NTOS.exe als Backdoor und/oder Rootkit

Cleriker

Bitte auf Rechtschreibfehler und Inhalt prüfen...

NTOS.exe als Backdoor und/oder Rootkit

Was ist ntos.exe?
ntos.exe ist ein Attachment von Spam-Mails,
in denen z.b. eine Anwaltsforderung gestellt
wird. Dabei ist im Anhang eine Rechnung.pdf-Datei
angehängt, die die ntos.exe-Datei in das
System32-Verzeichnis lädt. Hier die konkrete Erläuterung:
Aktenzeichen Schweiz: Falsche Rechnungen vom Anwalt


Was macht ntos.exe genau?
Um nachvollziehen zu können, wie weit
der Schädling bei euch vorran gekommen ist,
macht Ihr am Besten ein Hijackthislog nach Anleitung

Um immer wieder zu starten, trägt sie sich
als folgenden Eintrag ein:
Wenn der fett-makierte Teil dieses Eintrags in
dem Hijackthislogfile auftaucht,
bedeutet das, dass der Schädling aktiv war/ist
und weiterhin folgende Einträge erstellt hat / erstellen wird:
Sollten diese Einträge vorhanden sein,
kann angenommen werden, dass die
Bankdaten ausspioniert wurden und ihr bekommt
vielleicht schon bald Post von eurer Bank.

Was kann man nach Infizierung tuen?
Die sicherste Methode einen PC nach einem
Schädling mit Rootik-Funktionalität oder
Backdooreigenschaften zu bereinigen, ist
natürlich ein komplettes Neuaufsetzen des System, siehe
System neu aufsetzen mit anschließender Absicherung
Und diese Methode kann ich auch jedem raten,
bei dem dieser Schädling vollständig installiert wurde.

Da es aber User gibt, die entweder nicht vollständig
infiziert sind oder sich strikt gegen ein NeuAufsetzen
weigern, habe ich mal eine mögliche Bereinigung aufgestellt,
die in Zusammenarbeit mit einem hilfsbereiten Forensupporter
durchgeführt werden kann:

1) Anleitung Avenger
- Lade dir das Tool Avenger und speichere es auf dem Desktop:
- Klicke nun auf die Option „Input Script manually“
-> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
- Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
- Danach das System unverzüglich neu starten lassen
- Poste den Inhalt der C:\avenger.txt

2) HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken
- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

3) CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

4) Deaktivierung aller Störfaktoren:
- alle anderen Scanner gegen Viren, Spyware, usw. ausschalten / deaktivieren
- Verbindung zu einem Netzwerk/Internet bestehen
abschalten
- während den Scans nichts am Rechner tuen
- nach jedem Scan den Rechner neu starten

5) Gmer - applikation
- lade die das Tool Gmer
- Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein)
- Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
- Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage
zu kopieren. Mit "Ok" wird GMER beendet.
- Füge das Log aus der Zwischenablage in deinen Post ein.

6) Catchme - Userland rootkit detector
- Lade dir Catchme.exe runter auf deinen Desktop.
- Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
- Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
- Das Log ist in catchme.log, füge es vollständig in deinen Post ein.

7) RootkitRevealer
- Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
- Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
- Starte durch Klick auf "Scan".
- Wenn der Scan fertig ist das Logfile mit File
-> Save abspeichern und in deinen Beitrag posten.

Aus den Scans aus Punkt 5-7 könnt ihr oder
der hilfsbereite Supporter ersehen, ob und wo
sich die restlichen Infizierungen befinden.

Viel Glück bei der Bereinigung und hoffentlich
auf ein sauberes System.

mfg Cleriker