ntos.exe lässt sich nicht aus Winlogon entfernen

francwalter

Hallo,

auf einem Rechner auf dem auch Avira Antivir (aktuell) läuft, hat dieses einen Schädling "ntos.exe" erkannt und gelöscht.
Ntos.exe wird aber noch gestartet, obwohl das auf dem System (C:\Windows\System32\) nicht mehr zu finden ist.
Aber im Tool "Process Explorer" kann man danach suchen und es wird von Winlogon benutzt, dort kann man dann zwar auch den Handle schliessen, aber das ist erfolglos auf Dauer.

Im Registry-Schlüssel stand:

HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon

Userinit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe

Und obwohl ich das ntos.exe dort entfernt hatte war es danach sofort wieder drin. Irgendein Programm hat es anscheinend wieder reingeschrieben. Der Virus selbst konnte es meines Erachtens aber nicht sein, weil ich den (sofern ich alle seine Klone gefunden hatte) abgeschossen hatte.

Das ganze ist in Verbindung mit dem Pseudo-Antivirenprogramm "XP Antivirus" passiert.
Das sich unter kryptischem Namen (C:\Programme\rhcjukj0ea25\) eingenistet hatte.
Später auch eine Datei im System32 Verzeichnis namens braviax.exe damit in Verbindung bringen können.
Und Dateien in C:\Windows\Temp\

Kann es sein, dass der Virus eine Systemdatei, z.B. Winlogon ausgetauscht hat?
Ein Rootkit? Der Process Explorer hat mir nämlich im Prozess-Fenster die Prozessnamen nicht mehr angezeigt.

Ich habe das Problem erst durch Wiederherstellung in einen Zustand vor der Infektion wieder in den Griff gekriegt.

Gruss franc