Tool LSPFIX
- Lade dir das Tool WinsockXPFix,
falls deine Internetverbindung unterbricht bzw. nicht mehr funktioniert.
- starte die LSPFix.exe
- setze das Häkchen, bei "I know, what I'm doing"
- schiebe die entsprechenden Einträge von links nach rechts
- klicke auf "Finish"

5) CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

6) Deaktivierung aller Störfaktoren:
- alle anderen Scanner gegen Viren, Spyware, usw. ausschalten / deaktivieren
- Verbindung zu einem Netzwerk/Internet bestehen
abschalten
- während den Scans nichts am Rechner tuen
- nach jedem Scan den Rechner neu starten

F-Secure - Rootkitscanner
- lade dir hier f-secure herunter
- speichere es auf dem Desktop und führe fsbl.exe
- akzeptiere die Vereinbarung und klicke anschließend auf "Scan"
- poste den Inhalt der "fsbl-xxx.txt" in deinen Beitrag
(wird im selben Ordner erstellt)

8) Gmer - applikation
- lade die das Tool Gmer
- Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein)
- Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
- Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage
zu kopieren. Mit "Ok" wird GMER beendet.
- Füge das Log aus der Zwischenablage in deinen Post ein.

9) Catchme - Userland rootkit detector
- Lade dir Catchme.exe runter auf deinen Desktop.
- Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
- Falls nach dem Ende des Scans im Fenster Dateien stehen,
dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird.
Die Dateien werden dabei nicht entfernt.
- Das Log ist in catchme.log, füge es vollständig in deinen Post ein.

10) RootkitRevealer
- Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
- Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
- Starte durch Klick auf "Scan".
- Wenn der Scan fertig ist das Logfile mit File
-> Save abspeichern und in deinen Beitrag posten.


Aus den Scans aus Punkt 7-10 könnt ihr oder
der hilfsbereite Supporter ersehen, ob und wo
sich die restlichen Infizierungen befinden.

Viel Erfolg bei der Bereinigung
mfg Cleriker

Zitat:

Einige wissen ja, dass ich immer mal Freeware-Fernwartungs-Tools (Bifrost, Poison Ivy) teste. Es kommt also vor, dass ich Online-Banking mache und ein Server läuft auf meinem PC. Mein Konto wurde bisher nicht gesperrt.

hinzu kommt, dass die ntos.exe in einigen Fällen überhaupt nicht mehr im Hijack auftaucht.

Die Anleitung ist dir wirklich gelungen und für den Dldr. wird sie auch funktionieren allerdings wird der Dateiname ntos.exe auch von anderer Maleware benutzt die aber volkommen anders arbeitet. Das ist ein echt fieses Ding. Habe den Artikel leider nicht mehr gefunden aber diesen Eintrag in der viruslist: Viruslist.com - Virus.Win32.Gpcode.ai

Und es werden bestimmt noch ein paar mehr Varianten hier vorbeischwirren

Cleriker, klasse geworden.

Vielleicht ergänzt Du noch: alle Passwörter ändern!

Danke Undo

Das ist ja mal eine ganz neue Variante mit dem Verschlüsseln.
Die Ursprungsdateien sind die gleichen und würden entfernt werden,
jedoch die Verschlüsslung bleibt.
Muss also unter Vorbehalt dieser Möglichkeit die Entschlüsslung von
Kaspersky hinzugezogen werden. Ich habe leider keine Möglichkeit
das aus zu probieren, aber werde es hinzu ziehen.

Edit: @Gua bitte nicht editieren, es folgt eine Modifizierung

danke nochmal :aplaus:

Zitat:

Zitat von Cleriker

Das ist ja mal eine ganz neue Variante mit dem Verschlüsseln.
Die Ursprungsdateien sind die gleichen und würden entfernt werden,
jedoch die Verschlüsslung bleibt.

das ist nicht wirklich neu, nur bei ntos.exe

es gab etwas ähnliches schon vor ungefähr 2 Jahren einmal.

Zitat:

es gab etwas ähnliches schon vor ungefähr 2 Jahren einmal.

Und wieso erfahr dich davon erst jetzt was, nachdem ich 3 mal nach
solchen Möglichkeiten nachgefragt habe. Ich hau ab und verzieh
mich wieder hinter meinen Mond
Trotzdem danke

Zitat:

Zitat von Cleriker

Naja, hatte mir dann doch mehr fachliches
Feedback gewünscht, aber whatever . . .


Deine Meinung ist mir inzwischen sehr gut bekannt und aufgrund deiner
weit-aus-größeren Erfahrung mit TO's respektiere ich sie auch weitesgehend.
Jedoch kann ich nur immer wieder auf die immer höher-auftretende Anzahl an ntos.exe -
Befallenen aufmerksam machen. Und was ist eines der Gründe?
meines Erachtens der, dass viele infiizierte User das Ausmaß unterschätzen und denken,
dass sie mit einem "Lösch-Klick" das ganze System bereinigen.
Ein gutes Beispiel ist hier mit Frank62 gegeben.

Die geteilte Meinung ist hier klar geworden, wie ich gemerkt habe.
Im Folgepost modifiziere ich die Anleitung noch einmnal so, dass genau
klar ist, wann neu aufgesetzt werden sollte und wann unter Vorbehalt
der Risiken bereinigt werden kann. Ich danke allen Meinungsbeteiligten
und schließe mit dem folgenden Satz ab:
Wenn im Trojaner-Board derartige Bereinigungen unerwünscht sind,
hat diese Anleitung hier auch nichts zu suchen. Falls erwünscht würde
es mich freuen, wenn sie so wie im Folgepost festgehalten wird.

Hi,
Ich habe ihn nicht mit einem Mail bekommen, sondern vermutlich mit einem Programm, genau wurde das nicht herausgefunden.
Nachdem die „ntos.exe“ umbenannt war, wurden alle wsnpoem-Ordner sichtbar. Es ist mühevoll per Hand aufzuräumen.

Was nutzt ein Neuaufsetzen des Systems, wenn er in einer Applikation oder ähnlichen, die gelegentlich erneut aufgerufen wird, versteckt?
Da nutzt Neuaufsetzen auch nichts.
Ich habe alles Überflüssige gelöscht, auch Anwendungen die ich nicht eindeutig zuordnen konnte, sämtliche „gesammelten Werke von irgendetwas“.
Ich denke, dass ist nutzbringender als das Neuaufsetzen des Systems.
Viele Grüße

Zitat:

Was nutzt ein Neuaufsetzen des Systems, wenn er in einer Applikation oder ähnlichen, die gelegentlich erneut aufgerufen wird, versteckt?
Da nutzt Neuaufsetzen auch nichts.

Hast du den Sinn des Neuaufsetzens überhaupt verstanden?
Damit wird ein vertrauenswürdiges System wiederhergestellt. Die Backdoor ist dann garantiert weg. Wer erneut dümmliche Programme aus dubiosen Quellen ausführt, dem ist nicht zu helfen.

Zitat:

dass ist nutzbringender als das Neuaufsetzen des Systems.

Inwiefern ist denn das nutzbringender? Du hast durch deine Bereinigung doch noch nicht mal ein vertrauenswürdiges System!

Zitat:

Zitat von Heike

Woran merken Banken, dass jemand mit NTOS.exe infiziert ist?......

....Ist vielleicht der Server, zu dem NTOS.exe die Daten sendet, überwacht und die Infizierten werden so ermittelt?
Ein PC-Check durch die Bank kann eigentlich nicht die Ursache für die Erkennung sein.

Die Zielserver werden selbst geknackt und darauf abgelegte Daten abgerufen oder zumindest wird's versucht. Wenns nicht klappt werden sie stillgelegt.

alterschwede470

Da macht sich Cleriker so eine Mühe für die Anleitung und kriegt noch Nichtmal ein Dankeschön oder "Ordentliche Kritik" unmöglich was hier letzterzeit abgeht....Mfg Trojanerade

Zitat:

Zitat von Trojanerade

Da macht sich Cleriker so eine Mühe für die Anleitung und kriegt noch Nichtmal ein Dankeschön oder "Ordentliche Kritik"

Stimmt ja nicht.

Zitat:

Zitat von irrlicht

Freundschaft
Ich achte sehr wenn sich Leute ins Zeug legen und extra was leisten...

Zitat:

Zitat von Heike

Cleriker, klasse geworden.

Keine Ahnung, welchen Thread du gelesen hast. Hier allerdings hat er beides bekommen.

Naja, aber das Cleriker von manchen als "Antineuaufsetzungsuserförderer" () dargestellt wird...

Zitat:

Zitat von -SkY-

Naja, aber das Cleriker von manchen als "Antineuaufsetzungsuserförderer" () dargestellt wird...

Nein, das wird er nicht, und diese Rolle hat Monsieur klar abgelehnt.

Backdoor, rootkit, weiß man's.? Wenn der Kopf juckt, hilft's nüscht, den Schwanz abzuschneiden. Kompromittierung lebt vom Nichtwissen. Deshalb bin ich kein ausgesprochener Fan der Anleitung; unabhängig von der Mühe und dem Aufwand, den cleriker investiert hat.

Mehr feedback? Gut und schön, manche Foren sind kein Ponyhof. ordell