Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ntos.exe - McAfee Rootkit Detective hilft?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 04.06.2008, 19:07   #1
Malachyt
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Hallo zusammen,

habe soeben mit großem Schrecken festgestellt, dass ich mir anscheinend ntos.exe eingefangen habe, hier das log:

Logfile of HijackThis v1.99.1
Scan saved at 19:57:28, on 04.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgttry.exe
C:\WINDOWS\TEMP\162.tmp
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\regedit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\Rootkit_Detective.exe
C:\Programme\McAfee\Managed VirusScan\Agent\MyUsrSrv4.7.0.538.exe
C:\Marion\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.domain.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.domain.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.domain.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.domain.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.domain.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Programme\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"
O4 - HKLM\..\Run: [MVS Splash] "C:\Programme\McAfee\Managed VirusScan\Agent\Splash.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://*.mcafee.com
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://de.vs.mcafeeasap.com/VS2/bin/myCioAgt.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - http://www.navigram.com/engine/v902/Navigram.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08CA36F1-337E-4D68-BB69-951169D346A1}: NameServer = 217.237.148.102 217.237.151.115
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Programme\McAfee\Managed VirusScan\Agent\MyRmProt4.7.0.538.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: EngineServer - McAfee, Inc. - C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McShield - McAfee, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee-Dienst zum Schutz vor Viren und Spyware (myAgtSvc) - Unknown owner - C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" /ServiceStart (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


Habe verzweifelt gegoogelt, weil ich bitte, bitte bitte nicht das System neu aufsetzten will , und die Sparkasse meint folgendes zur Hilfe:
"Installation des kostenlosen Tools "McAfee Rootkit Detective 1.0". Dieses Tool erkennt die "WSNPOEM"-Variante und benennt die Datei "ntos.exe" und den wsnpoem-Ordner im laufenden System um. Nach einem System-Neustart ist die Datei ntos.exe nicht mehr aktiv und kann durch einen Virenscanner gelöscht werden."

Was meint ihr dazu? Der Detective hat in \system32 sowohl ntos.exe als auch wsnpoem.exe gefunden, und bietet mir an, sie umzubenennen. Also einfach umbenennen, und dann löschen?

Vielen lieben Dank im voraus,

Mala

Alt 04.06.2008, 19:10   #2
BataAlexander
> MalwareDB
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Du hast einen Z-Bot auf dem Rechner und noch andere Schadsoftware.
Man kann hier eine Bereigung versuchen, das hängt von Dir ab. Ansonsten wäre der "saubere" Weg eine Neuinstallation des Systems.
Wie auch immer solltest Du von einem anderen Rechner aus
  • Alle auf Deinem Rechner benutzten Kennwörter ändern!
  • Falls Du OnlineBanking betreibst, die Kontobewegungen prüfen
  • Für alle Spiele Accounts, Kreditkarten etc. die Zugangsdaten ändern oder das Konto auf Veränderungen prüfen.
Wie willst Du vorgehen?
__________________

__________________

Alt 04.06.2008, 19:22   #3
Malachyt
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Noch mehr? Auf die automatische Auswertung bei hijackthis.de kann man sich wohl nicht verlassen, der hat nur den ntos gefunden... verdammt!

Hab leider nur den einen Rechner mit Internetzugang hier, von daher werd ich wohl erst säubern (oder neu aufsetzen) müssen, und schau mir dann an, wie groß die Katastrophe ist?

Also, wenn ich irgendwie um die Neuinstallation rumkommen würde, wäre schon toll. Funktioniert denn der McAfee-Detective für den ntos? Und was schätzt du (Sie? Kenne die Etikette hier nicht ), ist der Zeitaufwand/Komplikationsgrad (bin nicht gerade Fachfrau, falls das noch nicht rübergekomme ist) für Neuaufsetzen oder Säubern höher?

Oh je... mir ist schon ganz schlecht.
__________________

Alt 04.06.2008, 19:27   #4
-SkY-
Gast
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Zitat:
Zitat von Malachyt Beitrag anzeigen
Also, wenn ich irgendwie um die Neuinstallation rumkommen würde, wäre schon toll. Funktioniert denn der McAfee-Detective für den ntos? Und was schätzt du (Sie? Kenne die Etikette hier nicht ), ist der Zeitaufwand/Komplikationsgrad (bin nicht gerade Fachfrau, falls das noch nicht rübergekomme ist) für Neuaufsetzen oder Säubern höher?
Ich misch mich mal ein

Zeitaufwand bei einer Bereinigung wäre enorm, und die Chancen auf ein vollständig sauberes System gering.

Zeitaufwand bei einer Neuinstallation ist mäßig, Chancen auf ein saubers System 99.9%.

Außerdem wäre für eine "nicht-Fachfrau" es deutlich einfacher neuaufzusetzen, da man keine 20 Anleitungen für irgendwelche Programme durchackern muss.

lg

Alt 04.06.2008, 19:33   #5
Malachyt
 
ntos.exe - McAfee Rootkit Detective hilft? - Icon24

ntos.exe - McAfee Rootkit Detective hilft?



Darf sich jeder gerne einmischen, bin um jede Hilfe froh! Auch wenn's genau die Antwort war, die ich nicht haben wollte ... :-)

Hoffe ja, dass mir jemand sagen kann, dass der Detective für den ntos.exe idiotensicher und schnell funktioniert, und dass das mit dem z-bot (was das ist, werd ich gleich mal googeln) mit weniger als 20 Programmen lösbar sein könnte!

Wenn nicht, werd ich wohl in den saueren Apfel beißen müssen. Ohjemmine.


Alt 04.06.2008, 19:34   #6
Heike
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Zitat:
Zitat von Malachyt Beitrag anzeigen
Also, wenn ich irgendwie um die Neuinstallation rumkommen würde, wäre schon toll. Funktioniert denn der McAfee-Detective für den ntos? Und was schätzt du, ist der Zeitaufwand/Komplikationsgrad (bin nicht gerade Fachfrau, falls das noch nicht rübergekomme ist) für Neuaufsetzen oder Säubern höher?
Weißt Du, gerade für Leute wie Dich ist eine Neuinstallation der bessere Weg, weil Du eben nicht beurteilen kannst, was letztlich auf Deinem System passiert.
__________________
--> ntos.exe - McAfee Rootkit Detective hilft?

Alt 04.06.2008, 19:39   #7
BataAlexander
> MalwareDB
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 04.06.2008, 19:41   #8
-SkY-
Gast
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Zitat:
Darf sich jeder gerne einmischen, bin um jede Hilfe froh! Auch wenn's genau die Antwort war, die ich nicht haben wollte ... :-)


Zitat:
Hoffe ja, dass mir jemand sagen kann, dass der Detective für den ntos.exe idiotensicher und schnell funktioniert, und dass das mit dem z-bot (was das ist, werd ich gleich mal googeln) mit weniger als 20 Programmen lösbar sein könnte!
Dieser ZBot ist eine sogenannter Backdoor. Dieser baut wie der Name schon sagt eine Hintertür in deinen Rechner ein. Durch diese Hintertür hat er die volle Kontrolle über deinen Rechner. Dieser Rechner ist dann kompromittiert.
Diese Rechner werden zu Botnetzen zusammengefasst, und für DDoS, Spam, weiterverbreitung von Viren, weiterverbreitung von Pornographie, usw. genutzt. Dies macht dich auch strafbar, da du für dein System verantwortlich bist.

Ich hoffe ich habs verständlich formuliert

lg

Alt 04.06.2008, 20:03   #9
Malachyt
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



@BataAlexander:
Vielen lieben Dank für den Ansatz mit ComboFix. Ich hab jetzt wirklich lange überlegt, was ich tun soll, und mich schlussendlich doch zum Neuaufsetzen entschieden, auch wenn mir das eine Heidenangst macht. Sorry, falls ich Dich viel Zeit/Nerven gekostet habe.

@SkY/Heike:
Auch Euch Dankeschön - werd dann mal mein Bestes geben... Oh je.

Alt 04.06.2008, 20:04   #10
BataAlexander
> MalwareDB
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Die bessere Entscheidung!
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 04.06.2008, 20:05   #11
-SkY-
Gast
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Drucke dir am besten wie Anleitung aus, dürfte schonmal Nervern sparen

Alt 04.06.2008, 20:10   #12
Malachyt
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Mir zittern dermaßen die Nerven, das glaubt ihr nicht...

(Jetzt bin ich auch noch am hysterisch werden, ob ich nicht am besten gleich bei der hotline anrufen soll, und meine Konten sperren lasse.
Und wenn ich dann noch so Sachen wie das hier lese, will ich am liebsten gar nicht mehr ins Internet:
hxxp://www.viruslist.com/de/viruses/encyclopedia?virusid=164339#doc3 )

Das wird 'ne lange Nacht werden... jetzt erst mal alle Daten sichern.

Alt 04.06.2008, 20:13   #13
Heike
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



hey, nur Mut, ist gar nicht so schwierig viel Erfolg
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 04.06.2008, 20:16   #14
KarlKarl
/// Helfer-Team
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Konto sperren lassen ist eine sehr gute Idee. Vermutlich werden Daten für dein Konto bereits gehandelt. Minimum: Mit der Bank sprechen: Die sollten genauer sagen können, was zu tun ist um das Konto zu sichern.

Alt 05.06.2008, 10:01   #15
Malachyt
 
ntos.exe - McAfee Rootkit Detective hilft? - Standard

ntos.exe - McAfee Rootkit Detective hilft?



Hallo zusammen,

also: gestern Daten gesichert, todmüde ins Bett gefallen. Heute, mehr oder minder gewappnet für Neuinstallation, aus Neugier den Detective von McAfee nochmal rüberlaufen lassen - der hat die ntos.exe nicht mehr gefunden. Ist auch nicht mehr im systems32-Ordner zu sehen. Was noch da ist, ist der wsnpoem-Ordner mit audio.dll, audio.dll.cla, und video.dll. Neues Log gemacht, und im Vergleich zum gestrigen hat sich auffälligerweise diese Zeile verändert:
von
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
zu
F2 - REG:system.ini: UserInit=userinit.exe

Heißt das jetzt, dass der Trojaner verschwunden ist? Auch wenn ich mir nicht erklären kann, warum? Oder versteckt er sich jetzt woanders? Hier mal das komplette log nochmal von heute morgen:


Logfile of HijackThis v1.99.1
Scan saved at 10:46:22, on 05.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgtTry.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\McAfee\Managed VirusScan\Agent\HtmlDlg.Exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Marion\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Programme\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"
O4 - HKLM\..\Run: [MVS Splash] "C:\Programme\McAfee\Managed VirusScan\Agent\Splash.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://*.mcafee.com
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://de.vs.mcafeeasap.com/VS2/bin/myCioAgt.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - http://www.navigram.com/engine/v902/Navigram.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08CA36F1-337E-4D68-BB69-951169D346A1}: NameServer = 217.237.148.102 217.237.151.115
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Programme\McAfee\Managed VirusScan\Agent\MyRmProt4.7.0.538.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: EngineServer - McAfee, Inc. - C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McShield - McAfee, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee-Dienst zum Schutz vor Viren und Spyware (myAgtSvc) - Unknown owner - C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" /ServiceStart (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)



Hab McAfee auch nochmal scannen lassen, und der fand noch:
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\7svehqo5.default\Cache\C2152591d01\PSEXEC.CFEXE RemAdm-ProcLaunch!171 Bedrohung erkannt
bzw.
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\7svehqo5.default\Cache\C2152591d01 RemAdm-ProcLaunch!171 Bedrohung erkannt

Sind das Überreste von ComboFix?


Sehr, sehr verwirrend das ganze. Was meint ihr dazu?

Antwort

Themen zu ntos.exe - McAfee Rootkit Detective hilft?
adobe, bho, excel, explorer, firefox, firewall, heulen, hijack, hijackthis, installation, internet, internet explorer, mozilla, mozilla firefox, pdf, programme, rootkit, rundll, schutz, shortcut, software, spyware, system, system neu, t-online, temp, userinit.exe, viren, windows, windows xp, windows\temp




Ähnliche Themen: ntos.exe - McAfee Rootkit Detective hilft?


  1. Windows Personal Detective entfernen
    Anleitungen, FAQs & Links - 05.03.2012 (2)
  2. Bitte um Fileauswertung McAfee Rootkite Detective
    Plagegeister aller Art und deren Bekämpfung - 03.04.2011 (32)
  3. McAfee Startet Nicht, Shutdown nach Start, RootKit?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (11)
  4. ntos.exe ???
    Log-Analyse und Auswertung - 18.02.2009 (3)
  5. wsnpoem und ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 28.10.2008 (29)
  6. ntos.exe
    Diskussionsforum - 25.08.2008 (14)
  7. ntos.exe usw. brauche hilfe
    Log-Analyse und Auswertung - 05.08.2008 (3)
  8. TR/Spy.ZBot.cew mit ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 09.06.2008 (5)
  9. ntos.exe bzw. wsnpoem !
    Plagegeister aller Art und deren Bekämpfung - 08.02.2008 (4)
  10. McAfee Rootkit Detective 1.1 findet verstekte Einträge
    Plagegeister aller Art und deren Bekämpfung - 06.02.2008 (5)
  11. ntos.exe Nachwehen
    Plagegeister aller Art und deren Bekämpfung - 07.01.2008 (11)
  12. ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 04.01.2008 (3)
  13. NTOS.exe als Backdoor und/oder Rootkit
    Lob, Kritik und Wünsche - 27.11.2007 (32)
  14. ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 25.09.2007 (7)
  15. TR/dropagent.nts in Systemdatei Ntos.exe
    Log-Analyse und Auswertung - 30.05.2007 (1)
  16. ntos.exe pls help
    Log-Analyse und Auswertung - 11.04.2007 (1)
  17. ntos.exe - hat zugeschlagen
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (5)

Zum Thema ntos.exe - McAfee Rootkit Detective hilft? - Hallo zusammen, habe soeben mit großem Schrecken festgestellt, dass ich mir anscheinend ntos.exe eingefangen habe, hier das log: Logfile of HijackThis v1.99.1 Scan saved at 19:57:28, on 04.06.2008 Platform: Windows - ntos.exe - McAfee Rootkit Detective hilft?...
Archiv
Du betrachtest: ntos.exe - McAfee Rootkit Detective hilft? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.