ntos.exe
 

Hi!
Hatte heut die Meldung, dass ich die die ntos.exe meinen PC infiziert hatte, ein Trojaner der sich über die userinit mitläd und den eintrag dort städig wieder zurückändert. die ntos.exe selbst im system32 ordner kann nichteinmal im abgesichter modus gelöscht werden. Nach fast 2 stunden Nachforschen hab ich nun geschafft die Datein zu entfernen. Habe folgendes getan:

Mit Process Explorer folgende Handles der winlogon.exe gekillt:
C:\windows\system32\wsnpoem\video.dll
C:\windows\system32\wsnpoem\audio.dll
C:\windows\system32\ntos.exe
daraufhin die datei ntos.exe und de ordner wsnpoem "von Hand" gelöscht
dann die userinit in der Regestry wieder auf C:\WINDOWS\system32\userinit.exe
gesetzt. Daraufhin hat mein spybot im sekundentakt gemeldet, dass versucht wird die userinit auf C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
zu setzten.
Dann hab ich ge restarted, alle datein weg (die vom virus mein ich nur :P), Avira AV bringt keine meldung mehr, regedit is auf C:\WINDOWS\system32\userinit.exe
ABER bei jedem Systemstart bekommen ich jetzt von spybot genau einmal die Meldung, dass versucht wird die userinit zu verändern!
Hab ich was übersehen?

Guten Abend,

mache bitte folgendes:

-> Versteckte dateien sichtbar machen
-> Deaktivieren der Systemwiederherstellung

Anschließend ein VirenProgramm dein System reinigen lassen.

Also ich habe den Trojaner mit den herkömmlichen Virus-Programmen nicht wegbekommen. Geholfen hat mir nur Killbox. Dort habe ich dann die ntox.* Datei ausgewählt, dann klickt man auf "Delete on Reboot", dann auf "all files", dann auf das rote Kreuz "delete files". Danach war Ruhe, habe jedenfalls nix mehr gefunden. Habe danach mit Antivir, Ad-Aware und eScan gesucht... anscheinend alles weg.

Da 11Boy11 anscheinend es noch nicht gemerkt hat das ntos.exe ein Backdoor Trojaner ist sollte er seinen Hilfesuchenden diese Anleitung zumuten

http://www.trojaner-board.de/12154-a...sicherung.html

Mfg Trojaner und Unwissenheit ade :blabla: