schönen guten tag -

jahrelang hatte ich keine probs, aber nun habe ich mir wohl eine grippe eingefangen...

ntos.exe wurde von AV als virus klassifiziert.

habe die befürchtung, durch querlesen, dass ich mein system platt machen darf - oder fällt euch noch was anderes ein?

mfg sparvar

Hallo sparvar

Wenn Du Glück hast, handelt es sich um einen Fehlalarm, wenn nicht, wäre es sinnvoll, daß Du uns den genauen Pfad postest, wo der Virus gefunden wurde.

Ansonsten der altbewährte Rat, ein HJT-Log zu posten und zur Begutachtung hier rein zu kopieren. Persönliche Namen und Pfade bitte anonymisieren. (Durch aussternen ** )

Mache bitte vorher alles Systemdateien sichtbar, falls noch nicht geschehen:

Versteckte- und Systemdateien finden - Windows

Gruß

Zitat:

Zitat von Peking-Ente1

Hallo sparvar

Wenn Du Glück hast, handelt es sich um einen Fehlalarm, wenn nicht, wäre es sinnvoll, daß Du uns den genauen Pfad postest, wo der Virus gefunden wurde.

der pfad war : C:\WINDOWS\system32\ntos.exe

- aber so wie es scheint habe ich ihn inzwischen wegbekommen, schaue nur nach ob es sich in der zwischenzeit irgendwas anderes breit gemacht hat.
Fehlermeldung kann ich ausschliesen, da sowohl antivir, sophos & kaspersky
angeschlagen haben.
aber durch abgesicherten modus & x-mal neustarten & kaspersky is er nun wech (hoffe ich)

Zitat:

Ansonsten der altbewährte Rat, ein HJT-Log zu posten und zur Begutachtung hier rein zu kopieren. Persönliche Namen und Pfade bitte anonymisieren. (Durch aussternen ** )

siehe unten

Zitat:

Mache bitte vorher alles Systemdateien sichtbar, falls noch nicht geschehen:
Versteckte- und Systemdateien finden - Windows

habe ich immer - bin ja neugierig (sollte man als dip-inf student ja auch sein )




so hier mein der log :

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:41:17, on 25.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme2\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme2\Razer\razerhid.exe
C:\Programme2\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme2\D-Tools\daemon.exe
C:\Programme2\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme2\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme2\Razer\razertra.exe
C:\Programme2\GetRight\getright.exe
C:\Programme2\Razer\razerofa.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme2\ATI Technologies\ATI.ACE\cli.exe
C:\Programme2\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme2\WinRAR\WinRAR.exe
C:\DOKUME~1\********\LOKALE~1\Temp\Rar$EX00.860\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme2\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~3\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme2\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [razer] C:\Programme2\Razer\razerhid.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme2\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme2\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme2\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme2\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme2\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme2\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~3\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Namo SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme2\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme2\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme2\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme2\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~3\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O15 - Trusted Zone: http://www.*********.de
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138264667078
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme2\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
         

mfg

Hallo sparvar

Hm, Du hast schon vor HJT-Logerstellung was gelöscht?

Nicht so gut, denn das kann die Auswertung erschweren. Ich bin keine Expertin, bei der automatischen Auswertung wurden folgende Einträge angemeckert:

O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing) sowie

O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)

Wenn Du allerdings vorher etwas gelöscht hast, kann es sein, daß nun eine Prüfung bei VirusTotal nicht mehr hinhaut, (w/file missing).

Eine andere Sache ist noch diese hier, ist Dir das bekannt?

- Extra context menu item: Namo SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm

Dann ist mir noch aufgefallen, daß Deine Java-Version veraltet ist.

C:\Programme2\Java\jre1.5.0_11\bin\jusched.exe, solltest Du updaten. Mehr kann ich momentan nicht rauslesen, da müssen die Experten ran, auch in bezug auf die beiden fraglichen Dateien, weil ich bezweifle, ob Du ein Ergebnis bei VirusTotal angezeigt bekommst.

Gruß

Hallo,
da war offenbar Haxdoor am Werk, ein Backdoor-Trojaner:

Zitat:

Zitat von sparvar

O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)

In diesem Fall wird hier im Board ein Neuaufsetzen des Rechners empfohlen, siehe Anleitung in den FAQ.

jap - auch rausgefunden - hatte ich ja eh shcon mit gerechnet-
naja dann freu ich mich mal auf morgen *juhu*