Hallo zusammen!

Eins gleich vorneweg:
Ich habe vorher in diesem Forum gesucht, aber nichts gefunden, was offenbar zu meinem Thema passt. Mein Problem ist folgendes:

Programme starten nicht mehr, wenn ich sie normal öffnen möchte. Möchte ich z.B. eine Verknüpfung starten, dann passiert gar nichts. Bei Word startet das Programm zwar, aber sobald ich eine Datei öffnen will, beendet es sich wieder. Meine einzige Möglichkeit ist die, über den Task Manager ein Programm als "Neuen Task" zu starten. Dann klappt alles ganz wunderbar. Es schaut ja so aus - zumindest wenn ich die alten Threads anschaue - dass dafür ein Wurm verantwortlich ist. Allerdings wird auch gesagt (auf der Sophos-Seite) dass dieser Wurm erkannt wird. Ich hab allerdings eben dieses Sophos-AV und er findet bei einem kompletten Systemscan überhaupt nichts.
Bevor ich jetzt den Weg gehe, meine HD platt zu machen und ein Backup einzuspielen, wollte ich mal fragen, ob es sich wirklich um einen Wurm oder was auch immer handelt, den man nicht mehr wirklich weg bekommt. Hier also mein HJT-Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 12:06:02, on 04.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\o2flash.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
F:\Programme\Notebook Hardware Control\nhc.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
F:\Programme\Acronis TrueImage 10\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\taskswitch.exe
F:\Programme\cherry\KeyMan\KeyMan.exe
F:\Programme\daemon\daemon.exe
C:\WINDOWS\system32\dpmw32.exe
C:\WINDOWS\system32\NWTRAY.EXE
F:\Programme\quicktime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
F:\Programme\cherry\CDI\cdi.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\Program Files\iPod\bin\iPodService.exe
F:\Programme\pdf24\PDF24Updater.exe
F:\Programme\Acronis TrueImage 10\TimounterMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\NCLAUNCH.EXe
F:\Programme\Active Desktop Calendar\ADC.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
F:\Programme\Scanner\ScannerFinder.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wscntfy.exe
F:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Peter Drechsel\Desktop\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NotebookHardwareControl] "F:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [TrueImageMonitor.exe] F:\Programme\Acronis TrueImage 10\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CherryKeyMan] "F:\Programme\cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\daemon\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\system32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "F:\Programme\aldifoto\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [FAUSAVAddAdmin] C:\Program Files\Sophos\addadmin-SophosAntiVirus.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [nwdqvpn] c:\windows\system32\nwdqvpn.exe nwdqvpn
O4 - HKLM\..\Run: [PDFPrint] "F:\Programme\pdf24\PDF24Updater.exe"
O4 - HKLM\..\Run: [AcronisTimounterMonitor] F:\Programme\Acronis TrueImage 10\TimounterMonitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Active Desktop Calendar] F:\Programme\Active Desktop Calendar\ADC.exe
O4 - Startup: Online Banker Zahlungserinnerung.lnk = F:\Programme\Online Banker\Zahlungserinnerung.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Scanner Finder.lnk = F:\Programme\Scanner\ScannerFinder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Send to Keyman - F:\Programme\cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyPoker\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyPoker\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156686779812
O17 - HKLM\System\CCS\Services\Tcpip\..\{35612424-D28E-4C50-9707-D4EA821ACF4F}: NameServer = 131.188.3.72,131.188.3.73
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\detoured.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - F:\Programme\cherry\CDI\cdi.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\System32\o2flash.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
         

Ich wäre für jeden Hinweis dankbar - vor allem aber natürlich für Hinweise, die kein "format C:" beinhalten

MfG,
Peter

Hallo drpepper667,

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

"NTOS.EXE" ist definitiv ein Virus (googlen !).
Keinesfalls online-Banking mit diesem kompromittierten System !

Gruß
CMD

Hallo

wie CMD schon sagte, die Datei stinkt.

Mach bitte alle versteckten Dateien und Ordner sichtbar.
Dann lass diese Dateien :
C:\WINDOWS\system32\dpmw32.exe
C:\WINDOWS\system32\ntos.exe
c:\windows\system32\nwdqvpn.exe
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 34 AntiVirus Engine, Last Update(071008)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Zitat:

Ich wäre für jeden Hinweis dankbar - vor allem aber natürlich für Hinweise, die kein "format C:" beinhalten

Und ich sag mal, such schon mal die WinXP CD raus.

MFG

@ CMD:

Hab mal nach dem entsprechenden Task geschaut, es läuft keiner. Hab dann den Reg-Key ausgebessert, dort stand tatsächlich dieser zusätzliche Eintrag. Nach einem Reboot hatte sich aber nichts gebessert und der Eintrag stand auch wieder da, wo er war...
Als ich auf meinem System nach der "ntos.exe" gesucht habe, hat er nur einen ähnlich lautenden Eintrag im Verzeichnis "C:\Prefetch" gefunden. Was ist das für ein Verzeichnis? Kann es sein, dass Sophos die Datei dahin verschoben hat?

@ nochdigger:

Hier mal die Ergebnisse von VirusTotal:

dpmf32.exe

Code: Alles auswählenAufklappen

ATTFilter

File dpmw32.exe received on 10.08.2007 23:50:55 (CET)
Antivirus;Version;Last Update;Result
AhnLab-V3;2007.10.9.0;2007.10.08;-
AntiVir;7.6.0.20;2007.10.08;-
Authentium;4.93.8;2007.10.08;-
Avast;4.7.1051.0;2007.10.08;-
AVG;7.5.0.488;2007.10.08;-
BitDefender;7.2;2007.10.08;-
CAT-QuickHeal;9.00;2007.10.08;-
ClamAV;0.91.2;2007.10.08;-
DrWeb;4.44.0.09170;2007.10.08;-
eSafe;7.0.15.0;2007.10.08;-
eTrust-Vet;31.2.5190;2007.10.06;-
Ewido;4.0;2007.10.08;-
FileAdvisor;1;2007.10.08;-
Fortinet;3.11.0.0;2007.10.08;-
F-Prot;4.3.2.48;2007.10.08;-
F-Secure;6.70.13030.0;2007.10.08;-
Ikarus;T3.1.1.12;2007.10.08;-
Kaspersky;7.0.0.125;2007.10.08;-
McAfee;5136;2007.10.08;-
Microsoft;1.2908;2007.10.08;-
NOD32v2;2578;2007.10.08;-
Norman;5.80.02;2007.10.08;-
Panda;9.0.0.4;2007.10.08;-
Prevx1;V2;2007.10.08;-
Rising;19.44.02.00;2007.10.08;-
Sophos;4.22.0;2007.10.08;-
Sunbelt;2.2.907.0;2007.10.08;-
Symantec;10;2007.10.08;-
TheHacker;6.2.6.079;2007.10.07;-
VBA32;3.12.2.4;2007.10.08;-
VirusBuster;4.3.26:9;2007.10.08;-
Webwasher-Gateway;6.0.1;2007.10.08;-

Additional information
File size: 32859 bytes
MD5: 24224854ca4818020eeca6dc8b49ec57
SHA1: 17da593c6704a9bc534fd0443e4ce939de7a4c1e
         

nwdqvpn.exe

Code: Alles auswählenAufklappen

ATTFilter

File nwdqvpn.exe received on 10.09.2007 00:01:52 (CET)
Antivirus;Version;Last Update;Result
AhnLab-V3;2007.10.9.0;2007.10.08;-
AntiVir;7.6.0.20;2007.10.08;ADSPY/NaviPromo.LH.4
Authentium;4.93.8;2007.10.08;-
Avast;4.7.1051.0;2007.10.08;-
AVG;7.5.0.488;2007.10.08;-
BitDefender;7.2;2007.10.08;-
CAT-QuickHeal;9.00;2007.10.08;(Suspicious) - DNAScan
ClamAV;0.91.2;2007.10.08;-
DrWeb;4.44.0.09170;2007.10.08;-
eSafe;7.0.15.0;2007.10.08;-
eTrust-Vet;31.2.5190;2007.10.06;-
Ewido;4.0;2007.10.08;-
FileAdvisor;1;2007.10.09;-
Fortinet;3.11.0.0;2007.10.08;-
F-Prot;4.3.2.48;2007.10.08;-
F-Secure;6.70.13030.0;2007.10.08;-
Ikarus;T3.1.1.12;2007.10.08;Trojan.Win32.Agent.ash
Kaspersky;7.0.0.125;2007.10.08;-
McAfee;5136;2007.10.08;-
Microsoft;1.2908;2007.10.08;-
NOD32v2;2578;2007.10.08;-
Norman;5.80.02;2007.10.08;-
Panda;9.0.0.4;2007.10.08;-
Prevx1;V2;2007.10.09;-
Rising;19.44.02.00;2007.10.08;-
Sophos;4.22.0;2007.10.08;-
Sunbelt;2.2.907.0;2007.10.08;-
Symantec;10;2007.10.08;Trojan.Skintrim
TheHacker;6.2.6.079;2007.10.07;-
VBA32;3.12.2.4;2007.10.08;-
VirusBuster;4.3.26:9;2007.10.08;-
Webwasher-Gateway;6.0.1;2007.10.08;Ad-Spyware.NaviPromo.LH.4

Additional information
File size: 267264 bytes
MD5: 953e753f0e3993ad9ae8d407d0a4b327
SHA1: 74fd1a38f50d83d9f0ad1b0bab55cf44c5a77300
         

Letztere scheint infiziert zu sein... Eine ntos.exe gibt's ja wie gesagt auf meinem System nicht mehr...

Zitat:

Und ich sag mal, such schon mal die WinXP CD raus.

Naja, ganz so schlimm is es auch nich - müsste halt ein Backup einspielen... Aber ich bin einfach gänzlich allergisch gegen sowas, da ich bisher immer irgendwas beim platt machen vergessen hab. Darum is mir alles lieber, als ein altes Backup wieder einzuspielen...

Danke nochmal und gn8 einstweilen,
Peter

hallo drpepper667,

Zitat:

... Hab dann den Reg-Key ausgebessert, dort stand tatsächlich dieser zusätzliche Eintrag. Nach einem Reboot hatte sich aber nichts gebessert und der Eintrag stand auch wieder da, wo er war...

Dieser Eintrag steht in der Datei "C:\Windows\System.ini" und wird in der Registry "gespiegelt" (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini). Verschwinden wird er allenfalls, wenn man beide Bereiche bereinigt. Wenn er dann noch "überlebt", ist der eigentliche Schädling noch aktiv.

Zitat:

Als ich auf meinem System nach der "ntos.exe" gesucht habe, hat er nur einen ähnlich lautenden Eintrag im Verzeichnis "C:\Prefetch" gefunden.

Hier speichert das System Programme zwischen, auf die häufiger zugegriffen werden muß. Wenn die Datei ein relativ aktuelles Datum trägt, ist dies ein Beweis, dass "NTOS.EXE" werkelt.

Gruß
CMD

Hi,
ich geh mal davon aus, dass es sich bei dir um diesen Befall handelt: stiehlt Daten, Backdoor
Da der gute noch recht neu ist, würde ich mich nicht darauf verlassen, dass er gefunden wird. Darauf sollte man sich sowieso nicht verlassen, es gibt genügend Trojaner die Antivirenprogramme aushebeln und nutzlos machen können.
Ich würde dir daher ebenfalls die WindowsCD empfehlen. Auf jedenfall solltest du aber den Rechner vom Internet trennen, solange du den Rechner nicht bereinigt hast.

Das du die ntos.exe nich findest ist normal, IIRC ist ein Rootkit im Spiel.

lg myrtille

ok ok, bin überzeugt. BackUp wieder einspielen, sobald ich ein halbes Stündchen Zeit hab...
Ich hab die .ide-Datei für diesen Befall schon auf dem Rechner, erkannt wird er von SAV dennoch nicht. Naja, ich werd dann bei Gelegenheit mal ein Backup einspielen und gleich von meinem schicken Live-XP überprüfen, ob die system.ini mit dem ntos.exe-Eintrag verseucht ist. Wenn das alles geschehen ist, melde ich mich nochmal mit einem HJT-Log...

Danke soweit und Gruß,
Peter