Win32.Agent.pz in Datei ntos.exe
 

Hallo,

zuerst mal meinen Lob für dieses Board und den gößten Respekt,
mit welcher Geduld hier Leuten mit Probleme geholfen wird.

Ich hoffe, das Ihr mir auch helfen könnt, denn ich beführchte mein
Rechner hat sich auch was eingefangen..

Wenn ich meinen Rechner hochfahre, erkennt Spybot S&D den
Virus Win32.Agent.pz in der Dateien ntos.exe und löscht diese.

Die Meldung kommt jedoch bei jeden Rechnerstart wieder neu..

Wer kann helfen, wie ich den Virus dauerhaft entfernen kann und
vielleicht auch noch checken, ob mein Rechner sich noch mehr
böshafte Sachen eingefangen hat.

Hier noch mein HiJackThis Logfile:

**********************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:54:01, on 15.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\AdAware-Personal-Edition2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Scannerprogramme\OmniPage\OpwareSE2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\ATI-CPanel\atiptaxx.exe
D:\Programme\Spybot1.5\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\T-DSL Speedmanage6.0\SpeedMgr.exe
D:\Programme\T-DSL Speedmanage6.0\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HiJackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot1.5\SDHelper.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OpwareSE2] "D:\Programme\Scannerprogramme\OmniPage\OpwareSE2.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\Programme\Brennersoftware\CloneDVD 1.1.6.1\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot1.5\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] D:\Programme\AnyDVD\AnyDVD.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot1.5\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot1.5\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://acs.pandasoftware.com/...ree/asinst.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\AdAware-Personal-Edition2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - D:\Programme\T-DSL Speedmanage6.0\tsmsvc.exe

--
End of file - 5905 bytes

**********************************************************

Für Antwort Danke im voraus !!

so long
TOM

Hallo.

Mit der ntos.exe hast du dir wahrscheinlich einen üblen Rootkitkandidaten ins System geholt. Führe mal bitte zur weiteren Analyse Combofix aus und poste davon das Logfile.

Hier das Logfile vom Combfix:

ComboFix 07-10-12.4 - Neutral 2007-10-15 23:16:53.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.688 [GMT 2:00]
ausgeführt von:: C:\EScan\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-15 bis 2007-10-15 ))))))))))))))))))))))))))))))
.

2007-10-15 23:15 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-15 23:06 <DIR> d-------- C:\bases_x
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-10-15 21:20 153,600 --a------ C:\WINDOWS\R.COM
2007-10-15 21:20 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-10-15 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-15 21:19 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-10-15 21:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-15 21:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-15 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-15 21:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-15 21:19 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-15 21:15 <DIR> d-------- C:\EScan
2007-10-15 19:52 <DIR> d-------- C:\HiJackThis
2007-10-14 15:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-10-14 15:27 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-10-10 22:10 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-03 13:53 <DIR> d-------- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-14 13:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-14 11:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-10 15:12 83,344 ----a-w C:\Dokumente und Einstellungen\Neutral\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2005-06-22 06:37:42 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 17:56 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-18 13:41]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57]
"OpwareSE2"="D:\Programme\Scannerprogramme\OmniPage\OpwareSE2.exe" [2003-05-08 12:00]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 19:43]
"Jet Detection"="D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-09-12 16:34]
"CloneDVDElbyDelay"="D:\Programme\Brennersoftware\CloneDVD 1.1.6.1\CloneDVD\ElbyCheck.exe" [2002-11-02 08:33]
"Camera Detector"="C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE" [2002-02-27 18:01]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 18:25]
"ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2003-04-08 21:00]
"ATIModeChange"="Ati2mdxx.exe" [2002-08-28 17:17 C:\WINDOWS\system32\Ati2mdxx.exe]
"T-DSL SpeedMgr"="D:\Programme\T-DSL Speedmanage6.0\SpeedMgr.exe" [2006-02-09 17:15]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="D:\Programme\Spybot1.5\TeaTimer.exe" [2007-08-31 16:46]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"AnyDVD"="D:\Programme\AnyDVD\AnyDVD.exe" [2007-03-04 14:38]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" -atboottime

R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-01-14 10:45:10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-15 23:19:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-15 23:20:06
.
--- E O F ---





und hier noch das Ergebnis von EScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.7
Sprache: German
Virus-Datenbank Datum: 10/15/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File D:\Programme\DivX-Player\Installdatei\DivXPro502GAINBundle.exe//Gain_Trickler.exe markiert als "not-a-virus:AdWare.Win32.Gator.3202". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Programme\Kopie\Proggis\MP3-Mixer\install\TSUninstaller.exe markiert als "not-a-virus:AdWare.Win32.TimeSink". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP42.tmp\Microsoft.VisualBasic.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\system32\ActiveScan\pav.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 200728
Gefundene Viren: 4
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 34
Dauer des Scans bisher: 01:29:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:06:27,48
Batchende: 23:06:41,81



so long
TOM

Du hast leider ein Rootkit im System - folge dem Link neu aufsetzen in meiner Signatur.