Hallo,

auf einem Rechner auf dem auch Avira Antivir (aktuell) läuft, hat dieses einen Schädling "ntos.exe" erkannt und gelöscht.
Ntos.exe wird aber noch gestartet, obwohl das auf dem System (C:\Windows\System32\) nicht mehr zu finden ist.
Aber im Tool "Process Explorer" kann man danach suchen und es wird von Winlogon benutzt, dort kann man dann zwar auch den Handle schliessen, aber das ist erfolglos auf Dauer.

Im Registry-Schlüssel stand:

HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon

Userinit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe

Und obwohl ich das ntos.exe dort entfernt hatte war es danach sofort wieder drin. Irgendein Programm hat es anscheinend wieder reingeschrieben. Der Virus selbst konnte es meines Erachtens aber nicht sein, weil ich den (sofern ich alle seine Klone gefunden hatte) abgeschossen hatte.

Das ganze ist in Verbindung mit dem Pseudo-Antivirenprogramm "XP Antivirus" passiert.
Das sich unter kryptischem Namen (C:\Programme\rhcjukj0ea25\) eingenistet hatte.
Später auch eine Datei im System32 Verzeichnis namens braviax.exe damit in Verbindung bringen können.
Und Dateien in C:\Windows\Temp\

Kann es sein, dass der Virus eine Systemdatei, z.B. Winlogon ausgetauscht hat?
Ein Rootkit? Der Process Explorer hat mir nämlich im Prozess-Fenster die Prozessnamen nicht mehr angezeigt.

Ich habe das Problem erst durch Wiederherstellung in einen Zustand vor der Infektion wieder in den Griff gekriegt.

Gruss franc

Hallo,
dein Fall ist leider mehr als deutlich.
Du bist mit einem passwortstehlendem Trojaner aus der ZBot-Familie infiziert.
Bei dir ist es im sehr fortgeschrittenem Modus, und zwar injiziert der Trojaner seinen Schadcode in den Prozess winlogon.exe.
Deshalb solltest du Neuaufsetzen.
Was noch nötig ist:

- Alle Zugangsdaten und Passwörter von einem sauberen Rechner aus ändern
- Konten wie Online Banking, PayPal, ebay, etc. sperren lassen
- Mit deiner Bank in Verbindung setzen
- Gegebenfalls ein Image vom jetzigen System erstellen zur Beweissicherug (falls schon ungewollte Transfere stattgefunden haben)

Hast du eine Email von einer angebl. Paypalabbuchung, etc. erhalten?

mfg

Edit:Hier wird der ganze Infektionsablauf eines ZBots dargestellt: Klick

Ja, ein solches "PayPal"-Email ist wahrscheinlich gestern geöffnet worden (es ist nicht mein Rechner, ich helfe da nur). Ich habe den starken Verdacht, dass der Virus da drinnen war. Ist bekannt, dass dieser ntos.exe in diesem Pseudo-PayPal-Angriff enthalten war?
Jedenfalls scheint alles wieder zu laufen, nach der Systemwiederherstellung. Keine Spur mehr von einem Virus zu erkennen (winlogon in der Registry etc.).

Zitat:

Ist bekannt, dass dieser ntos.exe in diesem Pseudo-PayPal-Angriff enthalten war?

Nein, nur eine Kopie der Malware.
ntos.exe ist dann davon eine Kopie, die im System aktiv ist, bis sie sich in die winlogon.exe injiziert hat. Ist dies erfolgreich abgelaufen löscht die Malware alle Spuren von der anfänglichen Kopie ntos.exe, d.h. alle Registryschlüssel, etc.

Zitat:

Jedenfalls scheint alles wieder zu laufen, nach der Systemwiederherstellung. Keine Spur mehr von einem Virus zu erkennen (winlogon in der Registry etc.).

Das ist ja das Ziel des Malwarecoders, das das Opfer glaubt es sei alles i.O.
Leider ist dies nicht der Fall und schon garnicht nach der Systemwiederherstellung.
Da alle ZBot-Varianten eine Hintertür (Backdoor) öffnen und somit eine Fernsteuerung durch einen Remote Admin. zulassen, spricht man von dem jetzt vorliegendem System auch von einer Technischen Kompromittierung.

mfg

Du meinst also diese winlogon ist jetzt infiziert.
Dann müsste ich aber doch einen offenen Port vorfinden von winlogon.
Und wenn ich die winlogon mit der original-winlogon tausche dürfte der Virus doch weg sein, oder nicht?

Ich frage mich, wieso du vergebens versuchst ein kompromittiertes/verseuchtes/manipuliertes System durch einzelne saubere Bausteine zu ersetzen.

Nichts für ungut, es geht um die Sicherheit des Besitzers und dem Willen ein vertrauenwürdiges System zu besitzen.