Bitte auf Rechtschreibfehler und Inhalt prüfen...

NTOS.exe als Backdoor und/oder Rootkit

Was ist ntos.exe?
ntos.exe ist ein Attachment von Spam-Mails,
in denen z.b. eine Anwaltsforderung gestellt
wird. Dabei ist im Anhang eine Rechnung.pdf-Datei
angehängt, die die ntos.exe-Datei in das
System32-Verzeichnis lädt. Hier die konkrete Erläuterung:
Aktenzeichen Schweiz: Falsche Rechnungen vom Anwalt


Was macht ntos.exe genau?
Um nachvollziehen zu können, wie weit
der Schädling bei euch vorran gekommen ist,
macht Ihr am Besten ein Hijackthislog nach Anleitung

Um immer wieder zu starten, trägt sie sich
als folgenden Eintrag ein:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WIN DOWS\system32\ntos.exe

Wenn der fett-makierte Teil dieses Eintrags in
dem Hijackthislogfile auftaucht,
bedeutet das, dass der Schädling aktiv war/ist
und weiterhin folgende Einträge erstellt hat / erstellen wird:

Zitat:

<System>\wsnpoem\audio.dll
<System>\wsnpoem\video.dll

Sollten diese Einträge vorhanden sein,
kann angenommen werden, dass die
Bankdaten ausspioniert wurden und ihr bekommt
vielleicht schon bald Post von eurer Bank.

Was kann man nach Infizierung tuen?
Die sicherste Methode einen PC nach einem
Schädling mit Rootik-Funktionalität oder
Backdooreigenschaften zu bereinigen, ist
natürlich ein komplettes Neuaufsetzen des System, siehe
System neu aufsetzen mit anschließender Absicherung
Und diese Methode kann ich auch jedem raten,
bei dem dieser Schädling vollständig installiert wurde.

Da es aber User gibt, die entweder nicht vollständig
infiziert sind oder sich strikt gegen ein NeuAufsetzen
weigern, habe ich mal eine mögliche Bereinigung aufgestellt,
die in Zusammenarbeit mit einem hilfsbereiten Forensupporter
durchgeführt werden kann:

1) Anleitung Avenger
- Lade dir das Tool Avenger und speichere es auf dem Desktop:
- Klicke nun auf die Option „Input Script manually“
-> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\ntos.exe
C:\System\wsnpoem\audio.dll
C:\System\wsnpoem\video.dll

Folders to delete:
C:\System\wsnpoem

- Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
- Danach das System unverzüglich neu starten lassen
- Poste den Inhalt der C:\avenger.txt

2) HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\system32\ntos.exe

- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

3) CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

4) Deaktivierung aller Störfaktoren:
- alle anderen Scanner gegen Viren, Spyware, usw. ausschalten / deaktivieren
- Verbindung zu einem Netzwerk/Internet bestehen
abschalten
- während den Scans nichts am Rechner tuen
- nach jedem Scan den Rechner neu starten

5) Gmer - applikation
- lade die das Tool Gmer
- Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein)
- Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
- Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage
zu kopieren. Mit "Ok" wird GMER beendet.
- Füge das Log aus der Zwischenablage in deinen Post ein.

6) Catchme - Userland rootkit detector
- Lade dir Catchme.exe runter auf deinen Desktop.
- Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
- Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
- Das Log ist in catchme.log, füge es vollständig in deinen Post ein.

7) RootkitRevealer
- Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
- Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
- Starte durch Klick auf "Scan".
- Wenn der Scan fertig ist das Logfile mit File
-> Save abspeichern und in deinen Beitrag posten.

Aus den Scans aus Punkt 5-7 könnt ihr oder
der hilfsbereite Supporter ersehen, ob und wo
sich die restlichen Infizierungen befinden.

Viel Glück bei der Bereinigung und hoffentlich
auf ein sauberes System.

mfg Cleriker

Hallo Cleriker


Mit dieser Anleitung bzw. Erklärung zu der Malware, bist du auf dem richtigen Weg ein guter Helfer auf diesem Board zu werden.
Du warst in letzter Zeit sehr aktiv, hast dich eingebracht, und hast viel gelernt.

Zur Vervollständigung deiner Anleitung gibt es noch folgende Tips von mir:

Zitat:

Die Schadsoftware legt folgende Registryeinträge an:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

Start -> Ausführen und dann “regedit” eingeben

Am Ende dieses Strings steht:
-> C:\Windows\system32\userinit.exe, C:\Windows\system32\ntos.exe

Am Ende dieses Strings sollte aber nur das stehen:
-> C:\Windows\system32\userinit.exe

Meist wird auch das Domain Name System (DNS) verändert, d.h. eine schadhafte Datei wird hierbei in die Datenbank eingepfelgt.
Welche sich aber du das Programm LSPFix entfernen lassen.

Was auf jeden Fall zu beachten ist:

So wie du es hier auch schon erklärt hast @Cleriker, und ich eigentlich ein Verfechter der "Neuinstallation" bin, bei diesem Rootkit sollte/muss eine Neuinstallation durchgeführt werden, der beschriebene Weg einer Bereinigung ist nur eine suboptimale Lösung!
Vor allem bei so sensiblen Daten welche beim Online-Banking übertragen werden.

Ansonsten kann ich nur sagen sagen ->

Super Cleriker

Mach weiter so !

Klasse Anleitung 1a

Dafür geb ich ne Runde aus

Zitat:

Dafür geb ich ne Runde aus

Und das am frühen Morgen
Whatever: Hier also die überarbeitete
Version mithilfe der Tipps von Sunny und Raman.
Für weitere Tipps und Anregungen bin ich gerne zu haben:

NTOS.exe als Backdoor und/oder Rootkit

Was ist ntos.exe?
ntos.exe ist ein Attachment von Spam-Mails,
in denen z.b. eine Anwaltsforderung gestellt
wird. Dabei ist im Anhang eine Rechnung.pdf-Datei
angehängt, die die ntos.exe-Datei in das
System32-Verzeichnis lädt. Hier die konkrete Erläuterung:
Aktenzeichen Schweiz: Falsche Rechnungen vom Anwalt


Was macht ntos.exe genau?
Um nachvollziehen zu können, wie weit
der Schädling bei euch vorran gekommen ist,
macht Ihr am Besten ein Hijackthislog nach Anleitung

Um immer wieder zu starten, trägt sie sich
als folgenden Eintrag ein:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WIN DOWS\system32\ntos.exe

Wenn der fett-makierte Teil dieses Eintrags in
dem Hijackthislogfile auftaucht,
bedeutet das, dass der Schädling aktiv war/ist
und weiterhin folgende Einträge erstellt hat / erstellen wird:

Zitat:

<System>\wsnpoem\audio.dll
<System>\wsnpoem\video.dll

Sollten diese Einträge vorhanden sein,
kann angenommen werden, dass die
Bankdaten ausspioniert wurden und ihr bekommt
vielleicht schon bald Post von eurer Bank.


Was kann man nach Infizierung tuen?
Die sicherste Methode einen PC nach einem
Schädling mit Rootik-Funktionalität oder
Backdooreigenschaften zu bereinigen, ist
natürlich ein komplettes Neuaufsetzen des System, siehe
System neu aufsetzen mit anschließender Absicherung
Und diese Methode kann ich auch jedem raten,
bei dem dieser Schädling vollständig installiert wurde.

Da es aber User gibt, die entweder nicht vollständig
infiziert sind oder sich strikt gegen ein NeuAufsetzen
weigern, habe ich mal eine mögliche Bereinigung aufgestellt,
die in Zusammenarbeit mit einem hilfsbereiten Forensupporter
durchgeführt werden kann:

1) Anleitung Avenger
- Lade dir das Tool Avenger und speichere es auf dem Desktop:
- Klicke nun auf die Option „Input Script manually“
-> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\ntos.exe
C:\System\wsnpoem\audio.dll
C:\System\wsnpoem\video.dll

Folders to delete:
C:\System\wsnpoem

- Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
- Danach das System unverzüglich neu starten lassen
- Poste den Inhalt der C:\avenger.txt

2) Registryeintrag entfernen
- Wechsel in den folgenden Registry-Pfad:
Start > Ausführen > "regedit" eingeben + "Enter"
> HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
- Ändere den String auf der rechten Seite:

Zitat:

C:\Windows\system32\userinit.exe, C:\Windows\system32\ntos.exe

in folgenden String um:

Zitat:

C:\Windows\system32\userinit.exe

3) HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\system32\ntos.exe

- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

Falls das Domain Name System (DNS) verändert wurde,
führe Punkt 4 durch. Ihr könnt es anhand unbekannter
017er-Einträge in dem erstellten Hijackthis-Logifile sehen.
4) LSPFix - DNS-Bereinigung
- lade dir das Tool LSPFIX
- Lade dir das Tool WinsockXPFix,
falls deine Internetverbindung unterbricht bzw. nicht mehr funktioniert.
- starte die LSPFix.exe
- setze das Häkchen, bei "I know, what I'm doing"
- schiebe die entsprechenden Einträge von links nach rechts
- klicke auf "Finish"

5) CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

6) Deaktivierung aller Störfaktoren:
- alle anderen Scanner gegen Viren, Spyware, usw. ausschalten / deaktivieren
- Verbindung zu einem Netzwerk/Internet bestehen
abschalten
- während den Scans nichts am Rechner tuen
- nach jedem Scan den Rechner neu starten

7) Gmer - applikation
- lade die das Tool Gmer
- Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein)
- Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
- Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage
zu kopieren. Mit "Ok" wird GMER beendet.
- Füge das Log aus der Zwischenablage in deinen Post ein.

8) Catchme - Userland rootkit detector
- Lade dir Catchme.exe runter auf deinen Desktop.
- Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
- Falls nach dem Ende des Scans im Fenster Dateien stehen,
dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird.
Die Dateien werden dabei nicht entfernt.
- Das Log ist in catchme.log, füge es vollständig in deinen Post ein.

9) RootkitRevealer
- Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
- Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
- Starte durch Klick auf "Scan".
- Wenn der Scan fertig ist das Logfile mit File
-> Save abspeichern und in deinen Beitrag posten.


Aus den Scans aus Punkt 7-9 könnt ihr oder
der hilfsbereite Supporter ersehen, ob und wo
sich die restlichen Infizierungen befinden.

Zitat:

Da es aber User gibt, die .... nicht vollständig infiziert sind

Sorry, aber der Satz ist absolut sinnbefreit: Eine Frau kann nicht nur teilweise schwanger sein.

Zitat:

sich strikt gegen ein Neuaufsetzen weigern

Das Neuaufsetzen ist das beste für den User selbst und so bleibt es für alle Ewigkeiten und so muss dem User aufgeklärt werden. Alle Rootkit- bzw. Backdoor- Bereinigungen sind reine Zeitverschwendung und Selbstbetrug. Die ganzen Pro & Contras wurden hier schon mal rumdiskutiert: http://www.trojaner-board.de/12784-s...iskussion.html
Fazit: Wenn es im TB für die Backdoor-Bereinigung plädiert werden sollte, sehe ich für mich keinen Sinn, weiter hier mitzuarbeiten...
SCNR.

Zitat:

Zitat von Rene-gad

Eine Frau kann nicht nur teilweise schwanger sein.

Ja, aber eine Frau kann schwanger werden, ein User kann weder teilweise noch ganz von einem Computervirus infiziert werden - höchstens von dem "Virus" Computer.

Zitat:

Zitat von Rene-gad

Alle Rootkit- bzw. Backdoor- Bereinigungen sind reine Zeitverschwendung und Selbstbetrug.
...
Fazit: Wenn es im TB für die Backdoor-Bereinigung plädiert werden sollte, sehe ich für mich keinen Sinn, weiter hier mitzuarbeiten...

Das Aufzeigen einer - wenn auch schlechten - Alternative mit dem Hinweis auf dessen Mangel ist aber durchaus sinnvoll. Es gibt leider genügend Nutzer die vor einer Alternative: Neuaufsetzen oder mit dem Backdoor leben, tatsächlich das zweite nehmen, solange das System noch halbwegs arbeitet. Nach einer Bereinigung ist zumindest die Chance größer, dass das System keine Gefahr mehr für dritte darstellt - für den Besitzer des Malware-PCs ist es mir da schon eher egal.
Entbindet natürlich nicht, auf das sinnvollere zu pochen und deutlich (und vorallem zuerst) und immer auf die vernünftige Lösung zu drängen.

Es ist gut jemanden von "da mache ich jetzt erstmal gar nichts" zu "ich versuche eine Bereinigung" zu bringen.
Es ist schlecht jemanden von "ich setze neu auf" zu "ich versuche eine Bereinigung" zu bringen.

Hallo,
nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach.

Datei Commander 8.3 öffnen.
Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen,
Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen. *grins*

Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie.

Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann.

Danach Rechner runterfahren und neu starten.

Mehr nicht, das Einfache liegt so nah.

Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen.
Viele Grüße

Ntos.exe sitzt unter Windows-system32 als exe Datei. Im Register wird er beim hochfahren aktiv und hängt im Speicher.
Die <System>\wsnpoem\audio.dll <System>\wsnpoem\video.dll sind keine DLL Dateien sondern sie registrieren die Passwörter und Zugänge.
Selbst wenn du die Datei löschen könntest, es würde nicht helfen, beim runterfahren schreibt er sie zurück.
Du kannst aber im Process Explorer das Programm schließen, es lädt NICHT nach, nur die beiden wsnpoem Dateien sind weiter aktiv.
Nachdem die Datei im Win/system32 umbenannt ist, ist Schluss, er findet sie nicht mehr.

Zitat:

nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach.

Hättest du hier mal aufmerksamer gelesen, wüsstest du, dass es mitnichten gaanz einfach ist, mal eben eine Backdoor zu entfernen.
Sicherheit schafft nur das Neuaufsetzen.

Zitat:

Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen.

Virenscanner sind keine nunmal keine verlässlichen Werkzeuge, dein Ergebnis ist durchaus normal. Was machst du denn mit den Schädlingen, die noch in deinem System sind, aber von keinem Virenscanner gefunden werden?