Allgemeines 22.002 Themen, 148.943 Beiträge

Verfolgung starten Optionen

NPF was ist das?

Roman Schmidt / 10 Antworten / Baumansicht Nickles

Hallo Nickles Leute, ich wende mich an euch in der Hoffnung, ihr könnt mir helfen. Als seit ein paar Tagen kommt bei mir im Ereignisprotokoll folgende Meldung: "Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: NPF" Dazu hab ich ein paar Fragen: Was zum geier ist NPF? ich kann mir nicht im geringsten was darunter vorstellen. - Wie kann ich den Fehler beheben? Also mein PC hat seit jener Meldung folgende Problemeherbei gerufen: Beim Downloaden von Datein aus dem Internet (Mozilla, bzw. Firefox) mit leech get bleibt er auf einmal stehen. Nichts geht mehr. Beim ausführen von Spybot, gleiches Problem. Ich hab jetzt mal im Internet ein wenig gesucht, falls nochjemand die gleiche Meldung bekommen hat. Da kam raus das es anscheind ein Trjana ist. Darauf hin hab ich im abgesicherten Modus gebootet und Stinger 2.4.9.2 und den Antivir mit neuesten update drüberlaufen lassen. Er hat auch was gefunden und behoben. das gleiche Spiel hab ich etwa 2 oder 3 mal wiederholt. Aber die Meldung kommt immer noch! Ich würde euch sehr danken wenn ihr mir da Helfen könntet und zwar so das ich Windows XP Pro nicht neu draufschmieren muss. MFG Roman

Mit freundlichen Grüßen
bei Antwort benachrichtigen
Amenophis IV Roman Schmidt „NPF was ist das?“
Optionen

jo, das war wohl ein Trojaner und NPF bedeutet in diesem Fall NICHT "Norton personal Firewall", sondern www.npf.ru.........



Download.RY ist ein Trojanisches Pferd, welches das Backdoor Nibu.J aus dem Internet lädt. Die Infektion mit Download.RY geschieht über den infizierten Anhang einer E-Mail. Bei der Ausführung der infizierten Datei wird das System verseucht.

Downloader.RY lädt das Backdoor Nibu.J aus dem Internet und infiziert damit den Computer. Internet-Aktivitäten zu folgenden URL's sind verdächtig.

http://www.npf.ru/
http://www.hairkraf.net/
http://www.kand.ru/
http://telecard.c.ua/
http://allboar.com.ua/
http://www.ori.ru/
http://www.hqroyalpo.com/
http://www.tetravi.com/
http://220953.ds.n.net/logger.php?

Dieses Backdoorprogramm (Nubi.J) installiert einen sogenannten Keylogger, der Informationen periodisch ins Internet sendet.

Nibu.J erzeugt folgende Dateien:
c:\WINDOWS\dvpd.dll
c:\WINDOWS\netdx.dat
c:\WINDOWS\prntsvra.dll
c:\WINDOWS\system32\dllsys.dll
c:\WINDOWS\system32\winldra.exe

Dem Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wird der Wert load32=C:\WINDOWS\System32\winldra.exe zugewiesen.
Damit wird das Schadprogramm bei jedem Systemstart aktiviert.

Entfernung

Das Schadensprogramm kann möglicherweise nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet

Vorgehensweise der Entfernung

1. Systemwiederherstellung von Windows Me/XP deaktivieren
2. Start des Computers in den abgesicherten Modus
3. Durchsuchen Sie mit Ihrem aktuellen Viren-Schutzprogramm den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen.
4. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
5. normaler Systemstart
6. Systemwiederherstellung (Me/XP) aktivieren

Weitere Informationen:
http://www.bsi.de/av/vb/ldp_ak.htm
Quelle: http://www.bsi.de/av/vb/ldp_ak.htm

(Quelle: Google)

bei Antwort benachrichtigen
idefix1968 Roman Schmidt „NPF was ist das?“
Optionen

Und falls Du es bei Amenophis IV nicht gleich erfasst hast. Ein Keylogger ist äußerst übel. Er registriert praktisch alles was Du über die Tastatur eingibst und gibt es weiter. Samt Passwörtern etc.
Dann viel Erfolg beim Entfernen. Eine Neuinstallation wäre hier sicherlich sicherer (und wenn, dann gleich mit neuen Passwörtern und Zugangscodes).

Gruß, Henning

bei Antwort benachrichtigen
Roman Schmidt idefix1968 „Und falls Du es bei Amenophis IV nicht gleich erfasst hast. Ein Keylogger ist...“
Optionen

Vielen dank für die Hilfe Leute!

Ich werd das dann gleich mal ausprobieren. Also kann ich die Reg einträge auch manuell löschen falls es kein Antivir Prog. schafft?

Mit freundlichen Grüßen
bei Antwort benachrichtigen
triker Roman Schmidt „Vielen dank für die Hilfe Leute! Ich werd das dann gleich mal ausprobieren....“
Optionen

---- Reg einträge auch manuell löschen -----

wenn man weiß was man tut, ist dies ein guter weg!


Halte dich am besten an die Vorgehensweise, welche dir der Pharao vorgeschlagen hat.

Kleiner Tip von mir:

Fertige dir in Zukunft ein Image deiner Platte an.
Pogramme zum Bsp: Norton Ghost oder Acronis True Image.
(Acronis ist mein Favorit geworden + speichert übrigens auch auf externe USB-Platten)

Mit solch einem Image hast du dein System in Minutenschnelle wieder hergestellt.)

gruß
triker

Gesundheit konnte ich mir nicht kaufen... Deshalb habe ich fast keine mehr...
bei Antwort benachrichtigen
Roman Schmidt triker „---- Reg einträge auch manuell löschen ----- wenn man weiß was man tut, ist...“
Optionen

Ja ich denke da werd ich auch machen.

Nur um zur der Meldung zurückzukommen, sie wird nach wie vor nach jedem Start angezeigt. Ich habe die einzelnen Datein die mir Amenophis geschrieben hat, gelöscht. Einschließlich dem Schlüssel in der Reg und hab zur absicherung nochmal den Stinger lurchlaufen lassen. Was jetzt? Hat mir der Trojana was zerschossen?

MFG
Roman Schmidt

Mit freundlichen Grüßen
bei Antwort benachrichtigen
triker Roman Schmidt „Ja ich denke da werd ich auch machen. Nur um zur der Meldung zurückzukommen,...“
Optionen


http://www.bsi.de/av/vb/ldp_ak.htm

auch mal auf der site gewesen?


---Einschließlich dem Schlüssel in der Reg---
schau mal nach ob der schlüssel wieder da ist.
wenn ja ist noch was vom übeltäter übrig,
oder
es werden mehrere schlüssel in der registry angelegt, welche du dann manuell suchen solltest. (benutz dabei die suchfunktion, da gehts wenigstens flott mit dem Durchsuchen.

btw: lege dir doch einen surfaccount an deinem PC zu. ohne adminrechte....

gruß
triker
Gesundheit konnte ich mir nicht kaufen... Deshalb habe ich fast keine mehr...
bei Antwort benachrichtigen
Roman Schmidt triker „ http://www.bsi.de/av/vb/ldp_ak.htm auch mal auf der site gewesen?...“
Optionen

Nein ist alles gelöscht. Hab nochmal alles überprüft!

Was jetzt? Kannst du mir weiterhelfen

gruß
Roman

Mit freundlichen Grüßen
bei Antwort benachrichtigen
triker Roman Schmidt „Nein ist alles gelöscht. Hab nochmal alles überprüft! Was jetzt? Kannst du...“
Optionen

Hast du schon mal bei:
Start-
ausführen
msconfig eingegen und da mal im Autostart naczhgesehen?

triker

Gesundheit konnte ich mir nicht kaufen... Deshalb habe ich fast keine mehr...
bei Antwort benachrichtigen
Roman Schmidt triker „Hast du schon mal bei: Start- ausführen msconfig eingegen und da mal im...“
Optionen

Ja hab ich

Mit freundlichen Grüßen
bei Antwort benachrichtigen
triker Roman Schmidt „Ja hab ich“
Optionen

Hallo Roman,
nun bin ich aber mit meinem Latein auch am Ende.

wenn es sonst niemand mehr weiß,
daten sichern, kiste neu aufsetzen und dann IMAGE machen.

tut mir Leid,
triker

Gesundheit konnte ich mir nicht kaufen... Deshalb habe ich fast keine mehr...
bei Antwort benachrichtigen