Guten Tag. Vor kurzem fand ich das folgende Problem auf meinem Rechner:

mein Aira AntiVir Scanner zeigt an, dass eine gefährliche ntos.exe Datei in meinem system32-Ordner steckt. Nach mehreren Versuchen diese zu löschen habe ich aufgegeben und im Internet anch der Datei nachgeschaut. So bin ich auf diese Seite gestoßen.

Hier ist die Log-Datei von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:51, on 20.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.com/home.php?
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 213.174.2.4:8080
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\SnagIt 8\SnagItBHO.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: MSCREATE.DIR
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Отправить в 'Ссылки Интернета' - C:\WINDOWS\system\sendurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.2.100.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128198124517
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: wampapache - Apache Software Foundation - F:\php - arbeit\wamp\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - F:\php - arbeit\wamp\mysql\bin\mysqld-nt.exe

--
End of file - 8190 bytes

Ich würde gerne wissen, ob es sich lohnt den Norton-Antivirus zu installieren, da mir gesagt wurde, dass der sehr viele Systemresoursen verschlingt und ich leider eine alte Maschine habe. Ich beziehe DSL16k von Telekom und da ist die kostenpflichtige Version von Norton mit allem drum und dran mit dabei, aber wie gesagt: habe alten PC.

Hier ist dir leider leicht zu helfen. Sprich ntos.exe= zbot = alle Passworte geklaut = neu aufsetzen.

Zbot ist eine der agressivsten Malware. Solltest du Homebanking betreiben, solltest du die entsprechenden Konten ersteinmal fuer den Onlinegebrauch sperren lassen.

Eine Anleitung zum neu aufsetzen findest du u.a. hier http://www.trojaner-board.de/12154-a...sicherung.html

Zbot verbreitet sich haeufig durch Iframes auf infizierten Seiten wie u.a. auch hier: http://www.trojaner-board.de/49673-h...bpage-gen.html

Wenn du einen alternativen Browser wie firefox oder Opera genutzt haettest, waere dir dieses Missgeschick nicht passiert, bzw ein aktuell gehaltener IE 7 haette wohl auch gereicht.

Nach dem neu aufsetzen, solltest du alle passworte aendern, die du auf dem Rechner genutzt hast, bzw mache das zuerst von einem anderen (sauberen) Rechner aus.

Ich benutze nur FF. Es gibt einige der Familienmitglieder, die nur ie benutzen, ist nicht nur mein pc.

Was ich bemerkt habe, war, dass alle Passwörter aus meinem FF gelöscht wurden.

Gibt es bestimmte Seiten, wo man das holen kann? Diesen ntos.exe? Ich sperre die einfach.

Erstens ist das fuer dich jetzt schon u spaet und wenn man wuesste, welche Seiten das waeren wuerden diese sehr schnell gesperrt werden.
Heute gabs bei Heise einen Artikel zu etwas aehnlichem: http://www.heise.de/newsticker/meldung/103737

Du bist doch jetzt hoffentlich nicht mit dem verseuchten Rechner im Netz.
Dein Mitleser scheint in Bulgarien zu wohnen, oder hast du einen Zugang über Bulgarien?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 213.174.2.4:8080

ich bin mit dem gleichen rechner im netz.

meine schwester war im internet. ich habe keine ahnung was sie gemacht hat. ich bin nach hause gekommen und dann das.

kann man diese ip irgendwie verklagen? wenn ja, wie und was kann ich machen.

meine schwester kriegt keinen internetzugang mehr. ich würde gerne wissen, was dieser mensch von seinem rechner aus machen kann.

ich würde gerne wissen, welche passwörter diese 'person' von mir abschauen kann. ist es so, dass er die ganze zeit mitkriegt, was ich heir schreibe oder hat er die encrypteten dateien aus meinem firefox bzw. internet explorer rausgekriegt, denn alle passwörter aus dem firefox waren gelöscht.

(ich kann mich kaum in den händen halten, bitte helft mir. ich will diese person verklagen. wie kann ich rauskriegen, wer das macht?)

Hi,

solange nicht das Gegenteil bewiesen ist (was kaum geht), musst Du davon ausgehen, dass alle Passwörter, alle Bankdaten, einfach alles, was Du an diesem Rechner eingibst, verraten ist.

In den Fällen von ntos.exe, wo ich etwas hinter die Kulissen schauen konnte, wurden die Daten auf einen Server hochgeladen, der nicht in Deutschland, nicht mal in der EU steht, war (glaube ich) Russland. Da wünsch ich dir mit der Klage viel Erfolg, die haben dort wichtigere Probleme als ein (aus eigener Schuld) verseuchter Computer in Deutschland. Ändert aber nichts daran, dass neu installieren angesagt ist.

Ach ja: Das 'P' in "PC" steht für "Personal". Oder hättest Du Schwesterherz wenigstens nicht die Administratorrechte überlassen, hätte sich ntos.exe nicht im System einnisten können.

Gruß, Karl

ok,gut. klage ist nix jetzt. die bemerkung mit pc sticht in die seite, weißte? ich hatte nicht mal ein benutzerkonto. einfach rechnerstart und das wars. hole morgen die cd mit winXP installation zurück. danach die ganze sch... mit treibern u.s.w... wie ich das hasse.

jetzt gibts nur ein benutzekonto mit pw.

Systemsteuerung -> Benutzer: Dort für das Benutzerkonto festlegen, dass es eingeschränkte Rechte hat. Das Adminkonto ist nur zur Installation von Software und zur Systemverwaltung. Alles andere nur im eingeschränkten Konto machen.

mit alles andere, meinst du wohl arbeiten, surfen, referate, zocken, etc.

was nützt das gegen viren? ._.

Alle das fällt unter "alles andere". Mit eingeschränkten Rechten ist es nicht möglich, in die Systemverzeichnisse zu schreiben, große teile der Registry können nicht verändert werden, es können keine Treiber in den Kernel von Windows eingebracht wwerden, usw. damit funktioniert die meiste Malware nicht, da sie sich nicht installieren kann, die ntos.exe wäre z.B. daran gescheitert.

Es gibt zwar schon ein paar Sachen, die funktionieren auch unter eingeschränkten Rechten, aber zum einen sind sie meist die weniger schlimmen Sachen, zum anderen ist die Bereinigung fast immer möglich, oft sogar sehr einfach: Infiziertes Konto löschen und neues Konto anlegen. Gerade für geduldete Mitnutzer/innen am Computer das Richtige

hehe. danke. nun. welche antiviren sollte ich installieren? auf dem neuen system. wie gesagt norton av wäre ne mäglichkeit, aber der frisst so viele system resoursen, wurde mir gesagt. (support von norton bezahl ich schon in meinem dsl-vertrag). gibts da andere avs?

Ich hab gute Erfahrungen mit Antivir Classic gemacht. Erkennung und Heuristik hoch, kostet nichts und bremst kaum. Wichtiger ist allerdings alles andere, ein aktuelles System und dass man nicht auf alles klickt, was einen anblinkt: Klick mich.

danke. werde ich installieren.

es war aber schon immer auf meinem alten system. seltsam, dass da was durchgekommen ist. oO..