Zitat:

Da es aber User gibt, die .... nicht vollständig infiziert sind

Sorry, aber der Satz ist absolut sinnbefreit: Eine Frau kann nicht nur teilweise schwanger sein.

Zitat:

sich strikt gegen ein Neuaufsetzen weigern

Das Neuaufsetzen ist das beste für den User selbst und so bleibt es für alle Ewigkeiten und so muss dem User aufgeklärt werden. Alle Rootkit- bzw. Backdoor- Bereinigungen sind reine Zeitverschwendung und Selbstbetrug. Die ganzen Pro & Contras wurden hier schon mal rumdiskutiert: http://www.trojaner-board.de/12784-s...iskussion.html
Fazit: Wenn es im TB für die Backdoor-Bereinigung plädiert werden sollte, sehe ich für mich keinen Sinn, weiter hier mitzuarbeiten...
SCNR.

Zitat:

Zitat von Rene-gad

Eine Frau kann nicht nur teilweise schwanger sein.

Ja, aber eine Frau kann schwanger werden, ein User kann weder teilweise noch ganz von einem Computervirus infiziert werden - höchstens von dem "Virus" Computer.

Zitat:

Zitat von Rene-gad

Alle Rootkit- bzw. Backdoor- Bereinigungen sind reine Zeitverschwendung und Selbstbetrug.
...
Fazit: Wenn es im TB für die Backdoor-Bereinigung plädiert werden sollte, sehe ich für mich keinen Sinn, weiter hier mitzuarbeiten...

Das Aufzeigen einer - wenn auch schlechten - Alternative mit dem Hinweis auf dessen Mangel ist aber durchaus sinnvoll. Es gibt leider genügend Nutzer die vor einer Alternative: Neuaufsetzen oder mit dem Backdoor leben, tatsächlich das zweite nehmen, solange das System noch halbwegs arbeitet. Nach einer Bereinigung ist zumindest die Chance größer, dass das System keine Gefahr mehr für dritte darstellt - für den Besitzer des Malware-PCs ist es mir da schon eher egal.
Entbindet natürlich nicht, auf das sinnvollere zu pochen und deutlich (und vorallem zuerst) und immer auf die vernünftige Lösung zu drängen.

Es ist gut jemanden von "da mache ich jetzt erstmal gar nichts" zu "ich versuche eine Bereinigung" zu bringen.
Es ist schlecht jemanden von "ich setze neu auf" zu "ich versuche eine Bereinigung" zu bringen.

Zitat:

Sorry, aber der Satz ist absolut sinnbefreit: Eine Frau kann nicht nur teilweise schwanger sein.

Werden die Worte wieder mal im Munde umgedreht
Ein bisschen unglücklich ausgedrückt, aber ich wollte damit
auf die Möglichkeit hindeuten, dass der Registryeintrag zwar
vorhanden sein kann, eine Firewall oder Ähnliches jedoch
das Nachladen der Trojaner bzw. den Remotezugriff verhindert.

Zitat:

Das Neuaufsetzen ist das beste für den User selbst und so bleibt es für alle Ewigkeiten und so muss dem User aufgeklärt werden. Alle Rootkit- bzw. Backdoor- Bereinigungen sind reine Zeitverschwendung und Selbstbetrug.

Ich hätte es nicht besser ausdrücken können, als Shadow. Da wir
nicht in einer Diktatur leben, kannst du keinen zwingen, sein System
neu aufzusetzen. Du kannst aber helfen, ihn zu hindern, andere zu
schädigen.

Zitat:

Wenn es im TB für die Backdoor-Bereinigung plädiert werden sollte, sehe ich für mich keinen Sinn, weiter hier mitzuarbeiten...

Wenn das der Preis ist, möchte ich Ihn nicht bezahlen.
Nicht desto trotz -> Helfe, wo du helfen kannst.

mfg Cleriker

Ein weiteres "Problem" mit der NTOS ist, das sie nicht immer die gleiche Infektion ist.
Eine bekannte Infektion ist diese, diese kommt meist ohne die dlls.
Nevertheless möchte ich in diesem Thread mit den Worten auftauchen: "Wenn es mein Rechner wär würde ich ihn neu machen" oder "Wenn Du mich fragst installier ihn neu"

Ich möchte ungern die ganze Diskussion aus dem von mir oben verlinkten Thread jetzt von vorne an beginnen. Aber eine Frage an die Bereinigungs-Anhänger habe ich trotzdem: Womit kann man sicher stellen, dass die Bereinigung erfolgreich gelaufen ist? Dass man nichts merkt? Dass die markante Dateien bzw. Registry-Einträge nicht auffindbar sind? Was sagt ihr dazu: svchost.exe und svсhоst.exe sind vom Namen identisch!? Von wegen!!! Im 2. Namen sind die Buchstaben с und о aus dem kyrillischen Alphabet eingepflanzt. Ihr glaubt mir nicht? Kopiert den 2. Namen ins Google-Fenster und lasst suchen - ihr werdet überrascht sein.
Und dies ist keine frei von meiner Wenigkeit erfundene Geschichte, aber eine gefährliche Realität.
Und noch was - als die Zeit für die Bereinigung zu verschwenden, lieber alles so zu lassen, wie es ist, denn ein bereinigtes System ist sowieso kein sauberes System.

@ Heike wg. Sperre durch Banken: Ich habe keine Ahnung und die Banken tun gut daran sich etwas bedeckt zu halten.

Aber ich als Bank (ich als diesbezüglicher Verantwortlicher einer Bank) würde einfach alle Konten (temporär) sperren, auf die von "bekannten" IP-Adressen, IP-Adressbereichen zugegriffen wird/wurde (oder aus "obskurem" Ausland u.ä.), von IP-Adressen von denen in kurzer Zeit versucht wird auf mehrere/viele Konten zuzugreifen, etc.
Da muss kein Server direkt überwacht werden.

Zitat:

Zitat von Bata

Ein weiteres "Problem" mit der NTOS ist, das sie nicht immer die gleiche Infektion ist.
Eine bekannte Infektion ist diese, diese kommt meist ohne die dlls.
Nevertheless möchte ich in diesem Thread mit den Worten auftauchen: "Wenn es mein Rechner wär würde ich ihn neu machen" oder "Wenn Du mich fragst installier ihn neu"

Der Meinung war ich bis vor einigen Tagen auch und wollte
die Anleitung mit Fallunterscheidungen bestücken. Jedoch
nach einiger Recherche ist mir aufgefallen, das immer der selbe
Eintrag durch das selbe Verlockungsspiel eingetragen wird
-> Sie werden nur von unterschiedlichen Firmen genutzt.
Oder besser gesagt, es werden unterschiedliche Firmen simuliert.
Dass verschiedene Namen (auch vom gleichen AV-Scanner)
für diesen Schädling benutzt werden, liegt daran, dass er von
verschiedenen Seiten genutzt wird. Das haben wir aber auch
bei anderen Schädlingen. Hier mal die von Sophos:
Troj/Dloadr-AWQ
Troj/Dloadr-AWJ
Troj/GPCoder-G
* Win32/Spy.Agent.PZ
* Virus.Win32.Gpcode.ai
* GPcoder.h
* TSPY_KOLLAH.F
* Backdoor:Win32/Kollah.D

Hierbei unterscheiden sich jedoch nur die Ursachen der Infizierungen.
Die Funktion bleibt die selbe.

Zitat:

Zitat von Rene-gad

Und noch was - als die Zeit für die Bereinigung zu verschwenden, lieber alles so zu lassen, wie es ist, denn ein bereinigtes System ist sowieso kein sauberes System.

Stimmt alles, ich glaube auch jeder wird dir hier zustimmen, dass
eine komplette Wiederherstellung des Systems so nicht zu
gewährleisten ist. Aber ich muss nochmal wiederholen, dass
ich einem Antiformatierungsuser und deren Internetkontakte
mit dieser Anleitung einen riesigen Gefallen tuen könnte. Gehst
du soweit mit @ Rene-gad?

Edit: Also Freunde des Kompetenzteams, Moderatoren
und Admins, ich bitte nochmals um Verbesserungsvorschläge,
Kritiken (fachlich) für diese Anleitung, damit das Stottern
in den entsprechenden ntos.exe - Threads aufhört. Eine
Verbesserung kann nur qualitativ positiv beitragen.

mfg Cleriker

Freundschaft
Ich achte sehr wenn sich Leute ins Zeug legen und extra was leisten...

Was ist denn das für eine Spezies

Zitat:

Antiformatierungsuser

...und was hat sie getan, als das ich darauf Rücksicht nehme ?

Die EMailanhangklicker und Adminsurfer haben alles andere als Rücksichtnahme verdient.......
Der Lerneffekt durch eine Neuinstallation und die zukünftige Vermeidung einer solchen Aktion, ist um ein Vielfaches größer als eine Reinigung der Kisteje sein könnte
Dies ließe derlei Leute in dem Glauben ,daß Falschverhalten folgenlos bleiben kann.
Solche Leute haben wir beim nächsten MSN Wurm wieder da ........

...und wieder geben wir ihm einen Fisch ,statt das wir ihm lernen zu fischen....
Irrlicht

Zitat:

Zitat von Shadow

Es gibt leider genügend Nutzer die vor einer Alternative: Neuaufsetzen oder mit dem Backdoor leben, tatsächlich das zweite nehmen, solange das System noch halbwegs arbeitet.

@Rene-gad, ich stimme Shadow da sehr zu. Mein Mann war auch der Meinung: "ist doch egal, wenn einer auf meinen PC gucken kann, solange es mich nicht stört und er nichts kaputt macht."

Denke auch an die Newbies, die sich "format C" einfach nicht zutrauen, und es gibt sie.

@all,
irgendwie ist das tut aber im falschen Teil des Forums, oder sehe ich es jetzt verkehrt? vielleicht ist es ja auch noch nicht abschließend fertig und die Endfassung wird dann noch einmal gepostet?

ich gehe jetzt mal davon aus und stelle deshalb eine Frage, die ich mir seit einiger Zeit stelle.
Woran merken Banken, dass jemand mit NTOS.exe infiziert ist?
Einige wissen ja, dass ich immer mal Freeware-Fernwartungs-Tools (Bifrost, Poison Ivy) teste. Es kommt also vor, dass ich Online-Banking mache und ein Server läuft auf meinem PC. Mein Konto wurde bisher nicht gesperrt.
Die Server lassen sich selbstverständlich illegal nutzen, keine Frage. Aber nichts, keine Konto-Sperrung.
Ist vielleicht der Server, zu dem NTOS.exe die Daten sendet, überwacht und die Infizierten werden so ermittelt?
Ein PC-Check durch die Bank kann eigentlich nicht die Ursache für die Erkennung sein.

Sorry, wenn diese Frage zu sehr off-topic ist.

Zitat:

Einige wissen ja, dass ich immer mal Freeware-Fernwartungs-Tools (Bifrost, Poison Ivy) teste. Es kommt also vor, dass ich Online-Banking mache und ein Server läuft auf meinem PC. Mein Konto wurde bisher nicht gesperrt.

hinzu kommt, dass die ntos.exe in einigen Fällen überhaupt nicht mehr im Hijack auftaucht.

Die Anleitung ist dir wirklich gelungen und für den Dldr. wird sie auch funktionieren allerdings wird der Dateiname ntos.exe auch von anderer Maleware benutzt die aber volkommen anders arbeitet. Das ist ein echt fieses Ding. Habe den Artikel leider nicht mehr gefunden aber diesen Eintrag in der viruslist: Viruslist.com - Virus.Win32.Gpcode.ai

Und es werden bestimmt noch ein paar mehr Varianten hier vorbeischwirren

Cleriker, klasse geworden.

Vielleicht ergänzt Du noch: alle Passwörter ändern!

Danke Undo

Das ist ja mal eine ganz neue Variante mit dem Verschlüsseln.
Die Ursprungsdateien sind die gleichen und würden entfernt werden,
jedoch die Verschlüsslung bleibt.
Muss also unter Vorbehalt dieser Möglichkeit die Entschlüsslung von
Kaspersky hinzugezogen werden. Ich habe leider keine Möglichkeit
das aus zu probieren, aber werde es hinzu ziehen.

Edit: @Gua bitte nicht editieren, es folgt eine Modifizierung

danke nochmal :aplaus:

Zitat:

Zitat von Cleriker

Das ist ja mal eine ganz neue Variante mit dem Verschlüsseln.
Die Ursprungsdateien sind die gleichen und würden entfernt werden,
jedoch die Verschlüsslung bleibt.

das ist nicht wirklich neu, nur bei ntos.exe

es gab etwas ähnliches schon vor ungefähr 2 Jahren einmal.

Zitat:

Zitat von Heike

Woran merken Banken, dass jemand mit NTOS.exe infiziert ist?......

....Ist vielleicht der Server, zu dem NTOS.exe die Daten sendet, überwacht und die Infizierten werden so ermittelt?
Ein PC-Check durch die Bank kann eigentlich nicht die Ursache für die Erkennung sein.

Die Zielserver werden selbst geknackt und darauf abgelegte Daten abgerufen oder zumindest wird's versucht. Wenns nicht klappt werden sie stillgelegt.

alterschwede470

Da macht sich Cleriker so eine Mühe für die Anleitung und kriegt noch Nichtmal ein Dankeschön oder "Ordentliche Kritik" unmöglich was hier letzterzeit abgeht....Mfg Trojanerade