Wie ich den ntos.exe-Virus wieder losgeworden bin

Heute erhielt ich dieses Schreiben von meiner Bank:

Sehr geehrter Herr ******,
wir haben über ein von unserem Rechenzentrum beauftragtes Unternehmen die Information erhalten, dass es einem Trojaner auf Ihrem PC gelungen ist, die von Ihnen beim Online-Banking verwendete Online-PIN auszuspähen. Aus Sicherheitsgründen wurde daher Ihr Zugang zum Online-Banking gesperrt.

Auf meinem Rechner hatte sich der Trojaner ntos.exe breit gemacht. Spezialität von ntos ist offensichtlich das Ausspähen von PIN und TANs, und so hat man wohl schon von Weißrußland, Malaysia oder Nigeria aus versucht, mein Konto leerzuräumen. Ich war daher den ganzen Tag damit beschäftigt, meinen Rechner wieder zu säubern – man hat ja sonst nichts zu tun.

Bei diesem ungebetenen Gast (ntos.exe) hat bei mir folgendes geholfen:

1. Zuerst mit dem Process Explorer (hier oder hier erhältlich) im Prozess winlogon.exe die Handles ntos.exe, audio.dll und video.dll entfernen.
2. Dann mit gmer nach Rootkits scannen und im Verzeichnis /windows/system32/ die Datei ntos.exe sowie das Unterverzeichnis wsnpoem und die darin enthaltenen audio.dll und video.dll löschen und töten (sind tatsächlich zwei Schritte: “delete” und “kill”).
3. Dann erst lässt sich der Eintrag von ntos.exe in der Registry entfernen (Start -> Ausführen -> “regedit” eingeben -> OK), und zwar im Key HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon, wo auf der rechten Seite bei Userinit nur C:\Windows\system32\userinit.exe stehen darf.

So hat’s zumindest bei mir geklappt. Alle verwendeten Tools sind kostenlos erhältlich. Hoffentlich war’s das jetzt; ich habe erstmal auf allen Seiten, die mir einfielen, die Zugangsdaten geändert. Schließlich lässt sich ja auch mit einem gekaperten Ebay- oder Amazon-Konto eine Menge Unheil anrichten.

Sehr geholfen beim Verarbeiten meines Unglücks hat mir übrigens diese Seite, die ich bei Chris Guillebeau fand : So schlecht geht’s mir dann doch wieder nicht. Es ist ganz interessant, mit verschiedenen Eingabewerten herumzuspielen: Schon mit 100 Euro im Monat gehört man global gesehen eindeutig zu den Besserverdienenden. Aber in Deutschland gibt es angeblich 20 Millionen Menschen, die in Armut leben. Weißte Bescheid, ne? Aber natürlich sind die Lebenshaltungskosten im Slum von Dhaka ungemein geringer als in Deutschland, das gebe ich unumwunden zu. Kann man also alles garnicht vergleichen, und überhaupt.

Update, 07.01.2009: Habe die Anleitung mal etwas übersichtlicher gestaltet. Bis heute hatte ich nach dieser Prozedur keinen Ärger mehr mit ntos.

veröffentlicht am 18. June 2008 um 15.24 Uhr
in Kategorie: Verlinkt