Hi ihr,

wie vielen andere hier schon geschrieben haben wurde mir ebenfalls von meiner Bank gesagt das ich den WSNPoem Trojaner habe!

Ich habe mir hier viele Beiträge durchgelesen und dieses MCAfee Root Kit laufen lassen und habe dann zwei Dateien angezeigt bekommen

1.ntos --> die habe ich gelöscht nach restart
2. WNSPoem und die gab es irgendwie nicht in dem angegebenen Ordner System32, jedoch hat mein Virenscan Antivir paar Sachen gefunden und mich dann aufmerksam gemacht, wie WNS Trojaner und Trojaner in Temp die ich in Quarantäne verschoben habe und dann gelöscht.

Da ich ein absoluter Laie bin, weiss ich nicht wie sicher das jetzt ist.
Ich habe vor dem McAfee wie ihr immer wollt, dieses Hijacklog gemacht und nachdem ich es gelöscht habe und Antivir eingegriffen habe nochmal.

Ich würde euch gerne eben beide vorlegen und auf eure Antworten waren wie sicher es ist oder welche Dateien da drin stehen die gefährlich sind oder was ich noch tun soll?
Ist der WNSPoem weg? Kann man das raus lesen?
Wie gesagt einmal hat Antivir danach reagiert noch.

Das ist vor dem was ich alles gemacht hab, also Hijack 1
Scan saved at 11:24:29, on 05.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Stefan\LOKALE~1\Temp\~AceTemp\McafeeRootkitDetective[1]\Rootkit_Detective.exe
C:\Programme\HijackThis-tester\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4985 bytes


und das nach den sachen (mcafee etc)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:26, on 05.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis-tester\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\4.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{6DBCA4CA-6F6A-4795-A53B-3EBEF85A2A62}: NameServer = 62.220.18.8 82.144.41.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4496 bytes


hoffe ihr könnt mir helfen

lg

Stefan

Hallo,

das hier kann dein Feind :Troj/Dloadr-AWQ - Trojaner - Sophos Bedrohungsanalyse

Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich...
Leider ist es kein Besandteil mehr ,wenn er sich an Stellen wie dieser zeigt :

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,

Dies ist aus deinem alten Log.
Nach deinen Versuchen zu putzen und zu reinigen ,hast du ihn nun dorthin gejagt :

Zitat:

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Mit anderen Worten :außer Spesen nix gewesen...

Da in deiner Kiste noch andere "böse und böseste Buben ihr abscheuchliches Unwesen treiben,kann dir nur geraten werden ,dich hier umzusehen :http://www.trojaner-board.de/anleitungen-faqs-links/
Dort solltest du den Thread zum "Neuaufsetzen des Systems und der anschließenden Absicherung" größte Beachtung schenken !!!
Auch wären allgemeine Informationsdefizite zu beseitigen.....
Insbesondere deine "ich klick und installier alles was bunt ist" Mentalität bedarf der gründlichen Überarbeitung.
Du wirst sonst ganz schnell wieder mit einer so versauten Kiste konfrontiert werden....
Lese deshalb besser hier und versuche umzusetzen was dort angeraten wird :SIDES - Computersicherheit für Privatanwender : Checkliste
Irrlicht

Zitat:

Zitat von irrlicht

Hallo,

das hier kann dein Feind :Troj/Dloadr-AWQ - Trojaner - Sophos Bedrohungsanalyse

Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich...
Leider ist es kein Besandteil mehr ,wenn er sich an Stellen wie dieser zeigt :

Dies ist aus deinem alten Log.
Nach deinen Versuchen zu putzen und zu reinigen ,hast du ihn nun dorthin gejagt :


Mit anderen Worten :außer Spesen nix gewesen...

Da in deiner Kiste noch andere "böse und böseste Buben ihr abscheuchliches Unwesen treiben,kann dir nur geraten werden ,dich hier umzusehen :http://www.trojaner-board.de/anleitungen-faqs-links/
Dort solltest du den Thread zum "Neuaufsetzen des Systems und der anschließenden Absicherung" größte Beachtung schenken !!!
Auch wären allgemeine Informationsdefizite zu beseitigen.....
Insbesondere deine "ich klick und installier alles was bunt ist" Mentalität bedarf der gründlichen Überarbeitung.
Du wirst sonst ganz schnell wieder mit einer so versauten Kiste konfrontiert werden....
Lese deshalb besser hier und versuche umzusetzen was dort angeraten wird :SIDES - Computersicherheit für Privatanwender : Checkliste
Irrlicht

so danke für die antwort, das system ist neu aufgezogen, kannst du oder jemand anders mal bitte drüber schauen ob alles soweit ok ist bevor ich alles weiter mache und sichere wie im artikel steht und ist jetzt schon nicht sicher:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D3106B3-7D01-498D-B9F2-C0FACC0A8C96}: NameServer = 62.220.18.8 82.144.41.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--

lg

danke

Zitat:

Zitat von irrlicht

Eigentlich ist die ntos exe.ein Bestandteil des Betriebssystems...eigentlich...

NEIN, NIE!
Außerdem handelt es sich hier um multiple Infektionen

Zitat:

O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

und
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
kommt nicht von dem Dloadr-AWQ!

@ sunmande: Wie hat Dir Deine Bank das gesagt und welche? Per Telefon, eMail, Brief.

hab angrufen, weil ich probleme hatte und er hat in die datenbank geschaut und mir den namen gesagt!
ist mein system jetzt sauber?
nach neuaufziehen?
siehe logfile unten?

Hallo,
nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach.

Datei Commander 8.3 öffnen.
Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen,
Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen. *grins*

Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie.

Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann.

Danach Rechner runterfahren und neu starten.

Mehr nicht, das Einfache liegt so nah.

Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen.
Viele Grüße

Ntos.exe sitzt unter Windows-system32 als exe Datei. Im Register wird er beim hochfahren aktiv und hängt im Speicher.
Die <System>\wsnpoem\audio.dll <System>\wsnpoem\video.dll sind keine DLL Dateien sondern sie registrieren die Passwörter und Zugänge.
Selbst wenn du die Datei löschen könntest, es würde nicht helfen, beim runterfahren schreibt er sie zurück.
Du kannst aber im Process Explorer das Programm schließen, es lädt NICHT nach, nur die beiden wsnpoem Dateien sind weiter aktiv.
Nachdem die Datei im Win/system32 umbenannt ist, ist Schluss, er findet sie nicht mehr.

Habe es wie beschrieben versucht,
aber beim umbennen schreibt er: Quellpfad existiert nicht!

Du musst mit Backflash schreiben, nicht wie ich es getan habe. Ansonsten kopiere den Pfad aus dem Process Explorer rüber, wegen der Schreibfehler.

Die ntos.exe residiert nur zu einem Zweck im Arbeitspeicher, damit sie sich beim herunterfahren den Rechners erneut in das Verzeichnis eintragen kann bzw überschreiben kann, falls ein Virenscanner sie aufgespürt hat.

Hallo

@spilot hast du das System neu installiert?
Wenn ja, sollte die Datei auch nicht mehr zu finden sein

@Frank62 was machst du mit den restlich versteckt laufenden Dateien?

MFG

Zitat:

Zitat von nochdigger

Hallo

@spilot hast du das System neu installiert?
Wenn ja, sollte die Datei auch nicht mehr zu finden sein

@Frank62 was machst du mit den restlich versteckt laufenden Dateien?

MFG

Nichts, was sollen sie machen ohne der ntos.exe?
V.G.

Im Übrigen ist die von mir umbenannte ntos.exe sichtbar geworden.
V.G.

Zitat:

Zitat von nochdigger

Hallo

@spilot hast du das System neu installiert?
Wenn ja, sollte die Datei auch nicht mehr zu finden sein

@Frank62 was machst du mit den restlich versteckt laufenden Dateien?

MFG

Habe jetzt das Verzeichnis „wsnpoem“ auch gefunden, es war jetzt auch sichtbar, sowie die umbenannte ntos.exe, habe alles gelöscht. Alles sauber.
V.G.