W32/Nsag.B Virus |
||
|---|---|---|
| #0
| ||
|
29.12.2005, 21:03
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
30.12.2005, 06:09
...neu hier
Beiträge: 9 |
#17
Yahoo Thx es scheint weg zu sein, also meldet sich bis jetzt nicht und normalerweise erscheint er ja schon beim einwählen. Aber poste nochmal denn Bericht.
Dann kann ich mich ja morgen oder so an die andere Prtition ranmachen  smartfiles.txt: smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ oleext.dll ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 796 'explorer.exe' Killing PID 796 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ oleext.dll ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ wininet.dll INFECTED!!  Starting replacement procedure.~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~ ~~~~ dllcache\wininet.dll not present! ~~~~ ~~~~ Looking for C:\WINDOWS\$hf_mig$\KB890923\SP2QFE\wininet.dll ~~~~ ~~~~ KB890923\SP2QFE\wininet.dll not present! ~~~~ ~~~~ Looking for C:\WINDOWS\$hf_mig$\KB867282\SP2QFE\wininet.dll ~~~~ ~~~~ KB867282\SP2QFE\wininet.dll not present! ~~~~ ~~~~ Looking for C:\WINDOWS\$hf_mig$\KB883939\SP2QFE\wininet.dll ~~~~ ~~~~ KB883939\SP2QFE\wininet.dll not present! ~~~~ ~~~~ Looking for C:\WINDOWS\ServicePackFiles\i386\wininet.dll ~~~~ ~~~~ C:\WINDOWS\ServicePackFiles\i386\wininet.dll Present! ~~~~ ~~~~ Checking C:\WINDOWS\ServicePackFiles\i386\wininet.dll for infection ~~~~ ~~~~ ServicePackFiles\i386\wininet.dll Clean! ~~~~ ~~~ Replaced wininet.dll from ServicePackFiles\i386 ~~~ THX nochmal |
|
|
|
|
|
|
30.12.2005, 18:21
Ehrenmitglied
Beiträge: 29434 |
#18
ingfalk
klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ http://virus-protect.org/multiavtool.html poste alle drei Logs hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
30.12.2005, 23:53
...neu hier
Beiträge: 9 |
#19
Hatte zwar keine probs. mehr aber war immer noch was da.
Eine Frage hätte das nicht gereicht wenn ich nur C. gescannt hätte? Naja hab's so gemacht wie du mienstest McAfee LOG.txt: Virus Scan Report File -------------------------------------------------------------------------------- Virus Scan Information -------------------------------------------------------------------------------- McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4663 created Dec 30 2005 Scanning for 168331 viruses, trojans and variants. -------------------------------------------------------------------------------- Virus Scan Results -------------------------------------------------------------------------------- 12/30/2005 21:30:08 Options: "C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [WinXP] C:\WINDOWS\SYSTEM32\clonzips.ssc ... Found the W32/Sober.j.eml!zip virus !!! The file or process has been deleted. C:\WINDOWS\SYSTEM32\clsobern.isc ... Found the W32/Sober.j.eml!exe virus !!! The file or process has been deleted. C:\WINDOWS\SYSTEM32\ipbm32.exe ... Found the AdClicker-AJ trojan !!! The file or process has been deleted. C:\WINDOWS\SYSTEM32\nonzipsr.noz ... Found the W32/Sober.j.eml!exe virus !!! The file or process has been deleted. C:\WINDOWS\SYSTEM32\zippedsr.piz ... Found the W32/Sober.j.eml!zip virus !!! The file or process has been deleted. Scanning C:\WINDOWS\SYSTEM32\*.* Summary report on C:\WINDOWS\SYSTEM32\*.* File(s) Total files: ........... 7125 Clean: ................. 7110 Possibly Infected: ..... 5 Cleaned: ............... 0 Deleted: ............... 5 Non-critical Error(s): 1 Time: 00:10.59 -------------------------------------------------------------------------------- Visit the McAfee Online Web Site Need some help or advice? Send email to Technical Support. Virus Scan Report File -------------------------------------------------------------------------------- Virus Scan Information -------------------------------------------------------------------------------- McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4663 created Dec 30 2005 Scanning for 168331 viruses, trojans and variants. -------------------------------------------------------------------------------- Virus Scan Results -------------------------------------------------------------------------------- 12/30/2005 22:34:11 Options: "C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [WinXP] Scanning C:\WINDOWS\*.* Summary report on C:\WINDOWS\*.* File(s) Total files: ........... 29750 Clean: ................. 29740 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 1 Time: 00:25.51 -------------------------------------------------------------------------------- Visit the McAfee Online Web Site Need some help or advice? Send email to Technical Support. Virus Scan Report File -------------------------------------------------------------------------------- Virus Scan Information -------------------------------------------------------------------------------- McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4663 created Dec 30 2005 Scanning for 168331 viruses, trojans and variants. -------------------------------------------------------------------------------- Virus Scan Results -------------------------------------------------------------------------------- 12/30/2005 23:00:52 Options: "C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [WinXP] Scanning C:\*.* C:\!KillBox\addbr.dll ... Found the AdClicker-AJ.gen trojan !!! The file or process has been deleted. C:\!KillBox\atlng.exe ... Found the AdClicker-AJ trojan !!! The file or process has been deleted. C:\!KillBox\ieot32.dll ... Found the AdClicker-AJ.gen trojan !!! The file or process has been deleted. C:\!KillBox\ieuk.exe ... Found the AdClicker-AJ trojan !!! The file or process has been deleted. C:\!KillBox\mfcrz32.exe ... Found trojan or variant New Malware.q !!! Please send a copy of the file to McAfee The file or process has been deleted. C:\!KillBox\sdkmx32.exe ... Found trojan or variant New Malware.q !!! Please send a copy of the file to McAfee The file or process has been deleted. C:\!KillBox\_detmp.1:wtqtue ... Found trojan or variant New Malware.q !!! Please send a copy of the file to McAfee The file or process has been deleted. C:\!KillBox\_detmp.2:otiywo ... Found the AdClicker-AJ trojan !!! The file or process has been deleted. C:\!KillBox\_detmp.2:wkqpr ... Found the AdClicker-AJ trojan !!! The file or process has been deleted. C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll ... Found potentially unwanted program Adware-GAIN. The file or process has been deleted. C:\Programme\Gemeinsame Dateien\CMEII\GatorSupportInfo.txt ... Found potentially unwanted program Adware-GAIN. The file or process has been deleted. C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.manifest ... Found potentially unwanted program Adware-GAIN. The file or process has been deleted. C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil ... Found potentially unwanted program Adware-GAIN. The file or process has been deleted. Summary report on C:\*.* File(s) Total files: ........... 108592 Clean: ................. 108315 Possibly Infected: ..... 9 Cleaned: ............... 0 Deleted: ............... 13 Non-critical Error(s): 1 Master Boot Record(s): ......... 2 Possibly Infected: ..... 0 Boot Sector(s): ................ 1 Possibly Infected: ..... 0 Time: 00:49.55 -------------------------------------------------------------------------------- Visit the McAfee Online Web Site Need some help or advice? Send email to Technical Support. |
|
|
|
|
|
|
31.12.2005, 00:24
Ehrenmitglied
Beiträge: 29434 |
#20
ingfalk
W32.Sober Removal Tool http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html nun scanne noch mit den anderen drei scannern, die im Tool http://virus-protect.org/multiavtool.html enthalten sind und poste die Scanreporte...ich denke, das wird nun alle probleme loesen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.01.2006, 19:30
...neu hier
Beiträge: 9 |
#21
Alles klar gemacht und hier die Logfiles
þ AVPDOS32 Start 03-01-2006 13:55:54 Version 3.0 build 135 Last update: 03.01.2006, 168797 records. Command line: /- /E /* /MD /MP /Y /Z- /W+=ScanReport.txt c: Profile defdos32.prf (from 27.06.2001 03:00:00) c:\AV-CLS\UNRAR.EXE packed: UPX c:\AV-CLS\UNZIP.EXE packed: Diet c:\AV-CLS\UNZIP.EXE packed: Com2Exe c:\AV-CLS\SOPHOS\ESDZ.EXE archive: ZIP c:\AV-CLS\SOPHOS\SAV32SFX.EXE archive: ZIP c:\AV-CLS\SOPHOS\WEB_IDES.EXE packed: UPX c:\AV-CLS\SOPHOS\WEB_IDES.EXE archive: RarSFX c:\AV-CLS\SOPHOS\WEB_IDES.EXE/data.rar archive: RAR c:\AV-CLS\SOPHOS\WEB_IDES.EXE archive: RAR c:\AV-CLS\TREND\SYSCLEAN.COM archive: Embedded EXE c:\DOKUME~1\J0KER\ANWEND~1\MICROS~1\VORLAGEN\NORMAL.DOT archive: Embedded c:\DOKUME~1\J0KER\ANWEND~1\SUN\JAVA\DEPLOY~1\CACHE\JAVAPI\V1.0\JAR\CHATBO~1.ZIP archive: ZIP c:\DOKUME~1\J0KER\ANWEND~1\SUN\JAVA\DEPLOY~1\CACHE\JAVAPI\V1.0\JAR\CHATBO~2.ZIP archive: ZIP c:\DOKUME~1\J0KER\ANWEND~1\SUN\JAVA\DEPLOY~1\CACHE\JAVAPI\V1.0\JAR\CHATBO~3.ZIP archive: ZIP c:\DOKUME~1\J0KER\ANWEND~1\SUN\JAVA\DEPLOY~1\CACHE\JAVAPI\V1.0\JAR\CLICKJ~1.ZIP archive: ZIP c:\DOKUME~1\J0KER\ANWEND~1\SUN\JAVA\DEPLOY~1\CACHE\JAVAPI\V1.0\JAR\CYJAR-~1.ZIP archive: ZIP |
|
|
|
|
|
|
07.01.2006, 22:41
Ehrenmitglied
Beiträge: 29434 |
#22
ingfalk
scanne mit Panda und kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.01.2006, 03:04
...neu hier
Beiträge: 9 |
#23
schon getan
Incident Status Location Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@2o7[2].txt Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@adtech[2].txt Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@advertising[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@as-eu.falkag[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@as1.falkag[2].txt Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@atdmt[2].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@doubleclick[2].txt Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@hitbox[2].txt Spyware:Cookie/Itrack Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@ilead.itrack[1].txt Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@mediaplex[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@sel.as-eu.falkag[2].txt Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@statcounter[2].txt Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@tradedoubler[2].txt Spyware:Cookie/Valueclick Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@valueclick[2].txt Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@weborama[1].txt Spyware:Cookie/Adserver Not disinfected C:\Dokumente und Einstellungen\J0ker\Cookies\j0ker@z1.adserver[1].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\J0ker\Desktop\datfind\smitRem\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\J0ker\Desktop\datfind\smitRem.exe[Process.exe] Adware:Adware/Lop Not disinfected F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Liteheartcornjoy\Info Trust.exe Adware:Adware/Lop Not disinfected F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Liteheartcornjoy\settingsdelete.exe |
|
|
|
|
|
|
09.01.2006, 10:06
Ehrenmitglied
Beiträge: 29434 |
#24
ingfalk
entferne die Adware Lop F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Liteheartcornjoy da der Lop auf dem system ist, mache bitte noch folgendes: (auf F:\ ) Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Windir%\tasks /a h > files.txt notepad files.txt - Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.01.2006, 00:49
...neu hier
Beiträge: 9 |
#25
Datentr„ger in Laufwerk D: ist WinXP Admin
Volumeseriennummer: 0C9A-3267 Verzeichnis von D:\WINDOWS\tasks 01.01.2006 02:25 <DIR> . 01.01.2006 02:25 <DIR> .. 08.01.2006 06:00 260 AA3E28B19181DD81.job 23.08.2001 14:00 65 desktop.ini 10.01.2006 00:45 6 SA.DAT 3 Datei(en) 331 Bytes Verzeichnis von D:\Dokumente und Einstellungen\Joker\Desktop Das war schon F nur auf denn verschiedenen Partitionen habe ich die Laufwerksbuchstaben anders angeordnet |
|
|
|
|
|
|
10.01.2006, 01:28
Ehrenmitglied
Beiträge: 29434 |
#26
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
%systemdrive% cd D:\WINDOWS\Tasks attrib -r -s -h AA3E28B19181DD81.job del AA3E28B19181DD81.job - Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal wenn das hier wirklich geloescht ist.... F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Liteheartcornjoy muesste nun alles wieder clean sein ---------------------------------------------------------------------- deaktiviere die Systemwiederherstellung, loesche alle Dateien in der c:\Killbox, scanne mit kaspersky http://virus-protect.org/onlinescan.html , dann aktiviere die Systemwiederherstellung wieder und poste das Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.01.2006, 08:13
...neu hier
Beiträge: 9 |
#27
hmmm..sorry das es so lange gedauert hat aber komme manchmal kaum an PC hab soviel arbeuit
.Naja hab es jetzt auf jeden Fall ausgeführt und habe nachgeaschaut der ordner is noch da. Und so löschen kann ich ihn nicht
|
|
|
|
|
|
|
21.01.2006, 10:52
Ehrenmitglied
Beiträge: 29434 |
#28
du musst den Ordner im abgesicherten Modus loeschen (also F8 druecken, wenn der PC hochfaehrt, und in den abgesicherten Modus gehen)
Dort sollte es sich loeschen lassen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Liteheartcornjoy __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.08.2006, 16:35
Member
Beiträge: 11 |
#29
hallo!
da der andere thread scheinbar closed ist, poste ich mein anliegen einfach mal hier rein und hoffe, dass mir geholfen wird. und zwar habe ich mir den wurm W32/Nsag.B eingefangen (sagt mir antivir) nun, nachdem ich hier wtwas gelesen habe, habe ich mal mit hijack gescannt und psote gleich mal die logfile. hoffe mir kann jemand sagen was ich machen muss, damit dieser wurm weg geht. dank schonmal Zitat Logfile of HijackThis v1.99.1 |
|
|
|
|
|
|
15.08.2006, 18:41
Ehrenmitglied
Beiträge: 29434 |
#30
ervondort
dieser Rechner muss schnellstens formatiert werden, nicht wegen dem Swizzor-Trojaner, sondern wegen Viren und Wuermern. Das der Rechner so hoffnungslos verseucht ist - kein Wunder, er hat noch nie ein einziges WindowsUpdates gesehen....... http://virus-protect.org/nachneuinst.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste sie
__________
MfG Sabina
rund um die PC-Sicherheit