Hallo zusammen,

ich habe heute morgen ein Einschreiben meiner Bank erhalten, dass mein Konto gesperrt wurde, da auf meinem System der Trojaner "WSNPOEM" vermutet würde. Meine Kontodaten seien auf ausländischen Servern entdeckt worden!

Ich habe mich danach sofort auf die Suche nach einem Weg den Trojaner loszuwerden gemacht und bin dabei auf dieses Board gestossen.
(Habe zum Glück noch einen unverseuchten Mac, ich musste also nicht weiter den verseuchten PC einsetzen!)

Nun habe ich hier den Hinweis gefunden, dass ich den WSNPOEM mittels des McAffee Rootkit Detective loswerden könnte, habe das auch nach Anleitung durchgeführt, das Toolkit hat die entsprechende EXE (ntos.exe) sowie den Ordner (wsnpoem unter windows/system32) gefunden und umbenannt, und ich konnte nach einem Systemneustart beide Dateien löschen!

Jetzt meine Frage: Muss ich nun trotzdem mein System komplett neu aufspielen??
Oder reicht es nun aus, sämtliche Passwörter zu ändern und mich damit wieder sicher zu machen?

Danke & Grüssle,
quasimono

PS: Falls es jemandem hilft, hier der Link zu dem McAffee Rootkit Detective: McAfee Threat Center

Hallo

Zitat:

Jetzt meine Frage: Muss ich nun trotzdem mein System komplett neu aufspielen??

Du musst nicht, wenn du aber auf der sicheren Seite sein möchtest schon (zumindest die Systempartition).

Zitat:

Oder reicht es nun aus, sämtliche Passwörter zu ändern und mich damit wieder sicher zu machen?

Bei einer Backdoor kann man sich nicht sicher sein ob was wie verändert/manipuliert wurde.

Hier eine gute Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!

MFG

Hallo,
nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach.

Datei Commander 8.3 öffnen.
Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen,
Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen. *grins*

Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie.

Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann.

Danach Rechner runterfahren und neu starten.

Mehr nicht, das Einfache liegt so nah.

Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen.
Viele Grüße

Ntos.exe sitzt unter Windows-system32 als exe Datei. Im Register wird er beim hochfahren aktiv und hängt im Speicher.
Die <System>\wsnpoem\audio.dll <System>\wsnpoem\video.dll sind keine DLL Dateien sondern sie registrieren die Passwörter und Zugänge.
Selbst wenn du die Datei löschen könntest, es würde nicht helfen, beim runterfahren schreibt er sie zurück.
Du kannst aber im Process Explorer das Programm schließen, es lädt NICHT nach, nur die beiden wsnpoem Dateien sind weiter aktiv.
Nachdem die Datei im Win/system32 umbenannt ist, ist Schluss, er findet sie nicht mehr.

Hallo, liebe Freunde des Macs,

genauso ist es mir gerade ergangen mit meinem Mac iBook G3: die Comdirect Bank hat den Zugriff auf mein Konto gesperrt. Über die hotline der Bank bin ich darueber informiert worden, dass ich auf meinem Mac iBook den Trojaner wsnpoem haette.
Funktioniert offensichtlich auch in der Mac-Welt!
Wer kann mir behilflich sein? Wie bitte koennte ich mich von dem Trojaner verabschieden?

Vielen Dank im voraus.
beck@uke.uni-hamburg.de

Auf einem Mac? Tut mir leid, keine Ahnung.
Aber du solltest deine e-Mail-Adresse editieren. Erstens wird hier öffentlich Hilfe geleistet und nicht per Mail, zweitens willst du es den Spammern dieser Welt doch nicht zu einfach machen, oder?

Hallo

Zitat:

genauso ist es mir gerade ergangen mit meinem Mac iBook G3: die Comdirect Bank hat den Zugriff auf mein Konto gesperrt.

hast du dich evtl. mal auf einem anderen Rechner bei deiner Bank eingeloggt?

MFG

Danke für den Hinweis: das hatte ich.

Hallo,
ich habe zum selben Thema eine Frage.
Auch ich hatte von meiner Bank die Mitteilung bekommen, dass sich dieser WSNPOEM-Virus auf meine Platte gesetzt hat.
Ich habe auch diesen McAffee Rootkit Detective benutzt, die Dateien auch umbenannt und den Rechner neu gestartet.
Die ntos.exe habe ich auch gefunden und gelöscht. Den WSPOEM-Ordner habe ich jedoch nicht gefunden. Weder unter system32 war er zu finden, noch mit Hilfe der Suchfunktion von Windows.
Weiß jemand Rat? Wie heißt dieser Ordner nach dem Umbenennen exakt?

Danke im Voraus und Gruß,
Johannes.