nfos.exe, audio.dll, video.dll
 

Hallo,

habe schon mehrer Themen über diesen Trojaner hier gesehen, aber so ganz weiss ich leider noch nicht, wie ich den wieder weg bekomme.

Es geht umd die Dateien nfos.exe, audio.dll, video.dll.
Außerdem kann ich den Ordner, wo die video.dll u. audio.dll drin sein sollen im System32 auch nicht finden, obwohl ich bei den Ordnereinstellungen eingestellt habe, dass unsichtbare Objekte und Systemordner auch angezeigt werden sollen.

Kann mir vielleicht jemand Schritt für Schritt genau erklären wie ich den Trojaner nun wieder loswerde ?

Hier mein Log :

Ach ja, der Hammer bei der ganzen Geschichte ist :

Diese drei besagten Dateien sind alle nicht in meinem System zu finden, aber dennoch schlagen sämtliche virenscanner etc. Alarm :(

Bin echt Ratlos, hab ja hier schon viele Infos gesammelt über diesen Trojaner, aber hilft ja alles nichts, wenn die Datei nicht aufzuspüren ist.

:balla:

Hi,

da kommt der Verdacht noch einem Rootkit auf...
Wobei anscheinnd auch BlackLight das Ding nicht findet!
Folge bitte den Thread hier:
PC Hilfe - Forum - User helfen User | Virus - Trojaner - und Hoax - Board | TR/Drop.Agent.stn - HILFE!
Und berichte dann, ob es funktioniert hat!
Chris

Hallo ihr zwei,

ich würde gern Blitz-Illu noch was machen lassen.

LADS für Alternate Data Streams

* Lade das Programm von hier.
* Entpacke es mittels eines Zip Tools -> 7 Zip

Wähle als Ziel für das entpacken den Pfad c:\
Unter c:\ liegen jetzt die Dateien lads.exe und Lads_ReadMe.txt

* klicke auf Start / ausführen
* tippe ein cmd drücke [Enter]
* tippe ein cd c:\
* tippe ein lads /s >lads.txt
* sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst [enter]
* nun gehst Du mittels des Explorers [ Windows Taste + E] zu dem Laufwerk c: und öffnest die Datei lads.txt
* deren Inhalt postest Du in den Thread
----------------------------------------
Fehlermeldungen

• Falls beim ausführen von lads die Nachricht "Der Befehl "lads" ist entweder falsch geschrieben oder konnte nicht gefunden werden" kommt, liegt die Datei nicht unter c:\. Kopiere sie in dem Fall dorthin

• Falls die Datei zu groß ist um sie im Forum zu posten, nutze einen Upload Dienst *Klick* und poste den Link ins Forum

Bata

Hey,

das wäre interessant...
Bin gespannt was rauskommt...

Chris

So, also habe das mit mit dem "lads" mal gemacht, hier das Resultat :

@ Chris4You :

Danke für den link, aber leider klappt dies bei mir auch nicht :(
Es scheitert schon bei HiJackThis, ich lösche den einen Eintrag und scane wieder und er ist wieder da.

Außerdem hat des mit der Bat auch nicht geklappt, erst sagt er mir er kann die Dateien nicht finden und beim löschen sagt er dann, die können nicht gelöscht werden weil sie von nem anderen Prozess genutzt werden.

Danach hab ich den Online Scan gemacht und de rhat nichts gefunden.

Dann hab ich die Temp Ordner etc. geleert usw. usw.

Aber der Eintrag ist immer noch bei HiJackThis und auch AdAware findet diese Dateien immernoch.

Langsam weiss ich echt nimmer wieter :(

Geh bitte wie folgt vor:

* klicke auf Start / ausführen
* tippe ein cmd drücke [Enter]
* tippe ein "more < C:\Dokume~1\Ilona\:zylomtr{000HQ7FF-AD7A-3FG3-LM58-24TAN8K5GVVM} > fuerstb.txt"
* sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst [Enter]
* nun gehst Du mittels des Explorers [ Windows Taste + E] zu dem Ordner C:\Dokumente und Einstellungen\Ilona und öffnest die Datei fuerstb.txt
* deren Inhalt postest Du in den Thread

Mal sehen was der so meint.

Bata

Also dann kommt immer :

more < C:\Dokume~1\Ilona\:zylomtr{000HQ7FF-AD7A-3FG3-LM58-24TAN8K5GVVM} > fuerstb.txt

Aber dieses Zylom, das ist der Hersteller von Spielen die ich manchmal online bei Lycos spiele.

Komisch sollte so gehen *am kopf kratz*?
Musst nach der Eingabe der Zeile noch Enter drücken das hab ich vergessen zu schreiben, nach ca 1sek sollte der Cursor auch wieder da sein.

Kennst Du das Spiel "Birds on a Wire"? Das Du Zylom spielst sehe ich im HJT Log, auch das Dir mal ein Java Update fehlt, das aber nur nebenbei bemerkt.

Ich hab mir derweil diese Infektion auch mal geholt, durch einen Crack für ein in Deutschland verbotenes DVD Programm :rolleyes:

Blacklight beißt sich da die Zähne aus (daher) kamen die .ren files *g*
LADS, Icesword auch nicht.

Mit Gmer findet man sie, kann aber nicht alle löschen, dazu muss man mit dem Process Explorer im Prozess Winlogon die Handles video.dll und audio.dll löschen.

Alles in allem kann ich Dir hier nur zu einem Neuaufsetzen raten, konnte die Datei leider nicht scannen, ist aber wohl der hier oder der.

Was meinen Chris und vorallem Du Blitz-Illu dazu?

Bata

@ Bata,

Natürlich habe ich auch Enter nach der EIngabe gedrückt ^^
Aber dann kam halt die besagte Meldung.

Also ich meine, es ist der Troj/Dloadr-AWJ.
Denn den hab ich gefunden als ich die ntos.exe gegoogled hab.

Das komische bei mir allerdings ist, ich habe schon alles versucht,
mit dem Process Explorer im Prozess Winlogon die Handles nfos.exe, video.dll und audio.dll löschen und danach ne .bat ausführen mit :

@ECHO OFF
attrib -s -r -h C:\WINDOWS\System32\wsnpoem\audio.dll
attrib -s -r -h C:\WINDOWS\System32\wsnpoem\ video.dll
attrib -s -r -h C:\WINDOWS\System32\wsnpoem
attrib -s -r -h C:\WINDOWS\rjx.exe
attrib -s -r -h C:\WINDOWS\System32\ntos.exe
del C:\WINDOWS\System32\wsnpoem\audio.dll
del C:\WINDOWS\System32\wsnpoem\ video.dll
rd /s /q C:\WINDOWS\System32\wsnpoem
del C:\WINDOWS\System32\ntos.exe

... funktioniert weder normal, noch im abgesichtertem Modus.
Erst sagt, er kann die Dateien nicht finden und dann sagt er, er kann sie nicht löschen.

Habe mit allen möglichen viren und Male/spyware scannern gescannt, manche finden ihn gar nicht, andere können nicht drauf zugreifen.

Genauso wenig hat die Trojanerbekämpfung via Sophos Notfall CD was gebracht
(wie dort auf der Page beschrieben).

Und wenn ich in die angegebenen Ordner schaue, wo die Dateien liegen sollen, auch nach Systemordner und versteckte Dateien anzeiegen, ist nichts zu finden.

Genauso komisch ist, dass der Virus sich angeblich in 3 Regestryeinträge schleicht,
bei mir aber nur in einem vorhanden ist. (weleche auch im HiJackThis Log steht)

Mit HiJackThis lässt sich auch nichts machen, der Eintrag kommt immer direkt sofort wieder.

Bei allen anderen wo ich gelesen haben, das sie diesen Virus haben, waren die Dateien aber da, wo sie hingehören.

Nun steh ich also da mit nem imaginärem Virus :balla:

Joa, hab also schon tausende von Sachen versucht, aber nichts hilft.

Das schlimme ist, ich weiss nicht wo ich mir den eingefangen haben könnte,
also leider auch nicht was ich nach ner evtl. Formatierung vermeiden muss.

Hi,

gaaanz langsam:
Also die Datei:"C:\WINDOWS\System32\ntos.exe"
ist zu finden?

Die Dateien:
C:\WINDOWS\System32\wsnpoem\audio.dll
C:\WINDOWS\System32\wsnpoem\video.dll
Sind auch da? Welcher Scanner findet Sie?

Hast Du eine Notfall CD von der Du ein Windows booten kannst?
Wenn nein, hast Du eine XP-Installations-CD bzw. Recovery-CD?
Wenn ja, basteln wir uns eine Notfall-CD hiermit:
http://www.ubcd4win.com/
Installiere ubcd4win, lege die XP-CD ein (Recovery oder Installations-CD),
folge den Anweisungen von ubcd, es wird eine ISO-Datei erstellt, die Du mit z.B. Nero brennen kannst.
Von dieser CD bootest Du dann. Es stehen verschiedene Scanner etc. zur Verfügung (daher die Frage welcher Scanner sie findet).
Du kannst dann auch mit dem Explorer auf die HDD zugreifen, die Dateien suchen und löschen, ein Remoteregistery-Editor ist auch dabei, wo Du den Reg.-Schlüssel entfernen kannst.

Da ich mittlerweile davon ausgehe, dass wir einem neuen Rootkit gegenüberstehen, dürfte das die einzigste Möglichkeit sein es zu finden und zu "eleminieren". Der Unterschied besteht darin, dass von CD gebootet wird und daher das verseuchte Windows (der Rootkit) nicht läuft und "wehrlos" auf der Platte rumliegt. Sicherheitshalber die CD auf einem "sauberen" Rechner erstellen.

Kannst Du uns noch ein Silentrunner-Log machen? Entweder ntos.exe oder ein noch nicht gefundener Rootkittreiber muss noch irgendwo "rumhängen"...
SilentRunner:
Loadingpoints von Programmen.
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde,
bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

(Ich haue gleich die Tastatur in die Tonne, das "e" geht nur bei 5x drücken...Grrr)...

Chris

Chris, Blitz-Illu

Ich konnte den Schädling nur wiefolgt löschen.

1. Process Explorer starten, unter dem Prozess Winlogon finden sich die drei Handles ntos.exe, wsnpoem\audio.dll und wsnpoem\video.dll.
2. Diese mit dem PE beenden
3. Nun mit gmer einen Rootkit Scan nach Files machen lassen. Gmer findet die Infektion und kann sie dann auch löschen.
--------------------

Den Ordner c:\windows\system32\wsnpoem sehe ich in keinem Fall unter Windows. Über die cmd kann ich ihn allerdings nach löschen der besagten Prozesse anspringen und auch löschen.

Es ist definitiv ein Rootkit! Downloader ist ja nur ein Oberbegriff für Software die Daher solltest Du den Rechner wirklich lieber frisch machen.

Alle Threads die es bisher zu dem Thema gib gehen mehr oder weniger direkt in diese Reichtung.

@Chris Es gibt Registry Einträge, aber nur für die ntos.exe. Die beiden anderen werden wohl von dieser Datei nachgeladen. Aber selbst wenn ich diese Datei lösche, werden die noch geladen. :confused:

Edit: Update: Hab mir den kleinen beim ansurfern einer CrackSeite mit dem IE eingefangen :)

Bata

Hm,

dann hängen sie sich direkt z. B. in den Explorer rein (Handle/Hooks umgebogen);
Zeigt gmer diesbezüglich was an?

chris

Nope, gmer zeigt dahingehend nichts an.
Ein vollständiges Log findest Du hier.

Bata

Ich hab's geschafft *freu* :daumenhoc

Bei mir ist alles wieder wie es sein soll.
Danke euch allen und besonder Baka, weil er rausgefunden hat, wie man die Dateien weg bekommt.

Auch der Regestry Eintrag ist jetzt weg.

Also ich habe folgenes gemacht :

1. Process Explorer, Handles geschlossen
2. Mit gmer einen Rootkit Scan gemacht und die Dateien gelöscht
3. Mit HiJackThis gescant und den Eintrag mit der ntos.exe gelöscht
4. Direkt nochmal gescant (Eintrag kam diesmal nicht wieder !)
5. Neustart gemacht und nochmal geschaut ob wirklich alles weg ist

Und siehe da, alles wieder schön sauber :aplaus:

Meint ihr, eine Formatieren ist dennoch nötig ?

Hier also mein neuer Scan zur eigenen Überzeugung :
Fällt euch hier noch was auf ?

Vielen Dank und liebe Grüße,
Ilona

Ich denke es wäre die sauberste Methode. Auch wenn ich auf meinem System keine weiteren Veränderungen feststellen konnte, habe ich noch keine Ahnung, was das Ding eingentlich so macht.
Aber es bleibt Deine Entscheidung. Wenn der Rechner so bleibt gönne ihm ein Java Update und beachte folgendes.

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera
Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden.
Eine Alternative zu Outlook ist zb Thunderbird.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Vorsichtig bleiben. Lade keine Software von dir komplett unbekannten Seiten (zb goldencodecs.com, morefreesoftware.com etc namen ausgedacht, kein zusammenhang mit evtl real existierenden Seiten) und benutze kein p2p um an Software (oder sonst was) zu kommen. Bist du unsicher, ob das geladene Programm sauber ist, dann lade den Installer zb bei virustotal hoch und lass ihn dort überprüfen.
Die meisten Crack/Keylogger/Entsprechende Seiten nehmen im Hintergrund Änderungen am System vor, beinflussen es, oder Installieren Schadsoftware

Keine unbekannten Dateien annehmen und öffnen, weder per Mail noch per MSN/ICQ/Instant Messenger. Auch von Freunden unverlangt erhaltene Dateien immer kritisch nachragen.

Wenn eine Seite dubios aussieht und versucht Dateien auf deinem Rechner zu installieren (sei es zum Video abspielen oder sonstwas), dann vertrau deinem Gefühl und verschwinde.

Hier findest Du aktuelle Sicherheitsmeldungen.

Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.


Bata

Hi,

Ich bin neu hier und habe aber GENAU das gleiche Problem.
ich habe mir zwar schon alles durchgelesen, aber ich kenne mich mit sowas nicht so aus.

Allerdings möchte ich dazu sagen das mein hijackthis 1x sagt der eintrag sei ungefährlich wenn hinter dem "," nichts steht.
Das andere mal sagt er super gefährlich fixen.
Also ich würde es schon sehr gerne loswerden!

Blitz-Illu hat zwar beschrieben , seine Schritte wie man alles in Griff bekommt aber ich kann da einfach nicht folgen , zb weiss ich nichtmal was handles sind *g*.
Also es wäre SUPER wenn mir irgendeiner das so genau erklärt mit denen 2 programmen das auch ich das fixen kann !!

Danke im vorraus!

okay habe es nach rumprobieren hinbekommen wie man es macht.

Habe wirklich jeden schritt von Blitz-Illu verfolgt.

1.Ich schließe alle 3 handles mit PE
2.lösche danach die files mit Gmer
3.scanne hijackthis fix den eintrag, aber er will nicht weg bei mir kommt immer wieder =(

jemand ne idee

Hi Leute,

das Problem hatten wir jetzt ein paar mal in
letzter Zeit.

Die ntos.exe ist im Regelfall dieser Trojaner -> Troj/Dloadr-AWJ
In der Bedrohungsanalyse stehen zwar bloß
Fakten drinne, die mit einer Bereinigung möglich
wären, jedoch ist inzwischen geklärrt, dass dieser
Schädling Rootkiteigenschaften mit sich trägt.
Die ständigen Probleme von Blitz-Illu deuten darauf
hin, dass er zudem aktiv war. Deshalb kann ich
hier nur ein NeuAufsetzen des Systems empfehlen.
* System neu aufsetzen mit anschließender Absicherung

mfg Cleriker

Hi,

ich würde einen letzten Versuch mit Combofix starten (mit dem habe ich gute Erfahrungen gemacht):
Combofix

Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Wenn es nur darum geht, die entsprechenden Dateien zu loeschen, sollte man sdfix nehmen. Anleitung dazu findest du u.a. hier:
http://forum.hijackthis.de/showpost.php?p=120725&postcount=4

Das loest aber nicht deine Probleme wegen evtl. Passwortklau usw.

Habs gelöscht bekommen.

Danke

Moin Junx,
... bin, auf der Suche nach Hilfe, über Google auf diesen Thread gestoßen. Nachdem ich jetzt bereits zum 2ten Mal bei meiner Bank und bei Ebay wegen Fishing gesperrt wurde, hab ich dann doch mal überprüft, warum Adaware mir zwar immer gemeldet hat, dass es etwas gefunden hat, aber die Meldung, dass es die besagten audio.dll und video.dll Files nicht löschen kann "ernst" genommen habe (dachte das wären irgendwie systemwichtige Dateien)

Natürlich hab ich dann auch die besagte ntos.exe gefunden :(

Nun bin ich vorgegangen, wie von Euch empfohlen .... also erstmal Process Explorer, gmer und HighJackthis besorgt, dann die 3 im PE Prozesse gestoppt, anschl. einen gmer-Scan durchgeführt, der allerdings bei meinem Rechner darin endete, dass der Rechner einfach neu startete (2x) ... bei meiner Tochter (die das Drecksteil auch hat) hab ich auf ok gedrückt ... und anschl. bei beiden Rechnern den Highjacker benutzt um die ntos.exe zu löschen .... aber jedesmal, wenn ich das mache (Fix checked??) und anschl. nochmal scane, ist der ntos.exe wieder da *grrr*

Bin echt am verzweifeln, da ich eine Formatierung und neu Installierung wirklich vermeiden will ... da stecken Tage an Arbeit drin (bin da nicht so der Pfiffige ;)

Könnt Ihr mir helfen? ... ich gehe davon aus, dass ich irgendwo einen "Anfängerfehler" drin habe.

Gruß
Ralf

Hi,

wie von Raman empfohlen bitte sdfix auführen (Anleitung steht unten von Raman)...

Chris