ntos.exe - ein Virus?

28.10.2008, 16:32

Hallo liebe Freunde,

habe folgende Probleme:
1.) seit einiger Zeit läuft ein Prozess Namens "ntos.exe" auf meinem System.
2.) Außerdem erscheint seit kurzem noch vor dem Windows-Logon ein Fenster mit der Meldung "Spyware detected", dieses ebenso kurz vor dem Herunterfahren. Dieses Problem ist aufgetaucht, nachdem sich einmal der IE selbständig geöffnet hatte.
3.) habe einen Prozess Namens kbdg.dll laufen - ist der schädlich?

Bitte sagt mir, ob "ntos.exe" oder "kbdg.dll" ein Virus ist, und wie ich ihn gegebenenfalls wieder entfernen kann. Habe schon Hijackthis 2.0 und Spybot im abgesicherten Modus ausprobiert, leider ohne Erfolg. Würde mich über jegliche Hilfe freuen. Übrigens: Antivir lässt sich bei mir nicht mehr installieren, es kommt die Meldug "CRC-Checksum wurde verändert - möglicherweise durch einen Virus".
Hier mein aktueller Hijackthis-Logfile.

Dankeschön!
Gruß, Alexander

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:32, on 28.10.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\SeaMonkey\seamonkey.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
G:\Downloads\hijackthis_200\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.eurobank.gr/
F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDO WS\System32\ntos.exe,
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BBF3C1E3-BF5F-49C9-A0C8-42DBF373C5CD} - D:\WINDOWS\System32\kbdg.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-515967899-706699826-854245398-1004\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')
O4 - S-1-5-21-515967899-706699826-854245398-1004 Startup: SeaMonkey.lnk = D:\Programme\SeaMonkey\seamonkey.exe (User '?')
O4 - Startup: SeaMonkey.lnk = D:\Programme\SeaMonkey\seamonkey.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL
O23 - Service: Microsoft DDE+ server (55256c47e89c44e

- Unknown owner - D:\WINDOWS\System32\.55256c47e89c44e8\55256c47e89c 44e8.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LPTRDC server (LPTRDCsrv) - Unknown owner - D:\WINDOWS\ctfmon.exe
O23 - Service: DSL-Manager (TDslMgrService) - Unknown owner - D:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 3553 bytes

28.10.2008, 16:56

Hi,
du hast dir mit Sicherheit was eingefangen

Starte deinen PC im abgesicherten Modus und deaktiviere die Systemwiederherstellung.

Dann lass Hijackthis drüberlaufen und poste das Logfile hier.

Dann lade dir das Tool Malwarebytes hier runter:https://www.malwarebytes.org/ und führe das das ebenfalls bei deaktivierter Systemwiederherstellung im abgesicherten Modus aus.

Und dann schaun wir mal was dabei rauskommt.

LG

29.10.2008, 08:53

Hallo Q-Max,

herzlichen Dank für die Tips die schon einen ersten Erfolg gebracht haben! Habe Malwarebytes im abgesicherten Modus bei deaktivierter Systemwiderherstellung und danach nochmal im Normal-Modus laufen lassen. Beim 1. Durchlauf wurden 24 Infektionen entdeckt, im 2. Durchlauf wurden 4 geänderte Registrierungsschlüssel entdeckt, die beim Neustart gelöscht wurden.

Ergebnis: die "ntos.exe" wird nicht mehr geladen, und es erscheint auch nicht mehr die Meldung "Spyware detected" beim Logon.

Die Frage ist jetzt, ob die "kbdg.dll" auch noch irgendwie entfernt werden sollte.

Hier das aktuelle Hijackthis-logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:45:37, on 29.10.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\SeaMonkey\seamonkey.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
G:\Downloads\hijackthis_200\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.eurobank.gr/
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BBF3C1E3-BF5F-49C9-A0C8-42DBF373C5CD} - D:\WINDOWS\System32\kbdg.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-515967899-706699826-854245398-1004\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')
O4 - S-1-5-21-515967899-706699826-854245398-1004 Startup: SeaMonkey.lnk = D:\Programme\SeaMonkey\seamonkey.exe (User '?')
O4 - Startup: SeaMonkey.lnk = D:\Programme\SeaMonkey\seamonkey.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL
O23 - Service: Microsoft DDE+ server (55256c47e89c44e

- Unknown owner - D:\WINDOWS\System32\.55256c47e89c44e8\55256c47e89c 44e8.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: DSL-Manager (TDslMgrService) - Unknown owner - D:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 3313 bytes

29.10.2008, 10:14

Moin,
zu dieser *.dll finde ich keine eindeutige Zuordnung.
Was aber viel wichtiger wäre, dass du dein Windows XP auf den neuesten Stand bringst. Dein Logfile weist aus, dass du lediglich das SP1 hast. Inzwischen ist XP beim SP 3 angelangt.
Ebenso würde ich den Internet Explorer von 6 auf 7 upgraden.

ntos.exe - ein Virus?

ntos.exe - ein Virus?

Re: ntos.exe - ein Virus?

Re: ntos.exe - ein Virus?

Re: ntos.exe - ein Virus?

Ähnliche Themen

Virus

Virus!!

Virus

ICQ Virus

was isn das---Virus o.ä