agent.eo.1 alias virus.win32.nsag.a blauer Bildschirm ! PSGuard

#0
30.06.2005, 14:46
Member

Beiträge: 20
#1 Hi, ich habe hier die letzten Tage mitgelesen, in der Hoffnung mir selbst helfen zu koennen. Sabina hat ja mit Ihren Tips wirklich alles gegeben.

Jetzt habe ich etwas gefunden was die manuelle Beseitigung der infizierten wininit.dll ueberfluessig machen koennte. Mit aller Vorsicht natuerlch !
Bei www.besuch-von-nebenan.de ist obiger Sachverhalt dargestellt und es wird auf F-secure aus Finnland verwiesen, die behaupten mit ihrem FSAV Programm die wininit.dll desinfizieren zu koennen ! Aber lest selbst:

http://www.f-secure.com/v-descs/agent_eo.shtml

gruss
bandog
Dieser Beitrag wurde am 30.06.2005 um 14:52 Uhr von bandog editiert.
Seitenanfang Seitenende
30.06.2005, 15:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@

ich mag diese Seite nicht, weil man sich totsuchen muss, ehe man was findet (oder stelle ich mich zu doof an ? ) ;)

Das beste ist immer noch die verseuchte dll durch eine saubere zu ersetzen, denke ich mal. Dennoch werde ich beginnen, den F-Secure zu empfehlen.

Die Dateien, die zur Verseuchung fuehren, hatte ich schon gefunden ....
http://virus-protect.org/Artikel/startseite/oneclicksearches.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.06.2005, 15:04
Member

Themenstarter

Beiträge: 20
#3 Hallo Sabina, fair enough. Aber welche Seite meinst Du ? Besuch-von-nebenan
ist chaotisch aufgebaut, da gebe ich dir recht. Aber gibts Du in Deinen Browser suchen "nsag" ein bekommst Du gute Infos und vor allem den direkten Link zu F-secure und die haben sich mit der Beschreibung des Viechs viel Muehe gegeben; find ich klasse !
Gruss
bandog
Seitenanfang Seitenende
30.06.2005, 15:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4

Zitat

Sabina postete
Hallo@


Das beste ist immer noch die verseuchte dll durch eine saubere zu ersetzen, denke ich mal. Dennoch werde ich beginnen, den F-Secure zu empfehlen.

Die Dateien, die zur Verseuchung fuehren, hatte ich schon gefunden ....Allerdings ist nicht immer die wininet.dll im Spiel.....nur, wenn man findet: C:\WINDOWS\UNINSTIU.0XE

http://virus-protect.org/Artikel/startseite/oneclicksearches.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.06.2005, 15:26
Member

Themenstarter

Beiträge: 20
#5 Hi, da such ich heute abend mal nach. F-secure, ich ueberleg noch ob ich den runterlade oder meinen (Privat)-Pc ein paar Tage stehen lass und mal schau was up-dates meiner antivir und kaspersky beta dann bringen ;-))
Ich weiss, ich bin ein bischen faul.

Wer macht mir das... Versuchskaninchen bei F-secure ?
viel Erfolg und sagt Bescheid !
Seitenanfang Seitenende
30.06.2005, 16:13
Member

Themenstarter

Beiträge: 20
#6 Sabina, am ende siehste noch, wo ich mir das Tierchen gefangen habe....

Aber ich werde ja nicht duemmer dadurch und guck mal heute Abend was ich machen kann.

Probleme macht der Trojaner eigentlich mittlerweile nicht mehr so viel. Den Hintergrund konnte ich mit wenig hin und her - und traditionell ohne Ahnung - wieder zurueckstellen (bloss die Beschriftungen blieben blau). Aber ich - kein KLEINER Bloedmann - habe einfach die Farbe auf schwarz umgestellt und ....
da mein cooler Voodoo2 Hintergrund auch schwarz ist: siehste nix mehr von !
Aber das da noch was im Hintergrund lauert merkt man schon am Tempo meines PC und dann ist da noch die Kaspersky Beta, die alle 10 Sekunden erzaehlt, dass meine wininit.dll infiziert ist, aber leider weder desinfiziert noch geloescht werden kann.
Evtl lass ich mich heute abend noch mal sehen...
Ciao
bandog
Seitenanfang Seitenende
30.06.2005, 16:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 ich bring dir das in Orndnung, aber dazu brauchen wir Zeit, poste die Sachen, wenn du kannst ;)

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

Silentrunners
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.06.2005, 16:31
Member

Themenstarter

Beiträge: 20
#8

Zitat

Sabina postete
ich bring dir das in Orndnung, aber dazu brauchen wir Zeit, poste die Sachen, wenn du kannst ;)

Du versuchst doch nicht mit mir zu flirten ??
Aber gut ich lass f-secure, kaspersky und antivir fuer dich schiessen und melde mich nachher !
Seitenanfang Seitenende
30.06.2005, 17:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 flirten ? lol na ja, mal was anderes als immer nur Viren lol
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.06.2005, 20:20
Member

Themenstarter

Beiträge: 20
#10 Meine Rede, aber back to biz ! War gar nicht so leicht herzukommen, kasper meckert wie immer wininit.dll infiziert und der smartserver geht nicht auf mit der Meldung wininit fehlt, besuchen Sie die smartserver-page. Ja, wie denn ?
Hat aber nach Neustart dann geklappt.
Erstmal das Log vom Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 19:27:07, on 30.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SCARDS32.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\KASPERSKY LAB\AVP6\AVP.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\KASPERSKY LAB\AVP6\AVP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Kaspersky Anti-Virus 2006] C:\PROGRAMME\KASPERSKY LAB\AVP6\AVP.EXE
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search
O4 - HKLM\..\RunServices: [AVP] C:\PROGRAMME\KASPERSKY LAB\AVP6\AVP.EXE -r
O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\PROGRAMME\KASPERSKY LAB\AVP6\SCIEPLUGIN.DLL

Hab' das mal eben bei hjthis.de durchlaufen lassen und komischerweise kennt der die kasperskis und auch einmal avast! nicht. Vor allem der Script checker scheint suspect. Evtl infiziert ?
soviel erstmal, ich mach gleich weiter.

So, das mit dem Befehl CMD klappt bei mir nicht: Datei nicht gefunden, sicherstellen dass pfad richtig etc gibts da bei den versch. Windowsversionen unterschiedliches ? Ich habe Win98se
Dieser Beitrag wurde am 30.06.2005 um 21:44 Uhr von bandog editiert.
Seitenanfang Seitenende
30.06.2005, 22:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 klar, du arbeitest mit WIN 98 und da bin ich mir nicht so sicher, ob ich dir noch weiter helfen kann, denn mit dem System kenne ich mich ueberhaupt nicht aus.

Wollen wir hoffen, dass der escan und nicht im Stich laesst.

Silentrunners
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.07.2005, 14:16
Member

Themenstarter

Beiträge: 20
#12 Hier noch mal ein paar interessante Zeilen zum
nsag.a / agent.eo / smitfraud und auch PSGuard !

http://www.viruslist.com/en/weblog?weblogid=166508324

gruss
bandog
Seitenanfang Seitenende
07.07.2005, 10:47
Moderator

Beiträge: 7805
#13 Die Beschreibung ist sehr gut und funktionieren tut es auch, nur bin ich mir nicht sicher, ob der automatische "Austausch" der wininit.dll unter Win98 funktioniert! Da solltst du dir lieber saubere Kopie der gleichen Version von einem anderen Rechner holen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.07.2005, 13:33
Member

Themenstarter

Beiträge: 20
#14 Hi Ralf, ja das werde ich heute abend machen. Habe zwar schon lange nicht mehr die typischen smitfraud, agent.eo, nsag.a Probleme, aber das System ist sehr langsam, Hijackthis sagt das eigentlich gute Eintraege f-secure, taskmanager etc evtl doch boese sind, da sie eigentlich woanders laufen sollten....
Mein f-secure laeuft auch nicht mehr richtig und nimmt kein up-date mehr an.
Die Sache stinkt ziemlich.
Mal was anderes: Ich wollte gestern den Panda-scan machen und hab' soweit auch alles runtergeladen. Nur als ich dann angeklickt habe "hardware" passierte nichts fuer mich sichtbares. Ist das normal oder kann man irgendwo sehen das der Scan tatsaechlich laeuft ? Und, reicht es wenn ich im IE die Sicherheit fuer den Scan auf "niedrig" runternehme um den Active-x zu erlauben, oder muss ich noch woanders schrauben ?
Danke vorab !
gruss
bandog
Dieser Beitrag wurde am 07.07.2005 um 13:41 Uhr von bandog editiert.
Seitenanfang Seitenende
07.07.2005, 14:13
Moderator

Beiträge: 7805
#15 Normalerweise laufen diese Activ-X Scaner bei "mittlerer" Einstellung problemlos. Allerdings solltest du dir ueberlegen dein Systemneu aufzusetzen, wenn du nach der ganzen Reinigerei deinen Rechner nicht vernuenftig nutzen kannst, selbst, wenn er dann Malwarefrei sein sollte.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: