PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Software Foren: (https://www.pc-experience.de/wbb2/board.php?boardid=17)
-- Windows 9x, NT, 2000, XP: (https://www.pc-experience.de/wbb2/board.php?boardid=18)
--- Falsche ndis.sys & Win32/Spabot.NAC Trojaner taucht nach jedem Neustart wieder auf (https://www.pc-experience.de/wbb2/thread.php?threadid=24792)
Geschrieben von Kruis am 03.05.2007 um 07:25:
Falsche ndis.sys & Win32/Spabot.NAC Trojaner taucht nach jedem Neustart wieder auf
Hallo,
Notebook: Toshiba Intel M 1.73 GHz WinXP Home SP2 + wichtige Windows Update ausser IE7 (OEM)
NOD32 meldet in C:\cp1041.nls den Win32/Spabot.NAC Trojaner. Unerwartete Neustarts treten auf - nach einer weile verabschiedet sich auch services.exe.
Auf dem Notebook ist die ndis.sys Datei nicht 182.912 Bytes groß sondern 281.348 Bytes
Bei jedem Neustart meldet NOD32 mir den oben genannten Trojaner.
Die ndis.sys Datei gibts nur einmal unter ...system32/drivers
Wie kann ich die ndis.sys Datei mit der orginalen ersetzten? Mit sfc /scanonce und sfc /scannow wird die Datei leider nicht ersetzt.
Auf meinem Desktop-PC (WinXP Prof.) ist die ndis.sys 182.912 Bytes groß, könnte ich diese einfach in den Notebook kopieren? Wäre sie dann mit WinXP Home kompatibel?
Danke im vorraus
Kruis
Geschrieben von Florian am 03.05.2007 um 11:33:
die Dateien kannst du nicht mixen
stell deine Systemwiederherstellung ab, lade dir die Testversion von Kaspersky herunter:
klick
, aktualisiere sie >wechsel in den abgessicherten Modus und lass den Scanner übers System laufen
wenn das nichts nützt bleibt dir nur Format C:\
und gleich noch ein Tipp:
Niemals mit Adminrechten surfen !
Geschrieben von Kruis am 03.05.2007 um 19:01:
Florian danke für die flotte Antwort
Ich wusste gar nicht, daß im abgesicherten modus der antiviren scanner läuft!
Habe gleich den Scanner (Nod32) im abgesicherten Modus laufen lassen - siehe da, gleich viermal fündig geworden und alle vier Dateien wurden gelöscht bzw. unter Quarantäne gestellt.
1. ....system32\drivers\ndis.sys Win32/Nidis.A Virus
2. ....system32\drivers\poof Win32/TrojanerProxy.Wopla.NAC Trojaner
3. ....system32\drivers\kprof Win32/TrojanerProxy.Wopla.NAC Trojaner
4. ....system32\drivers\koos.exe möglicherweise eine Variante von Win32/Genetik Trojaner
Das Problem services.exe hat ein Problem festgestellt und muss beendet werden und NT Autoritäts/system fehler besteht weiterhin -
Im ...system32\drivers Ordner ist nun die infizierte ndis.sys Datei gelöscht, wie bekomme ich diese fehlende Datei wieder in den System Ordner?
Auf der Festplatte liegt im C:\I386-Ordner eine Ndis.sy_ Datei 90.321 Bytes, kann ich diese einfach in Ndis.sys umbenennen und in den ...system32\drivers Ordner kopieren?
Werde jetzt auch mal das System mit Kaspersky scannen, vielleicht findet der noch einiges an Abfall.
Geschrieben von Tux am 03.05.2007 um 19:32:
das ist Zeitverschwendung
dein System ist komplett kompromittiert, also neu aufsetzen
Geschrieben von Pablo-Kurzhaar am 04.05.2007 um 01:08:
so sehe ich das auch
du mußt damit rechnen, das deine Passwörter ausgespäht wurden, also Onlinebanking, Ebay, usw. sind tabu, Du solltest umgehend von einem sauberen Rechner aus alle eventuell benutzten Passwörter und Zugangsdaten ändern und den befallenen Rechner dann sofort neu aufsetzen
Geschrieben von Fantomas am 07.05.2007 um 14:20:
mal als Info dazu was Microsoft schreibt:
klick mich
Forensoftware: Burning Board , entwickelt von WoltLab GmbH