Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   ntos.exe trojaner auf meinem rechner, bekomm den aber nicht weg :( was kann ich tun (https://www.trojaner-board.de/44654-ntos-exe-trojaner-meinem-rechner-bekomm-weg-tun.html)

Bombie 15.10.2007 16:31
ntos.exe trojaner auf meinem rechner, bekomm den aber nicht weg :( was kann ich tun
 
hab seit einigen tagen mit einem ntos.exe zu kämpfen und bekomm es nicht von meinem rechner runter. besteht noch eine andere möglichkeit den wegzubekommen ausser, windows nochmal ganz neu zu installieren? hab 2 festplatten drinne, müsste ich beide formatieren? also möglich wär das schon, hab die meisten sachen mir wichtig sind auf einer externen platte auch gespeichert...


hab hier mein hijackthis log file, kann damit nicht viel anfangen. :confused:

Logfile of HijackThis v1.99.1
Scan saved at 17:23:31, on 15.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\HP\HP Software Update\HPWuSchd2.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
F:\WINDOWS\Mixer.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Programme\Java\jre1.6.0_02\bin\jusched.exe
F:\WINDOWS\System32\RunDll32.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\MSN Messenger\MsnMsgr.Exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\Eraser\eraser.exe
F:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
F:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
F:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
F:\WINDOWS\System32\alg.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\iPod\bin\iPodService.exe
F:\Programme\ArcorOnline\AOButler.exe
F:\Programme\MSN Messenger\usnsvc.exe
F:\Programme\Opera\Opera.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
F:\Programme\WinRAR\WinRAR.exe
F:\DOKUME~1\******\LOKALE~1\Temp\Rar$EX00.031\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www .arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www .google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www .arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www .arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce. msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\System32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - F:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [Windows Update] windowsupdats.exe
O4 - HKLM\..\Run: [Restor] xkmwbsxhxe.exe
O4 - HKLM\..\Run: [Pas Windows Monitor] pas.exe
O4 - HKLM\..\Run: [Enables Windows user mode drivers] WinEUM.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HP Software Update] F:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] F:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKLM\..\RunServices: [Windows Update] windowsupdats.exe
O4 - HKLM\..\RunServices: [Restor] xkmwbsxhxe.exe
O4 - HKLM\..\RunServices: [Pas Windows Monitor] pas.exe
O4 - HKLM\..\RunServices: [Enables Windows user mode drivers] WinEUM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Pas Windows Monitor] pas.exe
O4 - HKCU\..\Run: [MsnMsgr] "F:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Eraser] F:\Programme\Eraser\eraser.exe -hide
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = F:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = F:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - F:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - F:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by132fd.bay132.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD568540-8BC9-4E4C-9671-343E2430CC17}: NameServer = 195.50.140.250 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - F:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - F:\WINDOWS\System32\HPZipm12.exe


danke im vorraus an alle die helfen

KarlKarl 15.10.2007 18:15
Hi,

da möchte ich dir schon nahelegen, zu formatieren und neu zu installieren. Sollte reichen, die Systemplatte zu formatieren, Programme auf der anderen wirst Du allerdings dennoch neu installieren müssen, normalerweise funktionieren die sonst nicht mehr (oder nur eingeschränkt).

Nach der Neuinstallation dann auch gleich das Servicepack 2 und alle weiteren Updates installieren, denn deren Fehlen hat sehr dazu beigetragen, in welchem Zustand dein System geraten ist. Ist ja nicht nur die ntos.exe, sondern:
Code:
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [Windows Update] windowsupdats.exe
O4 - HKLM\..\Run: [Restor] xkmwbsxhxe.exe
O4 - HKLM\..\Run: [Pas Windows Monitor] pas.exe
O4 - HKLM\..\Run: [Enables Windows user mode drivers] WinEUM.exe
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKLM\..\RunServices: [Windows Update] windowsupdats.exe
O4 - HKLM\..\RunServices: [Restor] xkmwbsxhxe.exe
O4 - HKLM\..\RunServices: [Pas Windows Monitor] pas.exe
O4 - HKLM\..\RunServices: [Enables Windows user mode drivers] WinEUM.exe
O4 - HKCU\..\Run: [Pas Windows Monitor] pas.exe
Auch das ist alles Malware, vermutlich einige Würmer/Backdoors.

Gruß, Karl

Bombie 15.10.2007 19:39
Zitat:
Zitat von KarlKarl (Beitrag 299497)
Hi,

da möchte ich dir schon nahelegen, zu formatieren und neu zu installieren. Sollte reichen, die Systemplatte zu formatieren, Programme auf der anderen wirst Du allerdings dennoch neu installieren müssen, normalerweise funktionieren die sonst nicht mehr (oder nur eingeschränkt).

Nach der Neuinstallation dann auch gleich das Servicepack 2 und alle weiteren Updates installieren, denn deren Fehlen hat sehr dazu beigetragen, in welchem Zustand dein System geraten ist. Ist ja nicht nur die ntos.exe, sondern:
Code:
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [Windows Update] windowsupdats.exe
O4 - HKLM\..\Run: [Restor] xkmwbsxhxe.exe
O4 - HKLM\..\Run: [Pas Windows Monitor] pas.exe
O4 - HKLM\..\Run: [Enables Windows user mode drivers] WinEUM.exe
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKLM\..\RunServices: [Windows Update] windowsupdats.exe
O4 - HKLM\..\RunServices: [Restor] xkmwbsxhxe.exe
O4 - HKLM\..\RunServices: [Pas Windows Monitor] pas.exe
O4 - HKLM\..\RunServices: [Enables Windows user mode drivers] WinEUM.exe
O4 - HKCU\..\Run: [Pas Windows Monitor] pas.exe
Auch das ist alles Malware, vermutlich einige Würmer/Backdoors.

Gruß, Karl
okay danke für die rasche antwort.... kurze frage noch, hab ja noch die festplatte c die ich nur als weiteren speicherplatz nutze, muss ich die denn auch komplett säubern/formatieren? oder kann ich die so lassen ohne mir gedanken zu machen das sich trojaner oder sonstige schädlinge sich dort auch breit machen?

KarlKarl 15.10.2007 20:21
Programme sollten auf ihr dann nicht sein, sonstige Daten sind eigentlich kein Problem. Es schadet aber mit Sicherheit nicht, wenn Du sie vor Nutzung vom neuen System aus erstmal gründlich scannst, am besten mit mehreren Scannern. Erstmal das installierte Antivir und dann noch ein paar Onlinescans, hier ein paar Vorschläge:
Kaspersky
Bitdefender
F-Secure

Bombie 15.10.2007 20:28
gut..........


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131