Unbekannter Virus unter VISTA?

Hallo zusammen,
habe seit gestern Abend ziemliche Probleme mit meinem Vista mit SP1.
Nach der Anmeldung bekomme ich hintereinander diverse Windows-Systemmeldungen, die Anwendung "XY funktioniert nicht mehr".
Ich habe auf meinem System den aktuellen McAfee SecurityCenter aktiv, bekomme aber hiervon keine Meldungen über einen Virus o.ä.

Neben den Systemmeldungen verschwinden auch Icons in der Taskleiste neben der Uhrzeit (z.B. von McAffee)

Daraufin habe ich einen 2. Virenscanner (Free-AV) installiert der einen Virus gefunden und den ich gelöscht habe.

Nach weiteren Neustarts des Systems gab´s leider bisher keine Besserung und die Systemfehlermeldungen erscheinen weiter.

Weitere Versuche waren die Installation von Spybot S&D (hat nur Cookies) gefunden und Lavasoft Adware (ebenfalls nur Cookies).

Parallel lasse ich noch den Windows Defender suchen, der aber ebenfalls keine Meldungen bringt.

Nach einiger Suche bin ich mir ziemlich sicher, dass die meisten Anwendungen aus dem RUN-Ordner der Registry stammen, welche mit der genannten Fehlermeldung tituliert werden.

Ich hoffe, ich konnte das Problem ausführlich beschreiben.

Übrigens, aufgetreten ist es direkt nach dem Besuch einer Website mit der Top Level Domäne .WS

Wer kennt das Problem, bzw. hat evtl. sogar eine Lösung parat ?

Vielen Dank vorab.

Grüße Holger

 

Klar hast du dein Problem ausführlich beschrieben:

Es sieht so aus, dass ein Antivirenprogramm das andere als Virus betrachtet.

Wenn du schon Virenmeldungen bekommst, musst du diesen Meldungen nachgehen. Ein anderes Programm hilft da keinesfalls weiter.

 

Leider kam die Virus-Meldung des Free-AV wohl nicht wegen McAfee.

Der gefundene Virus war "EXP/Office.Dropper.Gen" Diesen hatte McAfee nicht entdeckt.

 

Hast du denn Google mal nach deinem Virus befragt?

 

Klar, kamen auch einige Ergebnisse, aber leider nicht die gewünschten welche mir beim Problem mit den Windows-Systemmeldungen weiterhelfen.

 

Und wie soll das jemand beurteilen, der die Meldungen nur in der Form kennt, wie du sie bisher veröffentlicht hast?
Neben dem Namen des "Virus" ist ja auch dessen Fundstelle von sehr wesentlicher Bedeutung, zumindest für die Einordnung. Und da heißt es eben, von den Googlefundstellen mal einige genau unter die Lupe zu nehmen.
Mehrere Antivirenprogramme laufen zu lassen, hilft keinesfalls. Diese behindern sich gegenseitig, verursachen untereinander Fehlalarme und belasten das System negativ. Wen man Probleme mit dem System hat, muss man diesen systematisch nachgehen. Ein zweites Antivirenprogramm ist auf jeden Fall der absolut falsche Weg.

 

Was suchst du auch auf so komischen Webseiten *.ws, vielleicht auch noch mit dem IE unterwegs gewesen

Ein Dropper ist meist in JavaScript geschrieben .. *.js. Lösche einmal deine
temporären Internet-Dateien (Browser-Cache). Wenn IE 7.0 und die UAC unter Vista aktiv ist dürfte der Dropper sich nicht ausbreiten / aktiveren können.

 

Gute Idee, hab ich gemacht (temp-dateien löschen), leider ohne Erfolg. Sowohl im IE als auch im Firefox mit dem ich "unterwegs" war.

Was ist UAC ?

Ein weiteres Problem habe ich mittlerweile festgestellt, meine McAfee Firewall lässt allen Programmen ohne mir Meldung zu geben Zugriff nach aussen (mindestens) ohne Nachzufragen. Die Nachfrage ist allerdings aktiviert !

So langsam weiss ich echt nicht mehr was ich noch machen kann ...

 

Anbei noch der Logfile von HijackThis ...
Eventuell kann daraus jemand etwas ableiten ?

Danke vorab !

 

Hallo,

HiJackThis.de meint dass das hier ein Backdoor-Trojaner ist..
Backdoor.Win32.Small.lu

O4 - HKCU\..\Run: [userinit] C:\Users\Zed\AppData\Roaming\ntos.exe

Bitte die Datei "ntos.exe" online prüfen lassen und Resultat hier posten..

Online Virenprüfung:
http://virusscan.jotti.org/de/

 

Und zwei Antivirenprogramme stehen sich meist gegenseig im Weg.

 

Hallo Wolfgang,

erstmal Danke für die prompte Antwort
Leider klappt das mit dem Online-Virenscan nicht da folgende Meldung auftritt: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Meine McAfee-Firewall hab ich deaktiviert ... Laut Explorer hat die Datei eine Größe von 489kb

Ich habe die Datei von McAfee scannen lassen und u.a folgendes interessantes Ergebniss erhalten:

Anzahl der durchsuchten Elemente: 0

Noch eine andere Idee ?

 

Den McAfee kannst du auch in der Pfeife rauchen oder er wurde von dem Trojaner schon in seiner Funktion beschädigt.

Fixe den Eintrag mit HiJackThis.. und boote den Rechner neu.
Versuche dann die Datei zu löschen, bzw. das ganze Verzeichnis..

C:\Users\Zed\AppData\Roaming\ntos.exe

Kenne mich mit Vista nicht sonderlich aus, ist "Zed" dein Anmeldename (Username) ?. Ob das Verzeichnis "Roaming" bei Vista normal ist kann ich dir auch nicht sagen. Viren entfernt man eigentlich im "Abgesicherten Modus" bei deaktivierter Systemwiederherstellung.

 

Benutzerkontenschutz - User Account Control
Soll eigentlich unter Vista verhindern dass der Trojaner großen Schaden anrichten kann.

http://www.microsoft.com/germany/technet/prodtechnol/windowsvista/secprot/uacppr.mspx

http://technet.microsoft.com/de-de/windowsvista/aa905117.aspx

 

Am besten du versuchst über antivir den genauen reg.schlüssel zu finden und dursuchst deine registrierung

 

ist ein generisches Erkennungsmuster, zukünftig befallenene Dateien bzw verdächtige online überprüfen lassen bevor du was eliminierst

ist wahrlich ein pöser Pursche

Code:

O4 - HKCU\..\Run: [userinit] C:\Users\Zed\AppData\Roaming\[B][COLOR="Red"]ntos.exe[/COLOR][/B]

DAS WICHTIGSTE- NIMM DEN KASTEN AUS DEM NETZ, um das nachladen von Malware zu verhindern, und dann... (du kennst meine Anleitung auch)

1. systemwiederherstellung aus
2. in HJT fixen
3. Ordner löschen
4. mit CCleaner alles löschen
5. Neustart und erneuttes HJT Log posten

ist klar der Trojaner verhindert das telefonieren mit nen Scanner


@Hnas2:

solang es nciht aktiv ist.. ist es egal

 

Im HJT sind aber zwei aktiv.

 

Von einem deaktiverten AV-Programm werden trotzdem beim Windows Start noch Treiber geladen. Neue Scanner filtern auch den Datenverkehr nicht mehr über die Winsock sondern direkt auf der Netzwerkkarte über den ndis.sys Treiber (in so manchem Bluescreen ist von dieser Datei die Rede ), der auch bei deaktiviertem AV-Scanner eingebunden ist. Wenn dann zwei AV-Scanner ndis.sys benutzen, ist mit Konflikten zu rechnen. ZA Pro und KAV7 vertragen sich aus diesem Grund auch nicht mehr.

 

Danke für die Lektionen

 

Hallo,

habe die gewünschten Schritte soweit durchgeführt, bin dabei allerdings auf Probleme gestossen:

1- Wie deaktiviere ich die Systemwiderherstellung unter Vista ?
2. Fix durchgeführt
3.Ordner kann ich leider nicht löschen, da von anderem Programm genutzt wird (auch im abgesicherten Modus)
4. Erledigt
5. Neuer HJT-Log hängt an