|
Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! Hi ihr, wie vielen andere hier schon geschrieben haben wurde mir ebenfalls von meiner Bank gesagt das ich den WSNPoem Trojaner habe! Ich habe mir hier viele Beiträge durchgelesen und dieses MCAfee Root Kit laufen lassen und habe dann zwei Dateien angezeigt bekommen 1.ntos --> die habe ich gelöscht nach restart 2. WNSPoem und die gab es irgendwie nicht in dem angegebenen Ordner System32, jedoch hat mein Virenscan Antivir paar Sachen gefunden und mich dann aufmerksam gemacht, wie WNS Trojaner und Trojaner in Temp die ich in Quarantäne verschoben habe und dann gelöscht. Da ich ein absoluter Laie bin, weiss ich nicht wie sicher das jetzt ist. Ich habe vor dem McAfee wie ihr immer wollt, dieses Hijacklog gemacht und nachdem ich es gelöscht habe und Antivir eingegriffen habe nochmal. Ich würde euch gerne eben beide vorlegen und auf eure Antworten waren wie sicher es ist oder welche Dateien da drin stehen die gefährlich sind oder was ich noch tun soll? Ist der WNSPoem weg? Kann man das raus lesen? Wie gesagt einmal hat Antivir danach reagiert noch. Das ist vor dem was ich alles gemacht hab, also Hijack 1 Scan saved at 11:24:29, on 05.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\Stefan\LOKALE~1\Temp\~AceTemp\McafeeRootkitDetective[1]\Rootkit_Detective.exe C:\Programme\HijackThis-tester\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\RunServices: [winlog] winlog.exe O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8 O17 - HKLM\System\CS2\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 4985 bytes und das nach den sachen (mcafee etc) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:04:26, on 05.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis-tester\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\RunServices: [winlog] winlog.exe O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8 O17 - HKLM\System\CS2\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 4496 bytes hoffe ihr könnt mir helfen lg Stefan |
Hallo, das hier kann dein Feind :Troj/Dloadr-AWQ - Trojaner - Sophos Bedrohungsanalyse Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich... Leider ist es kein Besandteil mehr ,wenn er sich an Stellen wie dieser zeigt : Zitat:
Nach deinen Versuchen zu putzen und zu reinigen ,hast du ihn nun dorthin gejagt : Zitat:
Da in deiner Kiste noch andere "böse und böseste Buben ihr abscheuchliches Unwesen treiben,kann dir nur geraten werden ,dich hier umzusehen :http://www.trojaner-board.de/anleitungen-faqs-links/ Dort solltest du den Thread zum "Neuaufsetzen des Systems und der anschließenden Absicherung" größte Beachtung schenken !!! Auch wären allgemeine Informationsdefizite zu beseitigen..... Insbesondere deine "ich klick und installier alles was bunt ist" Mentalität bedarf der gründlichen Überarbeitung. Du wirst sonst ganz schnell wieder mit einer so versauten Kiste konfrontiert werden.... Lese deshalb besser hier und versuche umzusetzen was dort angeraten wird :SIDES - Computersicherheit für Privatanwender : Checkliste Irrlicht |
Zitat:
so danke für die antwort, das system ist neu aufgezogen, kannst du oder jemand anders mal bitte drüber schauen ob alles soweit ok ist bevor ich alles weiter mache und sichere wie im artikel steht und ist jetzt schon nicht sicher: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8 O17 - HKLM\System\CS2\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- lg danke |
Fürs Protokoll: Bitte um Hilfe! Ebenfalls WSNPOEM Trojaner wie viele! Zitat:
Außerdem handelt es sich hier um multiple Infektionen Zitat:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe kommt nicht von dem Dloadr-AWQ! @ sunmande: Wie hat Dir Deine Bank das gesagt und welche? Per Telefon, eMail, Brief. |
hab angrufen, weil ich probleme hatte und er hat in die datenbank geschaut und mir den namen gesagt! ist mein system jetzt sauber? nach neuaufziehen? siehe logfile unten? |
Hallo, nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach. Datei Commander 8.3 öffnen. Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen, Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen. *grins* Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie. Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann. Danach Rechner runterfahren und neu starten. Mehr nicht, das Einfache liegt so nah. Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen. Viele Grüße Ntos.exe sitzt unter Windows-system32 als exe Datei. Im Register wird er beim hochfahren aktiv und hängt im Speicher. Die <System>\wsnpoem\audio.dll <System>\wsnpoem\video.dll sind keine DLL Dateien sondern sie registrieren die Passwörter und Zugänge. Selbst wenn du die Datei löschen könntest, es würde nicht helfen, beim runterfahren schreibt er sie zurück. Du kannst aber im Process Explorer das Programm schließen, es lädt NICHT nach, nur die beiden wsnpoem Dateien sind weiter aktiv. Nachdem die Datei im Win/system32 umbenannt ist, ist Schluss, er findet sie nicht mehr. |
Habe es wie beschrieben versucht, aber beim umbennen schreibt er: Quellpfad existiert nicht! |
Du musst mit Backflash schreiben, nicht wie ich es getan habe. Ansonsten kopiere den Pfad aus dem Process Explorer rüber, wegen der Schreibfehler. |
Die ntos.exe residiert nur zu einem Zweck im Arbeitspeicher, damit sie sich beim herunterfahren den Rechners erneut in das Verzeichnis eintragen kann bzw überschreiben kann, falls ein Virenscanner sie aufgespürt hat. |
Hallo @spilot hast du das System neu installiert? Wenn ja, sollte die Datei auch nicht mehr zu finden sein:rolleyes: @Frank62 was machst du mit den restlich versteckt laufenden Dateien? MFG |
Zitat:
V.G. |
Im Übrigen ist die von mir umbenannte ntos.exe sichtbar geworden. V.G. |
Zitat:
V.G. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board