|
NTOS.exe als Backdoor und/oder Rootkit Bitte auf Rechtschreibfehler und Inhalt prüfen... NTOS.exe als Backdoor und/oder Rootkit Was ist ntos.exe? ntos.exe ist ein Attachment von Spam-Mails, in denen z.b. eine Anwaltsforderung gestellt wird. Dabei ist im Anhang eine Rechnung.pdf-Datei angehängt, die die ntos.exe-Datei in das System32-Verzeichnis lädt. Hier die konkrete Erläuterung: Aktenzeichen Schweiz: Falsche Rechnungen vom Anwalt Was macht ntos.exe genau? Um nachvollziehen zu können, wie weit der Schädling bei euch vorran gekommen ist, macht Ihr am Besten ein Hijackthislog nach Anleitung Um immer wieder zu starten, trägt sie sich als folgenden Eintrag ein: Zitat:
dem Hijackthislogfile auftaucht, bedeutet das, dass der Schädling aktiv war/ist und weiterhin folgende Einträge erstellt hat / erstellen wird: Zitat:
kann angenommen werden, dass die Bankdaten ausspioniert wurden und ihr bekommt vielleicht schon bald Post von eurer Bank. Was kann man nach Infizierung tuen? Die sicherste Methode einen PC nach einem Schädling mit Rootik-Funktionalität oder Backdooreigenschaften zu bereinigen, ist natürlich ein komplettes Neuaufsetzen des System, siehe System neu aufsetzen mit anschließender Absicherung Und diese Methode kann ich auch jedem raten, bei dem dieser Schädling vollständig installiert wurde. Da es aber User gibt, die entweder nicht vollständig infiziert sind oder sich strikt gegen ein NeuAufsetzen weigern, habe ich mal eine mögliche Bereinigung aufgestellt, die in Zusammenarbeit mit einem hilfsbereiten Forensupporter durchgeführt werden kann: 1) Anleitung Avenger - Lade dir das Tool Avenger und speichere es auf dem Desktop: - Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
- Danach das System unverzüglich neu starten lassen - Poste den Inhalt der C:\avenger.txt 2) HijackThis - Fix Cecked - Wechsel in den abgesicherten Modus (beim Booten F8 drücken) - Führe deine Hijackthis.exe - Datei aus (bestätige die eventuelle Warnung mit "ok") - Wähle die Option "Do only a System Scan" - Setze bei folgenden Einträgen links im Kästchen einen Haken Zitat:
- Neustart in den Normalmodus 3) CCleaner - Lade dir den CCleaner runter - Ccleaner installieren (die toolbar nicht installieren) und starten - wähle unter Options --> Settings --> German - bereinige dein System - lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben 4) Deaktivierung aller Störfaktoren: - alle anderen Scanner gegen Viren, Spyware, usw. ausschalten / deaktivieren - Verbindung zu einem Netzwerk/Internet bestehen abschalten - während den Scans nichts am Rechner tuen - nach jedem Scan den Rechner neu starten 5) Gmer - applikation - lade die das Tool Gmer - Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein) - Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft. - Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. - Füge das Log aus der Zwischenablage in deinen Post ein. 6) Catchme - Userland rootkit detector - Lade dir Catchme.exe runter auf deinen Desktop. - Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten. - Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt. - Das Log ist in catchme.log, füge es vollständig in deinen Post ein. 7) RootkitRevealer - Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer. - Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen. - Starte durch Klick auf "Scan". - Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern und in deinen Beitrag posten. Aus den Scans aus Punkt 5-7 könnt ihr oder der hilfsbereite Supporter ersehen, ob und wo sich die restlichen Infizierungen befinden. Viel Glück bei der Bereinigung und hoffentlich auf ein sauberes System. :party: mfg Cleriker |
Hallo Cleriker :) Mit dieser Anleitung bzw. Erklärung zu der Malware, bist du auf dem richtigen Weg ein guter Helfer auf diesem Board zu werden. :daumenhoc Du warst in letzter Zeit sehr aktiv, hast dich eingebracht, und hast viel gelernt. Zur Vervollständigung deiner Anleitung gibt es noch folgende Tips von mir: Zitat:
Was auf jeden Fall zu beachten ist: So wie du es hier auch schon erklärt hast @Cleriker, und ich eigentlich ein Verfechter der "Neuinstallation" bin, bei diesem Rootkit sollte/muss eine Neuinstallation durchgeführt werden, der beschriebene Weg einer Bereinigung ist nur eine suboptimale Lösung! Vor allem bei so sensiblen Daten welche beim Online-Banking übertragen werden. Ansonsten kann ich nur sagen sagen -> http://www.ben-newman.de/smilie/signs/209114.gif |
Super Cleriker:daumenhoc Mach weiter so ! Klasse Anleitung 1a:) Dafür geb ich ne Runde aus :party: |
Zitat:
Whatever: Hier also die überarbeitete Version mithilfe der Tipps von Sunny und Raman. Für weitere Tipps und Anregungen bin ich gerne zu haben: NTOS.exe als Backdoor und/oder Rootkit Was ist ntos.exe? ntos.exe ist ein Attachment von Spam-Mails, in denen z.b. eine Anwaltsforderung gestellt wird. Dabei ist im Anhang eine Rechnung.pdf-Datei angehängt, die die ntos.exe-Datei in das System32-Verzeichnis lädt. Hier die konkrete Erläuterung: Aktenzeichen Schweiz: Falsche Rechnungen vom Anwalt Was macht ntos.exe genau? Um nachvollziehen zu können, wie weit der Schädling bei euch vorran gekommen ist, macht Ihr am Besten ein Hijackthislog nach Anleitung Um immer wieder zu starten, trägt sie sich als folgenden Eintrag ein: Zitat:
dem Hijackthislogfile auftaucht, bedeutet das, dass der Schädling aktiv war/ist und weiterhin folgende Einträge erstellt hat / erstellen wird: Zitat:
kann angenommen werden, dass die Bankdaten ausspioniert wurden und ihr bekommt vielleicht schon bald Post von eurer Bank. Was kann man nach Infizierung tuen? Die sicherste Methode einen PC nach einem Schädling mit Rootik-Funktionalität oder Backdooreigenschaften zu bereinigen, ist natürlich ein komplettes Neuaufsetzen des System, siehe System neu aufsetzen mit anschließender Absicherung Und diese Methode kann ich auch jedem raten, bei dem dieser Schädling vollständig installiert wurde. Da es aber User gibt, die entweder nicht vollständig infiziert sind oder sich strikt gegen ein NeuAufsetzen weigern, habe ich mal eine mögliche Bereinigung aufgestellt, die in Zusammenarbeit mit einem hilfsbereiten Forensupporter durchgeführt werden kann: 1) Anleitung Avenger - Lade dir das Tool Avenger und speichere es auf dem Desktop: - Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
- Danach das System unverzüglich neu starten lassen - Poste den Inhalt der C:\avenger.txt 2) Registryeintrag entfernen - Wechsel in den folgenden Registry-Pfad: Start > Ausführen > "regedit" eingeben + "Enter" > HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon - Ändere den String auf der rechten Seite: Zitat:
Zitat:
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken) - Führe deine Hijackthis.exe - Datei aus (bestätige die eventuelle Warnung mit "ok") - Wähle die Option "Do only a System Scan" - Setze bei folgenden Einträgen links im Kästchen einen Haken Zitat:
- Neustart in den Normalmodus Falls das Domain Name System (DNS) verändert wurde, führe Punkt 4 durch. Ihr könnt es anhand unbekannter 017er-Einträge in dem erstellten Hijackthis-Logifile sehen. 4) LSPFix - DNS-Bereinigung - lade dir das Tool LSPFIX - Lade dir das Tool WinsockXPFix, falls deine Internetverbindung unterbricht bzw. nicht mehr funktioniert. - starte die LSPFix.exe - setze das Häkchen, bei "I know, what I'm doing" - schiebe die entsprechenden Einträge von links nach rechts - klicke auf "Finish" 5) CCleaner - Lade dir den CCleaner runter - Ccleaner installieren (die toolbar nicht installieren) und starten - wähle unter Options --> Settings --> German - bereinige dein System - lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben 6) Deaktivierung aller Störfaktoren: - alle anderen Scanner gegen Viren, Spyware, usw. ausschalten / deaktivieren - Verbindung zu einem Netzwerk/Internet bestehen abschalten - während den Scans nichts am Rechner tuen - nach jedem Scan den Rechner neu starten 7) Gmer - applikation - lade die das Tool Gmer - Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein) - Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft. - Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. - Füge das Log aus der Zwischenablage in deinen Post ein. 8) Catchme - Userland rootkit detector - Lade dir Catchme.exe runter auf deinen Desktop. - Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten. - Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt. - Das Log ist in catchme.log, füge es vollständig in deinen Post ein. 9) RootkitRevealer - Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer. - Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen. - Starte durch Klick auf "Scan". - Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern und in deinen Beitrag posten. Aus den Scans aus Punkt 7-9 könnt ihr oder der hilfsbereite Supporter ersehen, ob und wo sich die restlichen Infizierungen befinden. |
Zitat:
Zitat:
Fazit: Wenn es im TB für die Backdoor-Bereinigung plädiert werden sollte, sehe ich für mich keinen Sinn, weiter hier mitzuarbeiten...:( SCNR. |
Zitat:
Zitat:
Entbindet natürlich nicht, auf das sinnvollere zu pochen und deutlich (und vorallem zuerst) und immer auf die vernünftige Lösung zu drängen. Es ist gut jemanden von "da mache ich jetzt erstmal gar nichts" zu "ich versuche eine Bereinigung" zu bringen. Es ist schlecht jemanden von "ich setze neu auf" zu "ich versuche eine Bereinigung" zu bringen. |
Zitat:
Ein bisschen unglücklich ausgedrückt, aber ich wollte damit auf die Möglichkeit hindeuten, dass der Registryeintrag zwar vorhanden sein kann, eine Firewall oder Ähnliches jedoch das Nachladen der Trojaner bzw. den Remotezugriff verhindert. Zitat:
nicht in einer Diktatur leben, kannst du keinen zwingen, sein System neu aufzusetzen. Du kannst aber helfen, ihn zu hindern, andere zu schädigen. Zitat:
Nicht desto trotz -> Helfe, wo du helfen kannst. mfg Cleriker |
Zitat:
Denke auch an die Newbies, die sich "format C" einfach nicht zutrauen, und es gibt sie. @all, irgendwie ist das tut aber im falschen Teil des Forums, oder sehe ich es jetzt verkehrt? vielleicht ist es ja auch noch nicht abschließend fertig und die Endfassung wird dann noch einmal gepostet? ich gehe jetzt mal davon aus und stelle deshalb eine Frage, die ich mir seit einiger Zeit stelle. Woran merken Banken, dass jemand mit NTOS.exe infiziert ist? Einige wissen ja, dass ich immer mal Freeware-Fernwartungs-Tools (Bifrost, Poison Ivy) teste. Es kommt also vor, dass ich Online-Banking mache und ein Server läuft auf meinem PC. Mein Konto wurde bisher nicht gesperrt. Die Server lassen sich selbstverständlich illegal nutzen, keine Frage. Aber nichts, keine Konto-Sperrung. Ist vielleicht der Server, zu dem NTOS.exe die Daten sendet, überwacht und die Infizierten werden so ermittelt? Ein PC-Check durch die Bank kann eigentlich nicht die Ursache für die Erkennung sein. Sorry, wenn diese Frage zu sehr off-topic ist. :) |
Ein weiteres "Problem" mit der NTOS ist, das sie nicht immer die gleiche Infektion ist. Eine bekannte Infektion ist diese, diese kommt meist ohne die dlls. Nevertheless möchte ich in diesem Thread mit den Worten auftauchen: "Wenn es mein Rechner wär würde ich ihn neu machen" oder "Wenn Du mich fragst installier ihn neu" |
Ich möchte ungern die ganze Diskussion aus dem von mir oben verlinkten Thread jetzt von vorne an beginnen. Aber eine Frage an die Bereinigungs-Anhänger habe ich trotzdem: Womit kann man sicher stellen, dass die Bereinigung erfolgreich gelaufen ist? Dass man nichts merkt? Dass die markante Dateien bzw. Registry-Einträge nicht auffindbar sind? Was sagt ihr dazu: svchost.exe und svсhоst.exe sind vom Namen identisch!? Von wegen!!! Im 2. Namen sind die Buchstaben с und о aus dem kyrillischen Alphabet eingepflanzt. Ihr glaubt mir nicht? Kopiert den 2. Namen ins Google-Fenster und lasst suchen - ihr werdet überrascht sein. Und dies ist keine frei von meiner Wenigkeit erfundene Geschichte, aber eine gefährliche Realität. Und noch was - als die Zeit für die Bereinigung zu verschwenden, lieber alles so zu lassen, wie es ist, denn ein bereinigtes System ist sowieso kein sauberes System. |
@ Heike wg. Sperre durch Banken: Ich habe keine Ahnung und die Banken tun gut daran sich etwas bedeckt zu halten. Aber ich als Bank (ich als diesbezüglicher Verantwortlicher einer Bank) würde einfach alle Konten (temporär) sperren, auf die von "bekannten" IP-Adressen, IP-Adressbereichen zugegriffen wird/wurde (oder aus "obskurem" Ausland u.ä.), von IP-Adressen von denen in kurzer Zeit versucht wird auf mehrere/viele Konten zuzugreifen, etc. Da muss kein Server direkt überwacht werden. |
Zitat:
die Anleitung mit Fallunterscheidungen bestücken. Jedoch nach einiger Recherche ist mir aufgefallen, das immer der selbe Eintrag durch das selbe Verlockungsspiel eingetragen wird -> Sie werden nur von unterschiedlichen Firmen genutzt. Oder besser gesagt, es werden unterschiedliche Firmen simuliert. Dass verschiedene Namen (auch vom gleichen AV-Scanner) für diesen Schädling benutzt werden, liegt daran, dass er von verschiedenen Seiten genutzt wird. Das haben wir aber auch bei anderen Schädlingen. Hier mal die von Sophos: Troj/Dloadr-AWQ Troj/Dloadr-AWJ Troj/GPCoder-G * Win32/Spy.Agent.PZ * Virus.Win32.Gpcode.ai * GPcoder.h * TSPY_KOLLAH.F * Backdoor:Win32/Kollah.D Hierbei unterscheiden sich jedoch nur die Ursachen der Infizierungen. Die Funktion bleibt die selbe. Zitat:
eine komplette Wiederherstellung des Systems so nicht zu gewährleisten ist. Aber ich muss nochmal wiederholen, dass ich einem Antiformatierungsuser und deren Internetkontakte mit dieser Anleitung einen riesigen Gefallen tuen könnte. Gehst du soweit mit @ Rene-gad? :) Edit: Also Freunde des Kompetenzteams, Moderatoren und Admins, ich bitte nochmals um Verbesserungsvorschläge, Kritiken (fachlich) für diese Anleitung, damit das Stottern in den entsprechenden ntos.exe - Threads aufhört. Eine Verbesserung kann nur qualitativ positiv beitragen. :) mfg Cleriker |
Freundschaft Ich achte sehr wenn sich Leute ins Zeug legen und extra was leisten...:daumenhoc Was ist denn das für eine Spezies Zitat:
Die EMailanhangklicker und Adminsurfer haben alles andere als Rücksichtnahme verdient....... Der Lerneffekt durch eine Neuinstallation und die zukünftige Vermeidung einer solchen Aktion, ist um ein Vielfaches größer als eine Reinigung der Kisteje sein könnte Dies ließe derlei Leute in dem Glauben ,daß Falschverhalten folgenlos bleiben kann. Solche Leute haben wir beim nächsten MSN Wurm wieder da ........ ...und wieder geben wir ihm einen Fisch ,statt das wir ihm lernen zu fischen.... Irrlicht |
Zitat:
Guck Dir doch die installieren Apps an, die werden sehr oft "gefunden" sein. ;) Das Tut ist gut :) |
Hallo, nachdem ich mich nun 5 Stunden mit diesem Teil herumgeärgert habe, weg ist er und gaaaanz einfach. Datei Commander 8.3 öffnen. Unter „Bearbeiten“ – Löschen resistenter Dateien öffnen, Pfad eingeben, „C:`WINDOWS`system32`ntos.exe“ ohne „“ eingeben und in „ex“ umbenennen. *grins* Du kannst die Datei auch nicht mit dem Commander sehen, aber umbenennen tut er sie. Danach in den Process Explorer, auf „winlogon.exe.“, STRG+F oder suchen, ntos.exe eingeben, danach Doppelklick auf die gefundene Datei, danach geht ein Fenster im unteren Teil auf, mit der rechen Maustaste öffnen und auf „Close Handle“, damit er die Datei beim Schließen nicht zurückschreiben kann. Danach Rechner runterfahren und neu starten. Mehr nicht, das Einfache liegt so nah. Ich habe im Übrigen 12 !!!!!! (in Worten ZWÖLF) Virenprogramme probiert, nur ein Programm erkannte ihn, aber konnte nix machen. Viele Grüße Ntos.exe sitzt unter Windows-system32 als exe Datei. Im Register wird er beim hochfahren aktiv und hängt im Speicher. Die <System>\wsnpoem\audio.dll <System>\wsnpoem\video.dll sind keine DLL Dateien sondern sie registrieren die Passwörter und Zugänge. Selbst wenn du die Datei löschen könntest, es würde nicht helfen, beim runterfahren schreibt er sie zurück. Du kannst aber im Process Explorer das Programm schließen, es lädt NICHT nach, nur die beiden wsnpoem Dateien sind weiter aktiv. Nachdem die Datei im Win/system32 umbenannt ist, ist Schluss, er findet sie nicht mehr. :heulen: |
Zitat:
Sicherheit schafft nur das Neuaufsetzen. Zitat:
|
Naja, hatte mir dann doch mehr fachliches Feedback gewünscht, aber whatever . . .:( Zitat:
weit-aus-größeren Erfahrung mit TO's respektiere ich sie auch weitesgehend. Jedoch kann ich nur immer wieder auf die immer höher-auftretende Anzahl an ntos.exe - Befallenen aufmerksam machen. Und was ist eines der Gründe? meines Erachtens der, dass viele infiizierte User das Ausmaß unterschätzen und denken, dass sie mit einem "Lösch-Klick" das ganze System bereinigen. Ein gutes Beispiel ist hier mit Frank62 gegeben. Die geteilte Meinung ist hier klar geworden, wie ich gemerkt habe. Im Folgepost modifiziere ich die Anleitung noch einmnal so, dass genau klar ist, wann neu aufgesetzt werden sollte und wann unter Vorbehalt der Risiken bereinigt werden kann. Ich danke allen Meinungsbeteiligten und schließe mit dem folgenden Satz ab: Wenn im Trojaner-Board derartige Bereinigungen unerwünscht sind, hat diese Anleitung hier auch nichts zu suchen. Falls erwünscht würde es mich freuen, wenn sie so wie im Folgepost festgehalten wird. |
NTOS.exe als Backdoor und/oder Rootkit Was ist ntos.exe? ntos.exe ist ein Attachment von Spam-Mails, in denen z.b. eine Anwaltsforderung gestellt wird. Dabei ist im Anhang eine Rechnung.pdf-Datei angehängt, die die ntos.exe-Datei in das System32-Verzeichnis lädt. Hier die konkrete Erläuterung: Aktenzeichen Schweiz: Falsche Rechnungen vom Anwalt Was macht ntos.exe genau? Um nachvollziehen zu können, wie weit der Schädling bei euch vorran gekommen ist, macht Ihr am Besten ein Hijackthislog nach Anleitung Um immer wieder zu starten, trägt sie sich als folgenden Eintrag ein: Zitat:
dem Hijackthislogfile auftaucht, bedeutet das, dass der Schädling aktiv war/ist und weiterhin folgende Einträge erstellt hat / erstellen wird: Zitat:
kann angenommen werden, dass die Bankdaten ausspioniert wurden und ihr bekommt vielleicht schon bald Post von eurer Bank. Was kann man nach Infizierung tuen? Die sicherste Methode einen PC nach einem Schädling mit Rootik-Funktionalität oder Backdooreigenschaften zu bereinigen, ist natürlich ein komplettes Neuaufsetzen des System, siehe System neu aufsetzen mit anschließender Absicherung Und diese Methode kann ich auch jedem raten, bei dem dieser Schädling vollständig gefunden wurde. Aus folgenden Gründen kann jedoch eine Bereinigung unter Vorbehalt von Risiken durchgeführt werden: 1)Der Offline-User: Benutzer, die nicht am Internet angebunden sind und damit keinen weiteren Schaden anrichten können 2)Der User ohne Onlinebanking: Benutzer, die keine vertraulichen Daten im Internet handeln oder keine auf ihrer Festplatte gesichert haben. Hier gilt jedoch: Sofort vom Netz trennen Die Bereinigung: 1) Anleitung Avenger - Lade dir das Tool Avenger und speichere es auf dem Desktop: - Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
- Danach das System unverzüglich neu starten lassen - Poste den Inhalt der C:\avenger.txt 2) Registryeintrag entfernen - Wechsel in den folgenden Registry-Pfad: Start > Ausführen > "regedit" eingeben + "Enter" > HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon - Ändere den String auf der rechten Seite: Zitat:
Zitat:
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken) - Führe deine Hijackthis.exe - Datei aus (bestätige die eventuelle Warnung mit "ok") - Wähle die Option "Do only a System Scan" - Setze bei folgenden Einträgen links im Kästchen einen Haken Zitat:
- Neustart in den Normalmodus Falls das Domain Name System (DNS) verändert wurde, führe Punkt 4 durch. Ihr könnt es anhand unbekannter 017er-Einträge in dem erstellten Hijackthis-Logifile sehen. 4) LSPFix - DNS-Bereinigung - lade dir das Tool LSPFIX - Lade dir das Tool WinsockXPFix, falls deine Internetverbindung unterbricht bzw. nicht mehr funktioniert. - starte die LSPFix.exe - setze das Häkchen, bei "I know, what I'm doing" - schiebe die entsprechenden Einträge von links nach rechts - klicke auf "Finish" 5) CCleaner - Lade dir den CCleaner runter - Ccleaner installieren (die toolbar nicht installieren) und starten - wähle unter Options --> Settings --> German - bereinige dein System - lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben 6) Deaktivierung aller Störfaktoren: - alle anderen Scanner gegen Viren, Spyware, usw. ausschalten / deaktivieren - Verbindung zu einem Netzwerk/Internet bestehen abschalten - während den Scans nichts am Rechner tuen - nach jedem Scan den Rechner neu starten F-Secure - Rootkitscanner - lade dir hier f-secure herunter - speichere es auf dem Desktop und führe fsbl.exe - akzeptiere die Vereinbarung und klicke anschließend auf "Scan" - poste den Inhalt der "fsbl-xxx.txt" in deinen Beitrag (wird im selben Ordner erstellt) 8) Gmer - applikation - lade die das Tool Gmer - Starte gmer.exe. (Alle anderen Programme sollen geschlossen sein) - Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft. - Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. - Füge das Log aus der Zwischenablage in deinen Post ein. 9) Catchme - Userland rootkit detector - Lade dir Catchme.exe runter auf deinen Desktop. - Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten. - Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt. - Das Log ist in catchme.log, füge es vollständig in deinen Post ein. 10) RootkitRevealer - Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer. - Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen. - Starte durch Klick auf "Scan". - Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern und in deinen Beitrag posten. Aus den Scans aus Punkt 7-10 könnt ihr oder der hilfsbereite Supporter ersehen, ob und wo sich die restlichen Infizierungen befinden. Viel Erfolg bei der Bereinigung mfg Cleriker |
Zitat:
Die Anleitung ist dir wirklich gelungen und für den Dldr. wird sie auch funktionieren allerdings wird der Dateiname ntos.exe auch von anderer Maleware benutzt die aber volkommen anders arbeitet. Das ist ein echt fieses Ding. Habe den Artikel leider nicht mehr gefunden aber diesen Eintrag in der viruslist: Viruslist.com - Virus.Win32.Gpcode.ai Und es werden bestimmt noch ein paar mehr Varianten hier vorbeischwirren :Boogie: |
Cleriker, klasse geworden. :) Vielleicht ergänzt Du noch: alle Passwörter ändern! |
Danke Undo :) Das ist ja mal eine ganz neue Variante mit dem Verschlüsseln. Die Ursprungsdateien sind die gleichen und würden entfernt werden, jedoch die Verschlüsslung bleibt. :confused: Muss also unter Vorbehalt dieser Möglichkeit die Entschlüsslung von Kaspersky hinzugezogen werden. Ich habe leider keine Möglichkeit das aus zu probieren, aber werde es hinzu ziehen. Edit: @Gua bitte nicht editieren, es folgt eine Modifizierung danke nochmal :aplaus: |
Zitat:
es gab etwas ähnliches schon vor ungefähr 2 Jahren einmal. |
Zitat:
solchen Möglichkeiten nachgefragt habe. Ich hau ab und verzieh mich wieder hinter meinen Mond :) Trotzdem danke |
Zitat:
Ich habe ihn nicht mit einem Mail bekommen, sondern vermutlich mit einem Programm, genau wurde das nicht herausgefunden. Nachdem die „ntos.exe“ umbenannt war, wurden alle wsnpoem-Ordner sichtbar. Es ist mühevoll per Hand aufzuräumen. Was nutzt ein Neuaufsetzen des Systems, wenn er in einer Applikation oder ähnlichen, die gelegentlich erneut aufgerufen wird, versteckt? Da nutzt Neuaufsetzen auch nichts. Ich habe alles Überflüssige gelöscht, auch Anwendungen die ich nicht eindeutig zuordnen konnte, sämtliche „gesammelten Werke von irgendetwas“. Ich denke, dass ist nutzbringender als das Neuaufsetzen des Systems. Viele Grüße |
Zitat:
Damit wird ein vertrauenswürdiges System wiederhergestellt. Die Backdoor ist dann garantiert weg. Wer erneut dümmliche Programme aus dubiosen Quellen ausführt, dem ist nicht zu helfen. Zitat:
|
Zitat:
Die Zielserver werden selbst geknackt und darauf abgelegte Daten abgerufen oder zumindest wird's versucht. Wenns nicht klappt werden sie stillgelegt. alterschwede470 |
Da macht sich Cleriker so eine Mühe für die Anleitung und kriegt noch Nichtmal ein Dankeschön oder "Ordentliche Kritik" unmöglich was hier letzterzeit abgeht....Mfg Trojanerade:balla: |
Zitat:
Zitat:
Zitat:
|
Naja, aber das Cleriker von manchen als "Antineuaufsetzungsuserförderer" (:D) dargestellt wird... |
Zitat:
Backdoor, rootkit, weiß man's.? Wenn der Kopf juckt, hilft's nüscht, den Schwanz abzuschneiden. Kompromittierung lebt vom Nichtwissen. Deshalb bin ich kein ausgesprochener Fan der Anleitung; unabhängig von der Mühe und dem Aufwand, den cleriker investiert hat. Mehr feedback? Gut und schön, manche Foren sind kein Ponyhof. ordell |
naja, whatever halt :schmoll: Ich habe in letzter Zeit gemerkt, dass die Ausbreitung dieses Schädlings doch in ein Spektrum vom Möglichkeiten der Infizierungen übergeht, welches meine Überschaubarkeit entzieht. Somit wird es gar unmöglich, die Bereinigungsanleitung einigermaßen vollstädnig für jede kleine Abart abzudecken. Da der Thread sowieso in eine Art Diskussion über den ntos.exe entglitten ist, schlage ich die Versetzung des Threads in das "Diskussionsforum" vor, wie Heike anfangs appeliert. mfg Cleriker |
Zitat:
Ergo bleibt die Tabula Rasa die einzige zu empfehlende Lösung. |
Zitat:
Leute, die in der Lage sind, eine Infektion eigenständig zu erkennen und zu beseitigen, können wahrscheinlich eher beurteilen/entscheiden, was für sie in dem entsprechenden Fall der geeignete Weg ist. (entfernen oder formatieren) Sie benötigen aber auch die Anleitung nicht. :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board