ntos.exe und andere Beschwerden

[Blitz-Illu]

Hallo ihr lieben,

ich habe ein kleinen Problemchen.
Im laufe des heutigen Tages ist mein IE beim Banner klicken öfter mal ohne Warnung zu gegangen (normalerweise nutze ich Opera, aber für Klammgeil den IE, weil Opera alles krum anzeigt).

Also hab ich AdAware mal rennen lassen und er fand auch was, nur leider sagt er mir immer, dass er des net löschen kann.



Habe mich schon dumm und dämlich gegoogled, aber konnte leider nichts konkretes zu dem Thema finden.

Also was ich an Informationen finden konnte ist, dass des ein Trojaner ist und der sich in der Regestry einschreibt...

Die Datei >> ntos.exe << wird beim Systemstart wahrscheinlich durch die Registry geladen.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
auf der rechten Seite unter >> Userinit << sollte folgendes stehen....
C:\Windows\system32\userinit.exe,

Bei mir steht aber :
C:\Windows\system32\userinit.exe, C:\Windows\system32\ntos.exe

...ich also ab in die Regestry und das geändert...
tja, nach nem Neustart wieder das gleiche Spiel.

Langsam bin ich echt am verzweifeln, normalerweise konnte ich mir bei sowas immer gut selbst weiterhelfen, aber dieses Mal weiss ich echt nicht mehr weiter.

Mein AdAware spuckt folgendes aus :

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.Backdoor.Agent Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Virus
Comment : "{f710fa10-2031-3106-8872-93a2b5c5c620}"
Rootkey : HKEY_USERS
Object : .DEFAULT\software\microsoft\windows\currentversion\explorer
Value : {f710fa10-2031-3106-8872-93a2b5c5c620}

Win32.Backdoor.Agent Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Virus
Comment : "{f710fa10-2031-3106-8872-93a2b5c5c620}"
Rootkey : HKEY_USERS
Object : S-1-5-18\software\microsoft\windows\currentversion\explorer
Value : {f710fa10-2031-3106-8872-93a2b5c5c620}

Win32.TrojanDownloader.Agent Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Virus
Comment : "{f710fa10-2031-3106-8872-93a2b5c5c620}"
Rootkey : HKEY_USERS
Object : .DEFAULT\\software\microsoft\windows\currentversion\explorer
Value : {f710fa10-2031-3106-8872-93a2b5c5c620}

Win32.TrojanDownloader.Agent Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Virus
Comment : "{f710fa10-2031-3106-8872-93a2b5c5c620}"
Rootkey : HKEY_USERS
Object : S-1-5-18\\software\microsoft\windows\currentversion\explorer
Value : {f710fa10-2031-3106-8872-93a2b5c5c620}

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 4
Objects found so far: 7

Hoffe jemand von euch kann mir helfen.

Viele Grüße,
Illu

 

[moayenrai]

Also wenn es um den IE geht, empfehle ich dir lieber Hijack This.

https://www.hijackthis.de/de

 

[Blitz-Illu]

Okay, hier mal das Ergebnis :

Logfile of HijackThis v1.99.1
Scan saved at 09:02:49, on 04.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Dokumente und Einstellungen\Ilona\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://de.mapleeurope.com/Maple.aspx
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - https://www.king.com/ctl/kingcomie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170611435780
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - https://game02.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

 

[Blitz-Illu]

Okay, also zu dieser ntos.exe habe ich jetzt noch andere Infos gefunden :

Das Programm ist sichtbar. Es gibt zu diesem Programm keine genaue Beschreibung. Die Anwendung startet wenn Windows startet (siehe Registry Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). ntos.exe ist keine Datei, die vom Windows System unbedingt benötigt wird. Deshalb bewerten wir diese Datei zu 49% als gefährlich.

Allerdings weiss ich immer noch nicht, wie ich des weg bekomme und zwar so, dass es nach nem Neustart nicht wieder da ist.

Außerdem weiss ich immer noch nicht wie ich diese Audio.dll und Video.dll weg bekommen soll... denn dieser Ordner in dem die angeblich sein sollen ist nicht aufzufinden.

Und natürlich habe ich vorm gucken in den Ordneroption eingestellt das auch versteckte und Systemdateien angezeigt werden sollen.

Also jetzt bin ich echt völlig verwirrt

 

[Blitz-Illu]

So, wenigstens hab ich schonmal gefunden wie sich der Virus verhält.
Allerdings immer noch keine Info, wie ich den wieder loswerde.

Troj/Dloadr-AWJ ist ein Trojaner für die Windows-Plattform.
Troj/Dloadr-AWJ kann ein Attachment von Spam-Mails sein und weitere ausführbare Codes herunterladen.
Sobald Troj/Dloadr-AWJ installiert wird, können folgende Dateien erstellt werden:

<System>\ntos.exe
<System>\wsnpoem\audio.dll
<System>\wsnpoem\video.dll
Die Datei ntos.exe wird auch erkannt als Troj/Dloadr-AWJ.

Der folgende Registrierungseintrag wird erstellt, um ntos.exe beim Start auszuführen:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
userinit
<System>\ntos.exe
Der folgende Registrierungseintrag wird geändert, um ntos.exe beim Start auszuführen:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<System>\ntos.exe

 

[kroni]

hohl dir ne 30tage demo von kasperskyinternetsecutity07 von https://www.kaspersky.com/de/product_downloads?chapter=186439474
das prog sollte damit fertig werden.

kleiner extratip nutz zum klicken statt ie den firefox wo opera nicht geht

 

[Benutzer-2472]

ntos ist meines wissens nach ein Trojaner.

Also ab in den abgesicherten Modus und den Virenscanner dort laufen lassen.

Besser: C formatieren und neu aufsetzen, wenn einmal ein Schädling drauf war sollte man alles plätten.

 

[Blitz-Illu]

Besser: C formatieren und neu aufsetzen, wenn einmal ein Schädling drauf war sollte man alles plätten.

Genau das wollte ich nicht hören

So ein Mist !
Naja, werde nacher in meiner Pause mal eure Tipps ausprobieren und dann mal sehen wie es weiter geht.

 

[Lirrec]

Also hab ich AdAware mal rennen lassen und er fand auch was, nur leider sagt er mir immer, dass er des net löschen kann.

Eventuell lässt sich die Datei mit "unlocker" oder einem ähnlichen programm entfernen.
Es gbt auch tools zum entfernen von rootkits, die sich über die normalen windows funktionen nicht mehr löschen lassen, mit so einem sollte sich die datei auch löschen lassen.

 

[Blitz-Illu]

Ja, also wenn ich im System32 nach dem Ordner wo diese Dateien drin sein sollen ausschau halte, kann ich den ja noch nicht mal finden, obwohl ich unsichtbare Dateien und Systemdateien anzeigen eingestellt habe

 

[Blitz-Illu]

So Leute,

also jetzt kommt der Hammer überhaupt.
Habe jetzt schon alles möglich probiert, z.B. mit dem Process Explorer die ntos.exe gesucht und des Handle geschlossen.

Dann hab ich ich im Trojaner.Board gelesen, ich soll die Datei umbenennen, damit sie beim nächsten Start nicht wieder aktiv wird.

So, ich mach mich also auf die Suche nach der Datei... aber NICHTS zu finden, genauso wenig wie diese Audio.dll u. Video.dll.

Was denn da bloß los ?

Alle möglichen Virendinger schlagen dennoch Alarm, sagen aber immer, dass sie keinen Zugriff auf diese Dateien haben.

Also jetzt bin ich echt am Ende mit meinem Latein

Hat jemand vielleicht ne Idee was da los sein könnte ?

 

[Esacrifice]

Hm..in deinem Hijack-Logfile steht ja auch der Prozess:

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
(gleich 2te Zeile)

Würd ich mal versuchen den per Hijackthis zu löschen.
Backup macht der automatisch, falls was nicht passen sollte.

 

[Blitz-Illu]

Jo, hab ich schon versucht und dann direkt nochmal gescannt, schwupps, war es wieder da.

Scanne grad noch mit Kasperski und danach wollt ich des mit dem Rootkit dingensbumes probieren und danach hab ich noch nen Plan B.

Aber werde hier nochmal schreiben was passiert ist und so.

Zur Not muss ich wohl doch formartieren, zum Glück habe ich ja mehrere Partition, so dass wenigstens nicht alles verloren geht.
Aber ich denke, auch wenn ich die Progs auf D:/ installiert habe, werde ich die wohl neu installen müsse, da ja noch ner Formatierung die Regestryeinträge nimmer da sind

Aber neeeeiiiin... ich will noch nicht aufgeben ^^

 

[geldverdienen84]

Würde dir dringend raten deine Festplatte zu formatieren und Windows neu aufzusetzen. Das hat auch nichts mit "aufgeben" zu tun

Läufst mit jeder Minute die du weiter mit dem Schädling im Netz bist der Gefahr entgegen, das da weitere nette Programme auf deinen Computer installiert werden.

Achja, lass lieber die Finger vom IE, ist im Grunde nichts anderes als ne große offene Tür für böse Leute ^^ Versuch mal Firefox, dürftest auch keine Probleme mit klammgeil damit haben.

Und als kostenlose Viren- bzw Trojanerscanner kann ich noch den von Ewido und a-squared empfehlen.

gruß,
gv84

 

[Blitz-Illu]

Ja, ich denke das werde ich jetzt auch schweren Herzens machen.
Ich hasse sowas einfach, alles wieder Neu machen, total ätzend

 

[Blitz-Illu]

Ich hab's doch noch geschafft *freu*

Bei mir ist alles wieder wie es sein soll.
Auch der Regestry Eintrag ist jetzt weg.

Also ich habe folgenes gemacht :

1. Process Explorer, Handles geschlossen
2. Mit gmer einen Rootkit Scan gemacht und die Dateien gelöscht
3. Mit HiJackThis gescant und den Eintrag mit der ntos.exe gelöscht
4. Direkt nochmal gescant (Eintrag kam diesmal nicht wieder !)
5. Neustart gemacht und nochmal geschaut ob wirklich alles weg ist

Und siehe da, alles wieder schön sauber.

Viele Grüße,
Ilona

 

[sven80]

hallo, habe das gleiche probelm und kenne mich leider nicht so gut aus.
habe alles gemacht so wie du es beschrieben hast, nur startet gmer den pc neu und nichts passiert. ich kann also keine dateien löschen. wie kann ich das verhindern oder was mache ich falsch ?? wäre nett wenn du mir helfen könntest.
gruß sven

 

[Esacrifice]

Ich hatte das vor ein paar Wochen mal bei einem Bekannten, also kann mich nur noch dunkel daran erinnern, aber vllt. hilfts dir.

Also wenn du mit dem Prozess Explorer die Handles geschlossen hast (ntos.exe, audio.dll und video.dll), sollte die Suche mit gmer die 2 Rootkits liefern, die du (ohne Neustart) löschen kannst (weiß die Bezeichnung dieser nicht mehr, aber war wohl auch was mit ntos.exe bzw. es war zumindest zuordenbar)
Wenn du die nicht löschen kannst, hat das schließen mit Prozess Rootkit nicht geklappt, würd ich schätzen.

Beim abschließenden Fixen mit Hijackthis hat es erst beim 2.mal geklappt, falls du dann glaubst an der Stelle nicht weiterzukommen.

 

[Skily]

1. Process Explorer, Handles geschlossen
hab ich gemacht: audio.dll, video.dll und ntos.exe zerschossen.

2. Mit gmer einen Rootkit Scan gemacht und die Dateien gelöscht
Dazu habe ich eine Frage:
Bei gmer gibt es ja mehrere Sektionen (oben als Reiter aufgeführt).
Muss ich da unter Rootkit gehen und dann scannen lassen?


3. Mit HiJackThis gescant und den Eintrag mit der ntos.exe gelöscht
wird kein Problem sein...

4. Direkt nochmal gescant (Eintrag kam diesmal nicht wieder !)
wird auch kein Problem sein... =)
5. Neustart gemacht und nochmal geschaut ob wirklich alles weg ist
Wär toll :-D

Erhoffe Antwort, auf das die Welt von ntos.exe befreit wird


PS: Auch wenn das Thema nicht gerade frisch verfasst ist... ^^'

 

[Blitz-Illu]

Hey, sorry... habs ein bissl spät gesehen ^^

Zu 2. Ja, einfach den Reiter "rootkit" auswählen und dann scannen was dat Zeugs hält

@ sven80 :
Sorry, da weiss ich auch net warum des nicht geht...
hat bei mir einwandfrei geklappt.

Hoffe konnte bissl helfen, denn ich weiss ja selber wie Nervenzerreibend dieses Ding ist

Gruß,
Illu