Nachdem ich ja gestern schon erste probleme mit meinem System bekamm und sich die Firewall und mein Antivir von alleine deaktiviert hat und sich sich auch nicht mehr aktiviern lassen. hab ich heute mal die letzten arlarm meldungen von antivir gefunden:In der Datei 'C:\WINDOWS\system32\ntos.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.

In der Datei 'C:\WINDOWS\system32\drivers\etc\hosts'
wurde ein Virus oder unerwünschtes Programm 'TR/AntiHosts.Gen' [trojan] gefunden.

Der Dienst wurde gestoppt.


Bitte helft mir was kann ich tun???

Zitat:

C:\WINDOWS\system32\ntos.exe

Ich würde sagen, das sieht nach dem GAU deines Rechners aus.
Du solltest:
- Deinen Rechner physikalisch vom Netz trennen
- Alle Zugangsdaten und Passwörter von einem sauberen Rechner ändern
- Konten, wie PayPal, Online Banking, ebay, etc. sperren lassen
- Verbindung mit deiner Bank aufnehmen

Danach den Rechner Neuaufsetzen, genau nach der Anleitung.

Für anstehende Fragen stehe ich gerne zur Verfügung

mfg

ok dann werd ich das gleich mal angehen soweit.

Der elende virus hat mich so nervös gemacht ich häng hier zitternt vorm rechner. Hab die boot device auf cd geändert und meine xp cd eingelegt. Aber anstatt des intallations menü startet er normal xp. wo liegt der fehler? sry aber ich bin voll durch den wind

Wenn das XP Desktop Hintergrund da ist, ist das schon richtig.

Übrigens, hast du einen Ordner auf der Festplatte, der wsnpoem heißt?

mfg

Ja hab ich was heißt das?

das problem ist das dass system normal startet. ich bekomme keine optionen wie formatieren... sondern XP startet ganz normal nur halt von cd. aber ich will ja die platte formatiern.. muss ich da beim booten nicht noch ne taste drücken?

Wenn du Zeit hättest, könntest du den Ordner samt Inhalt in ein passwortgeschütztes rar oder zip-Archiv kopieren (Passwort "virus) und an meine Email schicken.

So sollte es funktionieren:
http://www.trojaner-board.de/104195-windows-xp-neuaufsetzen-anleitung.html

mfg

sry aber ich kann das nur ohne passwort zippen

Wenn du WinRAR hast, gehts ganz einfach:

Rechtsklick auf Datei => "Packen und als Email versenden" => gehe auf "Erweitert" => dann auf den Button "Passwort festlegen..." => PW eingeben => Ok

ok ich schau gleich mal. aber mit xp das funzt einfach nicht. ich hab als first boot device mein cd laufwerk und wenn ich nun die xp cd einlege fährt der rechner normal hoch. ich muss doch beim einschalten noch irgendeine taste drücken oder? ich meine es war eine F taste..?

Kommt den irgendeine Fehlermeldung?
Hast du schonmal probiert, von einer Live CD zu booten?
Wird das Laufwerk vom BIOS erkannt?
Falls alles nicht geht, es aber im BIOS erkannt wird, denke ich das das Laufwerk defekt ist.
Wenn dies der Fall ist, würde ich den Rechner zur Reparatur bringen..

mfg

laufwerk ist ok. cd wird auch unter windows erkannt. musste man nicht beim booten noch eine taste drücken um die option formartieren zu erhalten?

PS die datei konnte ich nur ohne passwort zippen. mit passwort bricht das immer mit ner fehlermeldung ab. soll ich sie trotzdem schicken?

Du könntest auch mal im BIOS schauen (Kurz nach dem starten Entf/DEL-Taste drücken) ob die richtige Bootsequenz eingestellt ist

mfg

Edit: Bin mir nicht sicher, ob sie dann wegen Verdacht auf Trojaner rausgefiltert wird, deswegen wollte ich ja die Datei analysieren, ob dies ein Rootkit oder ein Trojaner ist.
Das ist nämlich von Schadprogramm zu Schadprogramm variabel

hab ich. hab alles ausgeschaltet außer das cd laufwerk.

Dann gehe ich davon aus, das die Win XP CD nicht bootfähig ist.
Das wollte ich durch den Test mit einer Live CD eben herausfinden..

mfg

So teil 1 wäre soweit geschafft. Ich hoffe es reicht(e) die system Partition neu aufzustetzen??!

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Razer\Copperhead\razerhid.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Razer\Copperhead\razertra.exe
D:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Headbanger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E9C343ED\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [razer] D:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ZDWLan Utility.lnk = C:\Programme\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe