|
Problem mit "ntos.exe" Hallo Leute. Hab mich extra deswegen hier im Forum wegen diesem Problem angemeldet. Der avast Virenscanner hat lediglich einen Trojaner-Downloader namens Win32:Small-ECA gefunden.Dieser steht wie ich vermute im Zusammenhang mit der ntos.exe die im System 32 Ordner vorzufinden ist und die ich nicht löschen kann auch nicht im abgesicherten Modus. Hier das Hijack this Logfile: Logfile of HijackThis v1.97.7 Scan saved at 20:10:22, on 07.03.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\ZP\Eigene Dateien\Spywarekiller\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - O17 - HKLM\System\CCS\Services\Tcpip\..\{DE27C947-F301-4194-93E3-3F9A4E58AE80}: NameServer = 217.237.150.115 217.237.149.142 Dieser Eintrag mit userinit und ntos.exe kann nicht gefixt werden. Bedanke mich. |
Hallo und Willkommen, leider erstmal eine Rüge.... Bei Deiner Anmeldung hast du die NUB Akzeptiert. Da geht man von aus, das du sie auch gelesen hast! Editiere bitte alle persönlichen Links in Deinem LOG! Aus http = h**p zum beispiel! In welchem Zustand ist das LOG erstellt worden? Im Abgesicherte Modus? Wenn ja, bitte aus dem normalen Modus ein neues Posten! Läuft die besagte exe im Taskmanager? Lade sie mal bei Jotti oder Virustotal hoch und lasse sie scannen > habe nichts gutes über die Datei gefunden! Poste das komplette LOG! Und wo ist das SP2 bei Dir? Gruß Mellosun |
Zitat:
Das Logfile ist aus dem normalen Modus und die exe läuft nicht im Taskmanager und lief da glaub ich auch nie.Ich achte öfters da drauf wegen Viren und so weiter.Habs heute mal versucht bei Virustotal hochzuladen aber hat irgendwie nicht geklappt. Wäre nett wenn ihr mir sagen könntet wie ich dieses Ungeziefer so schnell wi möglich loswerde.Kommt aber bitte nicht mit System neu aufsetzen etc. dafür hab ich echt keine Zeit.Ich will aber trotzdem noch meinen PC benutzen wenns geht. PS:SP 2 hab ich nicht drauf weil es bei mir jedesmal zicken macht mit Anwendungen etc. |
Was hat nicht geklappt? Was für eine Meldung kam, als du es hochgeladen hast bzw. wolltest? |
Zitat:
Und bei joppi krieg ich ne ähnliche Meldung:The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file (hab übrigens die Windows Firewall deaktiviert und sonst hab ich auch keine) |
OK, das sagt uns, das es nichts gutes ist! Mache folgendes: Kopiere besagte Datei aus dem System 32 Ordner auf einen Platz deiner Wahl ( Desktop ist wohl das einfachste ). Benenne die datei dann um.....z.b. in Virus.exe Versuche sie erneut Scannen zu lassen! |
Zitat:
Kommt kurz ne Sanduhr aber er macht irgendwie nichts.Da steht das die Datei nicht kopiert werden kann da sie von einem anderen programm verwendet wird... |
OK, dann eben auf die Harte und lange Tour! Mache bitte einen eScan! Alles dazu findest du hier mit Anleitung . Lese sie genau durch und Arbeite sie Punkt für Punkt ab! Wichtig: Poste das Log mit hilfe der find.zip! Du kannst auch mal versuchen, die besagte Datei im abgesicherten Modus aufs Desktop zu kopieren und umzubennen! Sollte das gehen, starte wieder in normalen Modus und scanne sie bei den genannten Adressen! Gruß Mellosun |
Zitat:
Wie man es deinstalliert weiss ich auch nicht.Kein eintrag im Reg cleaner bzw.unter Sytemsteuerung/Software. |
Du sollst das net Installieren...... Die exe entpacken und die schritte ab arbeiten...... versuche es nochmal....muss jetzt ins Bett! Muss um halb vier raus! Aber schaue morgen früh nochmal rein, ob du es bis dahin hast! Gruß Mellosun |
Zitat:
|
Hi again. Will jetzt nicht das gesamte log posten da es ellenlang ist aber dieser Fiesling hat sich eingeschlichen und über 600 Dateien infiziert:Net-Worm.Win32.Allaple.a :koch: Da war auch noch etwas Spyware gefunden worden wie ezula Grokster etc. So wie sollte ich nun am besten vorgehen?Das mit Total Commander oder Killbox dauert ja ziemlich lange kann ich net irgend einen Virenscanner benutzen der das automatisch findet und entfernt?Mein tolles Avast hat es ja anscheinend nicht entdeckt...Tolles Virenprogramm werd glaub ich mir ein neues zulegen.(natürlich Freeware will keine Kohle ausgeben) PS:Und weiss einer ob dieser Wurm auch direkt was mit dieser ntos.exe zu tun hat? Übrigens passiert dies wenn escan die ntos.exe überprüft:C:\WINDOWS\System32\ntos.exe File Locked!!! Scanning may fail... => ERROR!!! ScanFile Fails... Ähnlich bei noch einer Datei:***** C:\WINDOWS\System32\Drivers\sptd.sys File Locked!!! Scanning may fail... => ERROR!!! ScanFile Fails... Und noch ein Beispiel für eine infizierte Datei von diesem Backdoor: C:\AddOn\Hotfix\KB817787\KB817787.HTM infiziert von "Net-Worm.Win32.Allaple.a" (1 von über 600 Beispielen) |
Und hier der Inhalt der eScan_neu.txt nach ausführen von find.bat: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Thu Mar 08 05:47:33 2007 => Version 9.1.7 Thu Mar 08 00:08:17 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 00:08:44 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 00:20:57 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 01:26:48 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 05:35:55 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 05:42:39 2007 => Virus-Datenbank Datum: 3/7/2007 Thu Mar 08 05:47:36 2007 => Virus-Datenbank Datum: 3/7/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Mar 08 00:22:48 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. Thu Mar 08 00:22:49 2007 => System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Thu Mar 08 00:22:48 2007 => Offending file found: C:\Dokumente und Einstellungen\All Users\Desktop\internet.lnk Thu Mar 08 00:22:49 2007 => Offending file found: C:\Dokumente und Einstellungen\Deep Blue\Eigene Dateien\emulatoren\snk neo geo\nebula\roms\delete.me ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Thu Mar 08 00:22:43 2007 => Offending Key found: HKLM\Software\magnet !!! Thu Mar 08 00:22:43 2007 => Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Mar 08 01:26:48 2007 => Gefundene Viren: 607 Thu Mar 08 01:26:48 2007 => Anzahl Fehler: 112 Thu Mar 08 01:26:48 2007 => Dauer des Scans bisher: 01:04:21 Thu Mar 08 01:26:48 2007 => Gescannte Dateien: 80577 Thu Mar 08 00:21:57 2007 => Specherüberprüfung: Aktiviert Thu Mar 08 00:21:57 2007 => Registry Überprüfung: Aktiviert Thu Mar 08 00:21:57 2007 => System-Ordner Überprüfung: Deaktiviert Thu Mar 08 00:21:57 2007 => Überprüfung der Systembereiche: Deaktiviert Thu Mar 08 00:21:57 2007 => Überprüfung der Dienste: Aktiviert Thu Mar 08 00:21:57 2007 => Überprüfung der Festplatten: Deaktiviert Thu Mar 08 00:21:57 2007 => Überprüfung aller Festplatten :Aktiviert PS:Hab jetzt mal die ntos.exe entfernt durch die Killbox und ich konnte auch so den Eintrag bei Hijack this fixen.Ich weiss jetzt aber nicht ob ich noch diese sptd.sys killen soll. Und natürlich bleibt da noch der Wurm... |
Hallo, soso...der Student der an schwerem Zeitmangel leidet und surft wie ein Weltmeister,dabei so ziemlich jeden "Blinki" klickt,der ohne SP unterwegs ist und auf stolze 607 Viren kommt.... ...dieser Student möchte also nicht neu aufsetzen ? Vergiss es.... Irrlicht |
Zitat:
Ja weil ich Zeitmangel hab bin ich auch schon wach und muss auch gleich lernen wenn du es genau wissen willst.Surft wie ein weltmeister...na ja wo du das her hast keine Ahnung.Aber es stimmt ich bin oft im Net weil ich es auch sein muss.(wie gesagt Student).Und dabei stört mich der Virus.Und wegen dem neuaufsetzen das ist 1.meine Sache ob ich es mache(und ob ich mich jetzt damit rumschlagen möchte) und 2.brauch ich deswegen kein Thema hier im Board zu eröffnen denn das kann ich auch ohne Hilfe. PS: Die 607 Viren wie du sagst gehen von einem einzigen Trojaner aus. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board