Bitte auf Rechtschreibfehler und Inhalt prüfen...

NTOS.exe als Backdoor und/oder Rootkit

Was ist ntos.exe?
ntos.exe ist ein Attachment von Spam-Mails,
in denen z.b. eine Anwaltsforderung gestellt
wird. Dabei ist im Anhang eine Rechnung.pdf-Datei
angehängt, die die ntos.exe-Datei in das
System32-Verzeichnis lädt. Hier die konkrete Erläuterung:
Aktenzeichen Schweiz: Falsche Rechnungen vom Anwalt


Was macht ntos.exe genau?
Um nachvollziehen zu können, wie weit
der Schädling bei euch vorran gekommen ist,
macht Ihr am Besten ein Hijackthislog nach Anleitung

Um immer wieder zu starten, trägt sie sich
als folgenden Eintrag ein:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WIN DOWS\system32\ntos.exe

Wenn der fett-makierte Teil dieses Eintrags in
dem Hijackthislogfile auftaucht,
bedeutet das, dass der Schädling aktiv war/ist
und weiterhin folgende Einträge erstellt hat / erstellen wird:

Zitat:

<System>\wsnpoem\audio.dll
<System>\wsnpoem\video.dll

Sollten diese Einträge vorhanden sein,
kann angenommen werden, dass die
Bankdaten ausspioniert wurden und ihr bekommt
vielleicht schon bald Post von eurer Bank.

Was kann man nach Infizierung tuen?
Die sicherste Methode einen PC nach einem
Schädling mit Rootik-Funktionalität oder
Backdooreigenschaften zu bereinigen, ist
natürlich ein komplettes Neuaufsetzen des System, siehe
System neu aufsetzen mit anschließender Absicherung
Und diese Methode kann ich auch jedem raten,
bei dem dieser Schädling vollständig installiert wurde.

Da es aber User gibt, die entweder nicht vollständig
infiziert sind oder sich strikt gegen ein NeuAufsetzen
weigern, habe ich mal eine mögliche Bereinigung aufgestellt,
die in Zusammenarbeit mit einem hilfsbereiten Forensupporter
durchgeführt werden kann:

1) Anleitung Avenger
- Lade dir das Tool Avenger und speichere es auf dem Desktop:
- Klicke nun auf die Option „Input Script manually“
-> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\ntos.exe
C:\System\wsnpoem\audio.dll
C:\System\wsnpoem\video.dll

Folders to delete:
C:\System\wsnpoem

- Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
- Danach das System unverzüglich neu starten lassen
- Poste den Inhalt der C:\avenger.txt

2) HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\system32\ntos.exe

- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

3) CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

4) Deaktivierung aller Störfaktoren:
- alle anderen Scanner gegen Viren, Spyware, usw. ausschalten / deaktivieren
- Verbindung zu einem Netzwerk/Internet bestehen
abschalten
- während den Scans nichts am Rechner tuen
- nach jedem Scan den Rechner neu starten

5) Gmer - applikation
- lade die das Tool Gmer
- Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein)
- Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
- Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage
zu kopieren. Mit "Ok" wird GMER beendet.
- Füge das Log aus der Zwischenablage in deinen Post ein.

6) Catchme - Userland rootkit detector
- Lade dir Catchme.exe runter auf deinen Desktop.
- Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
- Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
- Das Log ist in catchme.log, füge es vollständig in deinen Post ein.

7) RootkitRevealer
- Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
- Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
- Starte durch Klick auf "Scan".
- Wenn der Scan fertig ist das Logfile mit File
-> Save abspeichern und in deinen Beitrag posten.

Aus den Scans aus Punkt 5-7 könnt ihr oder
der hilfsbereite Supporter ersehen, ob und wo
sich die restlichen Infizierungen befinden.

Viel Glück bei der Bereinigung und hoffentlich
auf ein sauberes System.

mfg Cleriker

Hallo Cleriker


Mit dieser Anleitung bzw. Erklärung zu der Malware, bist du auf dem richtigen Weg ein guter Helfer auf diesem Board zu werden.
Du warst in letzter Zeit sehr aktiv, hast dich eingebracht, und hast viel gelernt.

Zur Vervollständigung deiner Anleitung gibt es noch folgende Tips von mir:

Zitat:

Die Schadsoftware legt folgende Registryeinträge an:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

Start -> Ausführen und dann “regedit” eingeben

Am Ende dieses Strings steht:
-> C:\Windows\system32\userinit.exe, C:\Windows\system32\ntos.exe

Am Ende dieses Strings sollte aber nur das stehen:
-> C:\Windows\system32\userinit.exe

Meist wird auch das Domain Name System (DNS) verändert, d.h. eine schadhafte Datei wird hierbei in die Datenbank eingepfelgt.
Welche sich aber du das Programm LSPFix entfernen lassen.

Was auf jeden Fall zu beachten ist:

So wie du es hier auch schon erklärt hast @Cleriker, und ich eigentlich ein Verfechter der "Neuinstallation" bin, bei diesem Rootkit sollte/muss eine Neuinstallation durchgeführt werden, der beschriebene Weg einer Bereinigung ist nur eine suboptimale Lösung!
Vor allem bei so sensiblen Daten welche beim Online-Banking übertragen werden.

Ansonsten kann ich nur sagen sagen ->

Super Cleriker

Mach weiter so !

Klasse Anleitung 1a

Dafür geb ich ne Runde aus

Zitat:

Dafür geb ich ne Runde aus

Und das am frühen Morgen
Whatever: Hier also die überarbeitete
Version mithilfe der Tipps von Sunny und Raman.
Für weitere Tipps und Anregungen bin ich gerne zu haben:

NTOS.exe als Backdoor und/oder Rootkit

Was ist ntos.exe?
ntos.exe ist ein Attachment von Spam-Mails,
in denen z.b. eine Anwaltsforderung gestellt
wird. Dabei ist im Anhang eine Rechnung.pdf-Datei
angehängt, die die ntos.exe-Datei in das
System32-Verzeichnis lädt. Hier die konkrete Erläuterung:
Aktenzeichen Schweiz: Falsche Rechnungen vom Anwalt


Was macht ntos.exe genau?
Um nachvollziehen zu können, wie weit
der Schädling bei euch vorran gekommen ist,
macht Ihr am Besten ein Hijackthislog nach Anleitung

Um immer wieder zu starten, trägt sie sich
als folgenden Eintrag ein:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WIN DOWS\system32\ntos.exe

Wenn der fett-makierte Teil dieses Eintrags in
dem Hijackthislogfile auftaucht,
bedeutet das, dass der Schädling aktiv war/ist
und weiterhin folgende Einträge erstellt hat / erstellen wird:

Zitat:

<System>\wsnpoem\audio.dll
<System>\wsnpoem\video.dll

Sollten diese Einträge vorhanden sein,
kann angenommen werden, dass die
Bankdaten ausspioniert wurden und ihr bekommt
vielleicht schon bald Post von eurer Bank.


Was kann man nach Infizierung tuen?
Die sicherste Methode einen PC nach einem
Schädling mit Rootik-Funktionalität oder
Backdooreigenschaften zu bereinigen, ist
natürlich ein komplettes Neuaufsetzen des System, siehe
System neu aufsetzen mit anschließender Absicherung
Und diese Methode kann ich auch jedem raten,
bei dem dieser Schädling vollständig installiert wurde.

Da es aber User gibt, die entweder nicht vollständig
infiziert sind oder sich strikt gegen ein NeuAufsetzen
weigern, habe ich mal eine mögliche Bereinigung aufgestellt,
die in Zusammenarbeit mit einem hilfsbereiten Forensupporter
durchgeführt werden kann:

1) Anleitung Avenger
- Lade dir das Tool Avenger und speichere es auf dem Desktop:
- Klicke nun auf die Option „Input Script manually“
-> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\ntos.exe
C:\System\wsnpoem\audio.dll
C:\System\wsnpoem\video.dll

Folders to delete:
C:\System\wsnpoem

- Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
- Danach das System unverzüglich neu starten lassen
- Poste den Inhalt der C:\avenger.txt

2) Registryeintrag entfernen
- Wechsel in den folgenden Registry-Pfad:
Start > Ausführen > "regedit" eingeben + "Enter"
> HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
- Ändere den String auf der rechten Seite:

Zitat:

C:\Windows\system32\userinit.exe, C:\Windows\system32\ntos.exe

in folgenden String um:

Zitat:

C:\Windows\system32\userinit.exe

3) HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\system32\ntos.exe

- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

Falls das Domain Name System (DNS) verändert wurde,
führe Punkt 4 durch. Ihr könnt es anhand unbekannter
017er-Einträge in dem erstellten Hijackthis-Logifile sehen.
4) LSPFix - DNS-Bereinigung
- lade dir das Tool LSPFIX
- Lade dir das Tool WinsockXPFix,
falls deine Internetverbindung unterbricht bzw. nicht mehr funktioniert.
- starte die LSPFix.exe
- setze das Häkchen, bei "I know, what I'm doing"
- schiebe die entsprechenden Einträge von links nach rechts
- klicke auf "Finish"

5) CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

6) Deaktivierung aller Störfaktoren:
- alle anderen Scanner gegen Viren, Spyware, usw. ausschalten / deaktivieren
- Verbindung zu einem Netzwerk/Internet bestehen
abschalten
- während den Scans nichts am Rechner tuen
- nach jedem Scan den Rechner neu starten

7) Gmer - applikation
- lade die das Tool Gmer
- Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein)
- Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
- Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage
zu kopieren. Mit "Ok" wird GMER beendet.
- Füge das Log aus der Zwischenablage in deinen Post ein.

8) Catchme - Userland rootkit detector
- Lade dir Catchme.exe runter auf deinen Desktop.
- Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
- Falls nach dem Ende des Scans im Fenster Dateien stehen,
dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird.
Die Dateien werden dabei nicht entfernt.
- Das Log ist in catchme.log, füge es vollständig in deinen Post ein.

9) RootkitRevealer
- Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
- Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
- Starte durch Klick auf "Scan".
- Wenn der Scan fertig ist das Logfile mit File
-> Save abspeichern und in deinen Beitrag posten.


Aus den Scans aus Punkt 7-9 könnt ihr oder
der hilfsbereite Supporter ersehen, ob und wo
sich die restlichen Infizierungen befinden.

Zitat:

Da es aber User gibt, die .... nicht vollständig infiziert sind

Sorry, aber der Satz ist absolut sinnbefreit: Eine Frau kann nicht nur teilweise schwanger sein.

Zitat:

sich strikt gegen ein Neuaufsetzen weigern

Das Neuaufsetzen ist das beste für den User selbst und so bleibt es für alle Ewigkeiten und so muss dem User aufgeklärt werden. Alle Rootkit- bzw. Backdoor- Bereinigungen sind reine Zeitverschwendung und Selbstbetrug. Die ganzen Pro & Contras wurden hier schon mal rumdiskutiert: http://www.trojaner-board.de/12784-s...iskussion.html
Fazit: Wenn es im TB für die Backdoor-Bereinigung plädiert werden sollte, sehe ich für mich keinen Sinn, weiter hier mitzuarbeiten...
SCNR.

Zitat:

Zitat von Rene-gad

Eine Frau kann nicht nur teilweise schwanger sein.

Ja, aber eine Frau kann schwanger werden, ein User kann weder teilweise noch ganz von einem Computervirus infiziert werden - höchstens von dem "Virus" Computer.

Zitat:

Zitat von Rene-gad

Alle Rootkit- bzw. Backdoor- Bereinigungen sind reine Zeitverschwendung und Selbstbetrug.
...
Fazit: Wenn es im TB für die Backdoor-Bereinigung plädiert werden sollte, sehe ich für mich keinen Sinn, weiter hier mitzuarbeiten...

Das Aufzeigen einer - wenn auch schlechten - Alternative mit dem Hinweis auf dessen Mangel ist aber durchaus sinnvoll. Es gibt leider genügend Nutzer die vor einer Alternative: Neuaufsetzen oder mit dem Backdoor leben, tatsächlich das zweite nehmen, solange das System noch halbwegs arbeitet. Nach einer Bereinigung ist zumindest die Chance größer, dass das System keine Gefahr mehr für dritte darstellt - für den Besitzer des Malware-PCs ist es mir da schon eher egal.
Entbindet natürlich nicht, auf das sinnvollere zu pochen und deutlich (und vorallem zuerst) und immer auf die vernünftige Lösung zu drängen.

Es ist gut jemanden von "da mache ich jetzt erstmal gar nichts" zu "ich versuche eine Bereinigung" zu bringen.
Es ist schlecht jemanden von "ich setze neu auf" zu "ich versuche eine Bereinigung" zu bringen.

Zitat:

Sorry, aber der Satz ist absolut sinnbefreit: Eine Frau kann nicht nur teilweise schwanger sein.

Werden die Worte wieder mal im Munde umgedreht
Ein bisschen unglücklich ausgedrückt, aber ich wollte damit
auf die Möglichkeit hindeuten, dass der Registryeintrag zwar
vorhanden sein kann, eine Firewall oder Ähnliches jedoch
das Nachladen der Trojaner bzw. den Remotezugriff verhindert.

Zitat:

Das Neuaufsetzen ist das beste für den User selbst und so bleibt es für alle Ewigkeiten und so muss dem User aufgeklärt werden. Alle Rootkit- bzw. Backdoor- Bereinigungen sind reine Zeitverschwendung und Selbstbetrug.

Ich hätte es nicht besser ausdrücken können, als Shadow. Da wir
nicht in einer Diktatur leben, kannst du keinen zwingen, sein System
neu aufzusetzen. Du kannst aber helfen, ihn zu hindern, andere zu
schädigen.

Zitat:

Wenn es im TB für die Backdoor-Bereinigung plädiert werden sollte, sehe ich für mich keinen Sinn, weiter hier mitzuarbeiten...

Wenn das der Preis ist, möchte ich Ihn nicht bezahlen.
Nicht desto trotz -> Helfe, wo du helfen kannst.

mfg Cleriker

Zitat:

Zitat von Shadow

Es gibt leider genügend Nutzer die vor einer Alternative: Neuaufsetzen oder mit dem Backdoor leben, tatsächlich das zweite nehmen, solange das System noch halbwegs arbeitet.

@Rene-gad, ich stimme Shadow da sehr zu. Mein Mann war auch der Meinung: "ist doch egal, wenn einer auf meinen PC gucken kann, solange es mich nicht stört und er nichts kaputt macht."

Denke auch an die Newbies, die sich "format C" einfach nicht zutrauen, und es gibt sie.

@all,
irgendwie ist das tut aber im falschen Teil des Forums, oder sehe ich es jetzt verkehrt? vielleicht ist es ja auch noch nicht abschließend fertig und die Endfassung wird dann noch einmal gepostet?

ich gehe jetzt mal davon aus und stelle deshalb eine Frage, die ich mir seit einiger Zeit stelle.
Woran merken Banken, dass jemand mit NTOS.exe infiziert ist?
Einige wissen ja, dass ich immer mal Freeware-Fernwartungs-Tools (Bifrost, Poison Ivy) teste. Es kommt also vor, dass ich Online-Banking mache und ein Server läuft auf meinem PC. Mein Konto wurde bisher nicht gesperrt.
Die Server lassen sich selbstverständlich illegal nutzen, keine Frage. Aber nichts, keine Konto-Sperrung.
Ist vielleicht der Server, zu dem NTOS.exe die Daten sendet, überwacht und die Infizierten werden so ermittelt?
Ein PC-Check durch die Bank kann eigentlich nicht die Ursache für die Erkennung sein.

Sorry, wenn diese Frage zu sehr off-topic ist.

Ein weiteres "Problem" mit der NTOS ist, das sie nicht immer die gleiche Infektion ist.
Eine bekannte Infektion ist diese, diese kommt meist ohne die dlls.
Nevertheless möchte ich in diesem Thread mit den Worten auftauchen: "Wenn es mein Rechner wär würde ich ihn neu machen" oder "Wenn Du mich fragst installier ihn neu"

Ich möchte ungern die ganze Diskussion aus dem von mir oben verlinkten Thread jetzt von vorne an beginnen. Aber eine Frage an die Bereinigungs-Anhänger habe ich trotzdem: Womit kann man sicher stellen, dass die Bereinigung erfolgreich gelaufen ist? Dass man nichts merkt? Dass die markante Dateien bzw. Registry-Einträge nicht auffindbar sind? Was sagt ihr dazu: svchost.exe und svсhоst.exe sind vom Namen identisch!? Von wegen!!! Im 2. Namen sind die Buchstaben с und о aus dem kyrillischen Alphabet eingepflanzt. Ihr glaubt mir nicht? Kopiert den 2. Namen ins Google-Fenster und lasst suchen - ihr werdet überrascht sein.
Und dies ist keine frei von meiner Wenigkeit erfundene Geschichte, aber eine gefährliche Realität.
Und noch was - als die Zeit für die Bereinigung zu verschwenden, lieber alles so zu lassen, wie es ist, denn ein bereinigtes System ist sowieso kein sauberes System.

@ Heike wg. Sperre durch Banken: Ich habe keine Ahnung und die Banken tun gut daran sich etwas bedeckt zu halten.

Aber ich als Bank (ich als diesbezüglicher Verantwortlicher einer Bank) würde einfach alle Konten (temporär) sperren, auf die von "bekannten" IP-Adressen, IP-Adressbereichen zugegriffen wird/wurde (oder aus "obskurem" Ausland u.ä.), von IP-Adressen von denen in kurzer Zeit versucht wird auf mehrere/viele Konten zuzugreifen, etc.
Da muss kein Server direkt überwacht werden.

Zitat:

Zitat von Bata

Ein weiteres "Problem" mit der NTOS ist, das sie nicht immer die gleiche Infektion ist.
Eine bekannte Infektion ist diese, diese kommt meist ohne die dlls.
Nevertheless möchte ich in diesem Thread mit den Worten auftauchen: "Wenn es mein Rechner wär würde ich ihn neu machen" oder "Wenn Du mich fragst installier ihn neu"

Der Meinung war ich bis vor einigen Tagen auch und wollte
die Anleitung mit Fallunterscheidungen bestücken. Jedoch
nach einiger Recherche ist mir aufgefallen, das immer der selbe
Eintrag durch das selbe Verlockungsspiel eingetragen wird
-> Sie werden nur von unterschiedlichen Firmen genutzt.
Oder besser gesagt, es werden unterschiedliche Firmen simuliert.
Dass verschiedene Namen (auch vom gleichen AV-Scanner)
für diesen Schädling benutzt werden, liegt daran, dass er von
verschiedenen Seiten genutzt wird. Das haben wir aber auch
bei anderen Schädlingen. Hier mal die von Sophos:
Troj/Dloadr-AWQ
Troj/Dloadr-AWJ
Troj/GPCoder-G
* Win32/Spy.Agent.PZ
* Virus.Win32.Gpcode.ai
* GPcoder.h
* TSPY_KOLLAH.F
* Backdoor:Win32/Kollah.D

Hierbei unterscheiden sich jedoch nur die Ursachen der Infizierungen.
Die Funktion bleibt die selbe.

Zitat:

Zitat von Rene-gad

Und noch was - als die Zeit für die Bereinigung zu verschwenden, lieber alles so zu lassen, wie es ist, denn ein bereinigtes System ist sowieso kein sauberes System.

Stimmt alles, ich glaube auch jeder wird dir hier zustimmen, dass
eine komplette Wiederherstellung des Systems so nicht zu
gewährleisten ist. Aber ich muss nochmal wiederholen, dass
ich einem Antiformatierungsuser und deren Internetkontakte
mit dieser Anleitung einen riesigen Gefallen tuen könnte. Gehst
du soweit mit @ Rene-gad?

Edit: Also Freunde des Kompetenzteams, Moderatoren
und Admins, ich bitte nochmals um Verbesserungsvorschläge,
Kritiken (fachlich) für diese Anleitung, damit das Stottern
in den entsprechenden ntos.exe - Threads aufhört. Eine
Verbesserung kann nur qualitativ positiv beitragen.

mfg Cleriker

Freundschaft
Ich achte sehr wenn sich Leute ins Zeug legen und extra was leisten...

Was ist denn das für eine Spezies

Zitat:

Antiformatierungsuser

...und was hat sie getan, als das ich darauf Rücksicht nehme ?

Die EMailanhangklicker und Adminsurfer haben alles andere als Rücksichtnahme verdient.......
Der Lerneffekt durch eine Neuinstallation und die zukünftige Vermeidung einer solchen Aktion, ist um ein Vielfaches größer als eine Reinigung der Kisteje sein könnte
Dies ließe derlei Leute in dem Glauben ,daß Falschverhalten folgenlos bleiben kann.
Solche Leute haben wir beim nächsten MSN Wurm wieder da ........

...und wieder geben wir ihm einen Fisch ,statt das wir ihm lernen zu fischen....
Irrlicht

Zitat:

Zitat von irrlicht

Die EMailanhangklicker und Adminsurfer haben alles andere als Rücksichtnahme verdient.......

Du vergißt die p2p Leute, die m.E. noch weniger Rücksicht verdient haben.
Guck Dir doch die installieren Apps an, die werden sehr oft "gefunden" sein.

Das Tut ist gut

Hallo,
nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach.

Datei Commander 8.3 öffnen.
Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen,
Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen. *grins*

Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie.

Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann.

Danach Rechner runterfahren und neu starten.

Mehr nicht, das Einfache liegt so nah.

Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen.
Viele Grüße

Ntos.exe sitzt unter Windows-system32 als exe Datei. Im Register wird er beim hochfahren aktiv und hängt im Speicher.
Die <System>\wsnpoem\audio.dll <System>\wsnpoem\video.dll sind keine DLL Dateien sondern sie registrieren die Passwörter und Zugänge.
Selbst wenn du die Datei löschen könntest, es würde nicht helfen, beim runterfahren schreibt er sie zurück.
Du kannst aber im Process Explorer das Programm schließen, es lädt NICHT nach, nur die beiden wsnpoem Dateien sind weiter aktiv.
Nachdem die Datei im Win/system32 umbenannt ist, ist Schluss, er findet sie nicht mehr.