ntuser.exe,Trojan.Runas.A

ntuser.exe, Trojan.Runas.A

ntuser.exe

ntuser.exe, Trojan.Runas.A

HijackThis

O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINNT\SYSTEM\DRIVER\ntuser.exe
O23 - Service: NTLOAD - Unknown owner - C:\WINNT\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINNT\SYSTEM\DRIVER\ntsrv.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTLOAD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTLOAD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTLOAD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTLOAD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD

Unknown Service
Service Name: NTLOAD
Display Name: NTLOAD
Start Mode: Auto
Start Name: LocalSystem
Description: NTLOAD...
Service Type: Own Process
Path: c:\winnt\system\driver\ntsrv.exe /name:"ntload" /start:"c:\winnt\system\driver\csrss.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

bearbeiten --> suchen --> NTSVCMGR

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTSVCMGR

Unknown Service
Service Name: NTSVCMGR
Display Name: NTSVCMGR
Start Mode: Auto
Start Name: LocalSystem
Description: NTSVCMGR...
Service Type: Own Process
Path: c:\winnt\system\driver\ntsrv.exe /name:"ntsvcmgr" /start:"c:\winnt\system\driver\services.exe d:\winnt\system\driver\ntauth.dll"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTBOOT

Unknown Service
Service Name: NTBOOT
Display Name: NTBOOTMGR
Start Mode: Auto
Start Name: LocalSystem
Description: NTBOOTMGR...
Service Type: Own Process
Path: c:\winnt\system\driver\ntuser.exe
State: Running
Process ID: 704
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

NTBOOTMGR: C:\WINNT\SYSTEM\DRIVER\ntuser.exe (autostart)

NTSVCMGR: C:\WINNT\SYSTEM\DRIVER\ntsrv.exe /name:"NTSVCMGR" /start:"C:\WINNT\system\driver\services.exe D:\WINNT\system\driver\ntauth.dll" (autostart)

NTLOAD: C:\WINNT\SYSTEM\DRIVER\ntsrv.exe /name:"NTLOAD"
/start:"C:\WINNT\system\driver\csrss.exe" (autostart)

WINNT\System\Driver\csrss.exe mit Trojan.Servu.AZ
WINNT\System\Driver\ntserv.exe mit Trojan.Runas.A
WINNT\System\Driver\services.exe mit Backdoor.Iroffer.14b2B

------------------------------------------------

C:\WINNT\SYSTEM\DRIVER\ntuser.exe
c:\winnt\system\driver\csrss.exe
c:\winnt\system\driver\ntsrv.exe
c:\winnt\system\driver\ntauth.dll
C:\WINNT\system\driver\services.exe
C:\WINNT\ROUTE
C:\WINNT\?
D:\WINNT\P
C:\WINNT\0
C:\WINNT\W
C:\WINNT\exctrlst.INI
C:\WINNT\system32\SVKP.sys

anderer PC

HijackThis

O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe

1.
Klick Start>> Ausführen>> schreibe rein Services.msc und klick OK!
"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

NTSVCMGR

2.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc delete NTSVCMGR

3.
bearbeiten--> suchen--> NTSVCMGR

Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

4.

Avenger

Drivers to disable:
ntsrv
csrss
services
ntauth

Drivers to delete:
ntsrv
csrss
services
ntauth

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTBOOT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTSVCMGR

Files to delete:
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system32\ws423195.ocx
C:\WINDOWS\system\driver\ntsrv.exe
C:\WINDOWS\system\driver\csrss.exe
C:\WINDOWS\system\driver\services.exe
C:\WINDOWS\system\driver\ntauth.dll

5.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren

6.
Kaspersky Onlinescan

C:\WINDOWS\system\DRIVER\ntauth.dll Infected: Backdoor.IRC.Zapchast

ntuser.exe, Trojan.Runas.A

ntuser.exe, Trojan.Runas.A

O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINNT\SYSTEM\DRIVER\ntuser.exe O23 - Service: NTLOAD - Unknown owner - C:\WINNT\SYSTEM\DRIVER\ntsrv.exe O23 - Service: NTSVCMGR - Unknown owner - C:\WINNT\SYSTEM\DRIVER\ntsrv.exe

O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINNT\SYSTEM\DRIVER\ntuser.exe
O23 - Service: NTLOAD - Unknown owner - C:\WINNT\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINNT\SYSTEM\DRIVER\ntsrv.exe