Hallo,

auf einem Rechner auf dem auch Avira Antivir (aktuell) läuft, hat dieses einen Schädling "ntos.exe" erkannt und gelöscht.
Ntos.exe wird aber noch gestartet, obwohl das auf dem System (C:\Windows\System32\) nicht mehr zu finden ist.
Aber im Tool "Process Explorer" kann man danach suchen und es wird von Winlogon benutzt, dort kann man dann zwar auch den Handle schliessen, aber das ist erfolglos auf Dauer.

Im Registry-Schlüssel stand:

HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon

Userinit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe

Und obwohl ich das ntos.exe dort entfernt hatte war es danach sofort wieder drin. Irgendein Programm hat es anscheinend wieder reingeschrieben. Der Virus selbst konnte es meines Erachtens aber nicht sein, weil ich den (sofern ich alle seine Klone gefunden hatte) abgeschossen hatte.

Das ganze ist in Verbindung mit dem Pseudo-Antivirenprogramm "XP Antivirus" passiert.
Das sich unter kryptischem Namen (C:\Programme\rhcjukj0ea25\) eingenistet hatte.
Später auch eine Datei im System32 Verzeichnis namens braviax.exe damit in Verbindung bringen können.
Und Dateien in C:\Windows\Temp\

Kann es sein, dass der Virus eine Systemdatei, z.B. Winlogon ausgetauscht hat?
Ein Rootkit? Der Process Explorer hat mir nämlich im Prozess-Fenster die Prozessnamen nicht mehr angezeigt.

Ich habe das Problem erst durch Wiederherstellung in einen Zustand vor der Infektion wieder in den Griff gekriegt.

Gruss franc

Hallo,
dein Fall ist leider mehr als deutlich.
Du bist mit einem passwortstehlendem Trojaner aus der ZBot-Familie infiziert.
Bei dir ist es im sehr fortgeschrittenem Modus, und zwar injiziert der Trojaner seinen Schadcode in den Prozess winlogon.exe.
Deshalb solltest du Neuaufsetzen.
Was noch nötig ist:

- Alle Zugangsdaten und Passwörter von einem sauberen Rechner aus ändern
- Konten wie Online Banking, PayPal, ebay, etc. sperren lassen
- Mit deiner Bank in Verbindung setzen
- Gegebenfalls ein Image vom jetzigen System erstellen zur Beweissicherug (falls schon ungewollte Transfere stattgefunden haben)

Hast du eine Email von einer angebl. Paypalabbuchung, etc. erhalten?

mfg

Edit:Hier wird der ganze Infektionsablauf eines ZBots dargestellt: Klick

Ja, ein solches "PayPal"-Email ist wahrscheinlich gestern geöffnet worden (es ist nicht mein Rechner, ich helfe da nur). Ich habe den starken Verdacht, dass der Virus da drinnen war. Ist bekannt, dass dieser ntos.exe in diesem Pseudo-PayPal-Angriff enthalten war?
Jedenfalls scheint alles wieder zu laufen, nach der Systemwiederherstellung. Keine Spur mehr von einem Virus zu erkennen (winlogon in der Registry etc.).

Zitat:

Ist bekannt, dass dieser ntos.exe in diesem Pseudo-PayPal-Angriff enthalten war?

Nein, nur eine Kopie der Malware.
ntos.exe ist dann davon eine Kopie, die im System aktiv ist, bis sie sich in die winlogon.exe injiziert hat. Ist dies erfolgreich abgelaufen löscht die Malware alle Spuren von der anfänglichen Kopie ntos.exe, d.h. alle Registryschlüssel, etc.

Zitat:

Jedenfalls scheint alles wieder zu laufen, nach der Systemwiederherstellung. Keine Spur mehr von einem Virus zu erkennen (winlogon in der Registry etc.).

Das ist ja das Ziel des Malwarecoders, das das Opfer glaubt es sei alles i.O.
Leider ist dies nicht der Fall und schon garnicht nach der Systemwiederherstellung.
Da alle ZBot-Varianten eine Hintertür (Backdoor) öffnen und somit eine Fernsteuerung durch einen Remote Admin. zulassen, spricht man von dem jetzt vorliegendem System auch von einer Technischen Kompromittierung.

mfg

Du meinst also diese winlogon ist jetzt infiziert.
Dann müsste ich aber doch einen offenen Port vorfinden von winlogon.
Und wenn ich die winlogon mit der original-winlogon tausche dürfte der Virus doch weg sein, oder nicht?

Ich frage mich, wieso du vergebens versuchst ein kompromittiertes/verseuchtes/manipuliertes System durch einzelne saubere Bausteine zu ersetzen.

Nichts für ungut, es geht um die Sicherheit des Besitzers und dem Willen ein vertrauenwürdiges System zu besitzen.

Wieso "vergebens"? Wenn ich den Virus komplett gelöscht habe, bzw. die manipulierten Bausteine wieder ersetzt, dürfte das System ja wieder normal laufen.

Das Problem ist, dass ich nicht vor Ort bin und selbst wenn ich vor Ort wäre, würde es mindestens einen Tag dauern, bis ich das System mit allen Programmen wieder so hätte.
Das ist ein enormer Aufwand.
Daher versuche ich natürlich erstmal alle anderen Möglichkeiten.

Blöd wärs natürlich, wenn ich hinterher doch neu aufsetzen müsste, aber ich kann ja durchaus Erfolg haben.

Wieso vergebens?
Weil es bei Trojanern (nicht Viren) dieser Art keine andere Möglichkeit gibt.
Was glaubst du, wenn jedes Forum bei einer ZBot-Infektion zum Neuaufsetzen rät?

Natürlich kannst du auch diesem Schädling den Kampf ansagen, ich sag dir jetzt schon mal, dass du weder Erfolg verspüren wirst, noch einen Backdoor-Trojaner komplett ohne Neuaufsetzen entfernen kannst.

Ich würd es ja verstehn, wenn es sich um Rogue Software, oder einen Vundo handeln würde, aber bei Trojanern, die schon unermesslichen Schaden angerichtet haben/anrichten können wäre ich in der Hinsicht sehr vorsichtig.

Wenn du nicht Neuaufsetzen willst, sehen wir uns in spätestens 2-3 Wochen wieder.

mfg

Dark_Viruz, theoretisch ist es ja möglich Nur praktisch eben nicht weil man nicht weiß was genau schon alles manipuliert wurde

Also ich hab mal die Winlogon.exe verglichen mit einem gesunden System.
Sie ist gleich. Sie war es auch vorher (nach dem hash zu urteilen, den ich vorher erstellt hatte).

Also jetzt, 5 Wochen später, ist immer noch nichts Verdächtiges zu entdecken.
Viele Überweisungen wurden in der Zwischenzeit von diesem Rechner aus getätigt und keine unberechtigte Überweisung wurde verbucht.
Keine verdächtigen Ports sind offen und kein unbekanntes Programm läuft.
Virencheck negativ.
Ich hatte sicherheitshalber zusätzlich eine Firewall installiert (die aber nichts verdächtiges gemeldet hatte) und ClamWin Free Antivirus für den E-Mail-Check in Outlook (nettes OpenSource-Programm, funktioniert gut).
Ich gehe also sehr stark davon aus, dass ich den Virus damals entfernt hatte.
Deine Prognose Dunkl_Virus, dass wir uns also in zwei bis drei Wochen "wiedersähen" hat sich nicht bestätigt.
Der Trick war offensichtlich die Systemwiederherstellung in einen Zustand vor der Infektion (den es gottlob gab). Glück vermutlich auch, dass die Infektion sofort festgestellt worden war.