agent.eo.1 alias virus.win32.nsag.a blauer Bildschirm ! PSGuard |
||
---|---|---|
#0
| ||
30.06.2005, 14:46
Member
Beiträge: 20 |
||
|
||
30.06.2005, 15:00
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@
ich mag diese Seite nicht, weil man sich totsuchen muss, ehe man was findet (oder stelle ich mich zu doof an ? ) Das beste ist immer noch die verseuchte dll durch eine saubere zu ersetzen, denke ich mal. Dennoch werde ich beginnen, den F-Secure zu empfehlen. Die Dateien, die zur Verseuchung fuehren, hatte ich schon gefunden .... http://virus-protect.org/Artikel/startseite/oneclicksearches.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.06.2005, 15:04
Member
Themenstarter Beiträge: 20 |
#3
Hallo Sabina, fair enough. Aber welche Seite meinst Du ? Besuch-von-nebenan
ist chaotisch aufgebaut, da gebe ich dir recht. Aber gibts Du in Deinen Browser suchen "nsag" ein bekommst Du gute Infos und vor allem den direkten Link zu F-secure und die haben sich mit der Beschreibung des Viechs viel Muehe gegeben; find ich klasse ! Gruss bandog |
|
|
||
30.06.2005, 15:15
Ehrenmitglied
Beiträge: 29434 |
#4
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.06.2005, 15:26
Member
Themenstarter Beiträge: 20 |
#5
Hi, da such ich heute abend mal nach. F-secure, ich ueberleg noch ob ich den runterlade oder meinen (Privat)-Pc ein paar Tage stehen lass und mal schau was up-dates meiner antivir und kaspersky beta dann bringen ;-))
Ich weiss, ich bin ein bischen faul. Wer macht mir das... Versuchskaninchen bei F-secure ? viel Erfolg und sagt Bescheid ! |
|
|
||
30.06.2005, 16:13
Member
Themenstarter Beiträge: 20 |
#6
Sabina, am ende siehste noch, wo ich mir das Tierchen gefangen habe....
Aber ich werde ja nicht duemmer dadurch und guck mal heute Abend was ich machen kann. Probleme macht der Trojaner eigentlich mittlerweile nicht mehr so viel. Den Hintergrund konnte ich mit wenig hin und her - und traditionell ohne Ahnung - wieder zurueckstellen (bloss die Beschriftungen blieben blau). Aber ich - kein KLEINER Bloedmann - habe einfach die Farbe auf schwarz umgestellt und .... da mein cooler Voodoo2 Hintergrund auch schwarz ist: siehste nix mehr von ! Aber das da noch was im Hintergrund lauert merkt man schon am Tempo meines PC und dann ist da noch die Kaspersky Beta, die alle 10 Sekunden erzaehlt, dass meine wininit.dll infiziert ist, aber leider weder desinfiziert noch geloescht werden kann. Evtl lass ich mich heute abend noch mal sehen... Ciao bandog |
|
|
||
30.06.2005, 16:22
Ehrenmitglied
Beiträge: 29434 |
#7
ich bring dir das in Orndnung, aber dazu brauchen wir Zeit, poste die Sachen, wenn du kannst
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Systemdrive%\wininet.dll /a h /s > files.txt start notepad files.txt - Speichern als: wininet.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text Silentrunners http://virus-protect.org/silentrunner.html klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.06.2005, 16:31
Member
Themenstarter Beiträge: 20 |
#8
Zitat Sabina postete |
|
|
||
30.06.2005, 17:17
Ehrenmitglied
Beiträge: 29434 |
#9
flirten ? na ja, mal was anderes als immer nur Viren
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.06.2005, 20:20
Member
Themenstarter Beiträge: 20 |
#10
Meine Rede, aber back to biz ! War gar nicht so leicht herzukommen, kasper meckert wie immer wininit.dll infiziert und der smartserver geht nicht auf mit der Meldung wininit fehlt, besuchen Sie die smartserver-page. Ja, wie denn ?
Hat aber nach Neustart dann geklappt. Erstmal das Log vom Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 19:27:07, on 30.06.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SCARDS32.EXE C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\KASPERSKY LAB\AVP6\AVP.EXE C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\PROGRAMME\KASPERSKY LAB\AVP6\AVP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [AtiKey] Atitask.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Kaspersky Anti-Virus 2006] C:\PROGRAMME\KASPERSKY LAB\AVP6\AVP.EXE O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search O4 - HKLM\..\RunServices: [AVP] C:\PROGRAMME\KASPERSKY LAB\AVP6\AVP.EXE -r O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\PROGRAMME\KASPERSKY LAB\AVP6\SCIEPLUGIN.DLL Hab' das mal eben bei hjthis.de durchlaufen lassen und komischerweise kennt der die kasperskis und auch einmal avast! nicht. Vor allem der Script checker scheint suspect. Evtl infiziert ? soviel erstmal, ich mach gleich weiter. So, das mit dem Befehl CMD klappt bei mir nicht: Datei nicht gefunden, sicherstellen dass pfad richtig etc gibts da bei den versch. Windowsversionen unterschiedliches ? Ich habe Win98se Dieser Beitrag wurde am 30.06.2005 um 21:44 Uhr von bandog editiert.
|
|
|
||
30.06.2005, 22:25
Ehrenmitglied
Beiträge: 29434 |
#11
klar, du arbeitest mit WIN 98 und da bin ich mir nicht so sicher, ob ich dir noch weiter helfen kann, denn mit dem System kenne ich mich ueberhaupt nicht aus.
Wollen wir hoffen, dass der escan und nicht im Stich laesst. Silentrunners http://virus-protect.org/silentrunner.html klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2005, 14:16
Member
Themenstarter Beiträge: 20 |
#12
Hier noch mal ein paar interessante Zeilen zum
nsag.a / agent.eo / smitfraud und auch PSGuard ! http://www.viruslist.com/en/weblog?weblogid=166508324 gruss bandog |
|
|
||
07.07.2005, 10:47
Moderator
Beiträge: 7805 |
#13
Die Beschreibung ist sehr gut und funktionieren tut es auch, nur bin ich mir nicht sicher, ob der automatische "Austausch" der wininit.dll unter Win98 funktioniert! Da solltst du dir lieber saubere Kopie der gleichen Version von einem anderen Rechner holen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.07.2005, 13:33
Member
Themenstarter Beiträge: 20 |
#14
Hi Ralf, ja das werde ich heute abend machen. Habe zwar schon lange nicht mehr die typischen smitfraud, agent.eo, nsag.a Probleme, aber das System ist sehr langsam, Hijackthis sagt das eigentlich gute Eintraege f-secure, taskmanager etc evtl doch boese sind, da sie eigentlich woanders laufen sollten....
Mein f-secure laeuft auch nicht mehr richtig und nimmt kein up-date mehr an. Die Sache stinkt ziemlich. Mal was anderes: Ich wollte gestern den Panda-scan machen und hab' soweit auch alles runtergeladen. Nur als ich dann angeklickt habe "hardware" passierte nichts fuer mich sichtbares. Ist das normal oder kann man irgendwo sehen das der Scan tatsaechlich laeuft ? Und, reicht es wenn ich im IE die Sicherheit fuer den Scan auf "niedrig" runternehme um den Active-x zu erlauben, oder muss ich noch woanders schrauben ? Danke vorab ! gruss bandog Dieser Beitrag wurde am 07.07.2005 um 13:41 Uhr von bandog editiert.
|
|
|
||
07.07.2005, 14:13
Moderator
Beiträge: 7805 |
#15
Normalerweise laufen diese Activ-X Scaner bei "mittlerer" Einstellung problemlos. Allerdings solltest du dir ueberlegen dein Systemneu aufzusetzen, wenn du nach der ganzen Reinigerei deinen Rechner nicht vernuenftig nutzen kannst, selbst, wenn er dann Malwarefrei sein sollte.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
Jetzt habe ich etwas gefunden was die manuelle Beseitigung der infizierten wininit.dll ueberfluessig machen koennte. Mit aller Vorsicht natuerlch !
Bei www.besuch-von-nebenan.de ist obiger Sachverhalt dargestellt und es wird auf F-secure aus Finnland verwiesen, die behaupten mit ihrem FSAV Programm die wininit.dll desinfizieren zu koennen ! Aber lest selbst:
http://www.f-secure.com/v-descs/agent_eo.shtml
gruss
bandog