![]() |
|
Log-Analyse und Auswertung: Problem mit "ntos.exe"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() Problem mit "ntos.exe" Hallo Leute. Hab mich extra deswegen hier im Forum wegen diesem Problem angemeldet. Der avast Virenscanner hat lediglich einen Trojaner-Downloader namens Win32:Small-ECA gefunden.Dieser steht wie ich vermute im Zusammenhang mit der ntos.exe die im System 32 Ordner vorzufinden ist und die ich nicht löschen kann auch nicht im abgesicherten Modus. Hier das Hijack this Logfile: Logfile of HijackThis v1.97.7 Scan saved at 20:10:22, on 07.03.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\ZP\Eigene Dateien\Spywarekiller\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - O17 - HKLM\System\CCS\Services\Tcpip\..\{DE27C947-F301-4194-93E3-3F9A4E58AE80}: NameServer = 217.237.150.115 217.237.149.142 Dieser Eintrag mit userinit und ntos.exe kann nicht gefixt werden. Bedanke mich. Geändert von Deep Blue (07.03.2007 um 20:33 Uhr) |
![]() | #2 |
![]() ![]() ![]() ![]() | ![]() Problem mit "ntos.exe" Hallo und Willkommen,
__________________leider erstmal eine Rüge.... Bei Deiner Anmeldung hast du die NUB Akzeptiert. Da geht man von aus, das du sie auch gelesen hast! Editiere bitte alle persönlichen Links in Deinem LOG! Aus http = h**p zum beispiel! In welchem Zustand ist das LOG erstellt worden? Im Abgesicherte Modus? Wenn ja, bitte aus dem normalen Modus ein neues Posten! Läuft die besagte exe im Taskmanager? Lade sie mal bei Jotti oder Virustotal hoch und lasse sie scannen > habe nichts gutes über die Datei gefunden! Poste das komplette LOG! Und wo ist das SP2 bei Dir? Gruß Mellosun
__________________ |
![]() | #3 | |
![]() | ![]() Problem mit "ntos.exe"Zitat:
Das Logfile ist aus dem normalen Modus und die exe läuft nicht im Taskmanager und lief da glaub ich auch nie.Ich achte öfters da drauf wegen Viren und so weiter.Habs heute mal versucht bei Virustotal hochzuladen aber hat irgendwie nicht geklappt. Wäre nett wenn ihr mir sagen könntet wie ich dieses Ungeziefer so schnell wi möglich loswerde.Kommt aber bitte nicht mit System neu aufsetzen etc. dafür hab ich echt keine Zeit.Ich will aber trotzdem noch meinen PC benutzen wenns geht. PS:SP 2 hab ich nicht drauf weil es bei mir jedesmal zicken macht mit Anwendungen etc. |
![]() | #4 |
![]() ![]() ![]() ![]() | ![]() Problem mit "ntos.exe" Was hat nicht geklappt? Was für eine Meldung kam, als du es hochgeladen hast bzw. wolltest? |
![]() | #5 | |
![]() | ![]() Problem mit "ntos.exe"Zitat:
Und bei joppi krieg ich ne ähnliche Meldung:The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file (hab übrigens die Windows Firewall deaktiviert und sonst hab ich auch keine) Geändert von Deep Blue (07.03.2007 um 20:52 Uhr) |
![]() | #6 |
![]() ![]() ![]() ![]() | ![]() Problem mit "ntos.exe" OK, das sagt uns, das es nichts gutes ist! Mache folgendes: Kopiere besagte Datei aus dem System 32 Ordner auf einen Platz deiner Wahl ( Desktop ist wohl das einfachste ). Benenne die datei dann um.....z.b. in Virus.exe Versuche sie erneut Scannen zu lassen!
__________________ --> Problem mit "ntos.exe" |
![]() | #7 |
![]() | ![]() Problem mit "ntos.exe" Und hier der Inhalt der eScan_neu.txt nach ausführen von find.bat: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Thu Mar 08 05:47:33 2007 => Version 9.1.7 Thu Mar 08 00:08:17 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 00:08:44 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 00:20:57 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 01:26:48 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 05:35:55 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 05:42:39 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 05:47:36 2007 => Virus-Datenbank Datum: 3/7/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Mar 08 00:22:48 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. Thu Mar 08 00:22:49 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Thu Mar 08 00:22:48 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users\Desktop\internet.lnk Thu Mar 08 00:22:49 2007 => Offending file found: C:\Dokumente und Einstellungen\Deep Blue\Eigene Dateien\emulatoren\snk neo geo\nebula\roms\delete.me ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Thu Mar 08 00:22:43 2007 => Offending Key found: HKLM\Software\magnet !!! Thu Mar 08 00:22:43 2007 => Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Mar 08 01:26:48 2007 => Gefundene Viren: 607 Thu Mar 08 01:26:48 2007 => Anzahl Fehler: 112 Thu Mar 08 01:26:48 2007 => Dauer des Scans bisher: 01:04:21 Thu Mar 08 01:26:48 2007 => Gescannte Dateien: 80577 Thu Mar 08 00:21:57 2007 => Specherüberprüfung: Aktiviert Thu Mar 08 00:21:57 2007 => Registry Überprüfung: Aktiviert Thu Mar 08 00:21:57 2007 => System-Ordner Überprüfung: Deaktiviert Thu Mar 08 00:21:57 2007 => Überprüfung der Systembereiche: Deaktiviert Thu Mar 08 00:21:57 2007 => Überprüfung der Dienste: Aktiviert Thu Mar 08 00:21:57 2007 => Überprüfung der Festplatten: Deaktiviert Thu Mar 08 00:21:57 2007 => Überprüfung aller Festplatten :Aktiviert PS:Hab jetzt mal die ntos.exe entfernt durch die Killbox und ich konnte auch so den Eintrag bei Hijack this fixen.Ich weiss jetzt aber nicht ob ich noch diese sptd.sys killen soll. Und natürlich bleibt da noch der Wurm... Geändert von Deep Blue (08.03.2007 um 08:09 Uhr) |
![]() | #8 |
![]() ![]() ![]() ![]() | ![]() Problem mit "ntos.exe" Hallo, soso...der Student der an schwerem Zeitmangel leidet und surft wie ein Weltmeister,dabei so ziemlich jeden "Blinki" klickt,der ohne SP unterwegs ist und auf stolze 607 Viren kommt.... ...dieser Student möchte also nicht neu aufsetzen ? Vergiss es.... Irrlicht |
![]() | #9 | |
![]() | ![]() Problem mit "ntos.exe"Zitat:
![]() Ja weil ich Zeitmangel hab bin ich auch schon wach und muss auch gleich lernen wenn du es genau wissen willst.Surft wie ein weltmeister...na ja wo du das her hast keine Ahnung.Aber es stimmt ich bin oft im Net weil ich es auch sein muss.(wie gesagt Student).Und dabei stört mich der Virus.Und wegen dem Neuaufsetzen das ist 1.meine Sache ob ich es mache(und ob ich mich jetzt damit rumschlagen möchte) und 2.brauch ich deswegen kein Thema hier im Board zu eröffnen denn das kann ich auch ohne Hilfe. PS: Die 607 Viren wie du sagst gehen von einem einzigen Trojaner aus. |
![]() | #10 | ||||
![]() ![]() ![]() ![]() | ![]() Problem mit "ntos.exe" Hallo, guggst du hier :Recently emerging trojan ntos.exe - Wilders Security Forums Zitat:
![]() "Ezula" und "lop" gibt es in aller Regel als "Beigaben " beim Filesharing.. ...und was du beim "Software klauen" studierst,möchte ich eher nicht wissen... ![]() Zitat:
Wenn deine Analysefähigkeiten so gut,wärst du dann hier ? ![]() Zitat:
Könntest du das wirklich,hättest du SP2 drauf und eben keinen Ärger.. ![]() Zitat:
Btw. Deine "Sammlung" hat einen Nachteil.Diese Störenfriede versammeln sich so gerne.Da wo einer ist,zieht es auch die anderen hin.Das wird soweit gehen,das deine Kiste derart langsam wird,das du am Ende schneller in einem Buch nachgelesen hast als am Compi eine "Wikipediaseite" aufgemacht hast. Irrlicht |
![]() | #11 |
| ![]() Problem mit "ntos.exe" hi! ich hab mich mal schnell angemeldet und hoff das ich wegen der ntos.exe ein wenig behilflich sein kann.. ich hab zunächst mit der windows xp cd die wiederherstellungskonsole gestartet und von der aus die ntos.exe gelöscht.. wenn man jetzt windows startet und in den ordner system32 geht, funzt die ntos.exe nicht mehr und man kann sie wunderbar löschen, genauso kann man aus der registierung den eintrag bei der userinit jetzt rauslöschen ohne das sofort wieder irgendein gedöns vonwegen /system32/ntos.exe reingeschrieben wird... das wars mit der ntos.exe :-) |
![]() | #12 |
| ![]() Problem mit "ntos.exe" Auch ich möchte wie BEN1207 zu "ntos.exe" helfen, nachdem ich zwei Tage gekämpft habe. Ich wähle diesen Eintrag, weil "ntos.exe" das Problem nach meiner Meinung am besten trifft. Dieser backdoor-trojaner ist vermutlich unter verschiedenen Namen unterwegs, für meinen Fall exakt beschrieben ist er bei Sophos als "Troj/Dloadr-AWJ". Nach meiner Erfahrung ist der von BEN1207 sehr kurz beschriebene Weg tatsächlich der einzige, der momentan funktioniert (das Starten des Rechners über eine externe CD mit enthaltenem Betriebssystem und die Kommandozeilen-Eingabe), was bei BEN1207 einfach klingt, es ist aber nicht ist. Auf dem gleichen Weg müssen ggf. auch noch ein paar andere Dateien gelöscht werden (bei mir die bei Sophos beschriebene audio.dll und video.dll einschließlich des übergeorneten Ordners wsmpoem). Das Löschen auf Kommendozeilen-Ebene für Dateien und Ordner sind unterschiedliche Befehle. Ich kann das nur für Leute empfehlen, die sich gut einigermaßen gut auskennen. Daß man das (wenn man wie ich die Sophos-Software nicht hat und auch nicht gerade online kaufen will, wenn der Rechner bei diesem Stand noch infiziert ist) im wiederholtem Ablauf mit "hijack-Fixing, SpyBot und Ad-Aware" (andere gibt es auch, ich mache keine Werbung, auch nicht für Sophos) vielfach prüfen und alles angezeigte mehrfach fixen/löschen muß, ist Voraussetzung. Es ist eben ein Trojaner-Loader, der vieles bei jedem Neustart nachlädt. Teils auch zwischendurch, sofern eine nutzbare Internet-Verbindung besteht. Ih schreibe das, weil ich damit schwere Probleme hatte. Die Malware wird zwar von fast allen Schutzprogrammen erkannt, kann aber nicht beseitigt werden kann (noch nicht, das hoffe ich wenigstens.). Der Weg von BEN1207 ist der richtige Ansatz, aber meines Erachtens nicht vollständig. Meine Erkenntnis beruht nur auf "ntos.exe" im Zusammenhang mit entsprechenden Meldungen der "üblichen Programme" mit dem tTroj/Dloadr-AWJ. Ich hoffe, der Eintrag hilft irgendwie. Chaothomas |
![]() | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Problem mit "ntos.exe" Sorry, dass ich mich hier nochmal mit einmische, aber ein aktueller Thread über die ntos.exe hat mich hier hin geführt. ![]() Der TO hier führt sich hier auf wie ein kleines Kind, das sich und dem Computer die "Augen" zuhält, und meint deswegen wäre nichts mehr zu sehen. ![]()
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #14 |
![]() ![]() | ![]() Problem mit "ntos.exe" Der Thread ist zwar schon etwas älter, aber denoch werde ich hier mal was sagen: Dies ist der "geilste" Thread, den ich im Internet gelesen habe ![]() |
![]() |
Themen zu Problem mit "ntos.exe" |
adobe, avast, avast!, bho, dateien, einstellungen, explorer, hijack, hijack this, hijackthis, internet, internet explorer, logfile, löschen, microsoft, object, ordner, problem, programme, rundll, scan, shockwave, software, system, system 32, userinit.exe, windows, windows xp |