Home » Viren, Trojaner & Malware Forum » W32/Nsag.B Virus » Themenansicht

W32/Nsag.B Virus
#0
23.08.2006, 23:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 1.
loesche den kompletten Ordner:
C:\Programme\optixpro133

2.
poste noch mal die 4 logs von datfindbat

3.
poste das log vom Hijackthis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2006, 17:25
ervondort
Member

Beiträge: 11
#47 1. gemacht

2.
system32

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4F7-940A

Verzeichnis von C:\WINDOWS\system32

24.08.2006 17:06 2.184 wpa.dbl
16.06.2006 11:01 43.520 CmdLineExt03.dll
02.06.2006 11:06 57.384 avsda.dll
29.05.2006 11:19 368.096 FNTCACHE.DAT
04.05.2006 17:35 65.536 QuickTimeVR.qtx
04.05.2006 17:35 49.152 QuickTime.qts
27.04.2006 17:49 288.417 SrchSTS.exe
26.03.2006 12:37 311.740 perfh009.dat
26.03.2006 12:37 40.128 perfc009.dat
26.03.2006 12:37 48.354 perfc007.dat
26.03.2006 12:37 316.924 perfh007.dat
26.03.2006 12:37 723.744 PerfStringBackup.INI
09.01.2006 10:36 40.960 swsc.exe
09.01.2006 10:36 42.496 swreg.exe
temp

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4F7-940A

Verzeichnis von C:\DOKUME~1\evd\LOKALE~1\Temp

24.08.2006 17:10 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}15144.html
24.08.2006 17:09 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}22242.html
24.08.2006 17:09 16.384 ~DFC740.tmp
24.08.2006 17:08 512 ~DFB977.tmp
24.08.2006 17:08 16.384 ~DFB96B.tmp
24.08.2006 17:08 16.384 Perflib_Perfdata_1c8.dat
23.08.2006 22:53 8.118 peanuts.bmp
23.08.2006 22:53 14.136 deswatch.bmp
23.08.2006 22:53 8.118 doodle.bmp
23.08.2006 19:11 1.980 34.tmp
23.08.2006 18:38 1.980 F.tmp
23.08.2006 16:49 16.384 ~DF8257.tmp
22.08.2006 23:27 1.980 49.tmp
22.08.2006 21:40 2.912 java_install_reg.log
22.08.2006 19:57 16.384 ~DF5E5C.tmp
22.08.2006 19:57 16.384 ~DF5E3B.tmp
22.08.2006 19:57 16.384 ~DF5E4C.tmp
22.08.2006 19:57 16.384 ~DF5E28.tmp
22.08.2006 19:20 16.384 ~DFA0B8.tmp
22.08.2006 19:20 16.384 ~DF9936.tmp
22.08.2006 15:35 16.384 ~DFE5B.tmp
22.08.2006 15:35 16.384 ~DFFFEE.tmp
21.08.2006 14:41 16.384 ~DFDFE8.tmp
21.08.2006 14:41 16.384 ~DFD8A2.tmp
19.08.2006 19:13 16.384 ~DFD4AE.tmp
19.08.2006 19:13 16.384 ~DFD3C8.tmp
19.08.2006 19:13 16.384 ~DFD269.tmp
19.08.2006 19:13 16.384 ~DFD257.tmp
19.08.2006 19:09 16.384 ~DF70F7.tmp
19.08.2006 19:09 16.384 ~DF70BA.tmp
19.08.2006 19:09 16.384 ~DF70A4.tmp
19.08.2006 19:09 16.384 ~DF7092.tmp
19.08.2006 19:07 16.384 ~DFCAFE.tmp
19.08.2006 19:07 16.384 ~DFCA81.tmp
19.08.2006 19:07 16.384 ~DFC975.tmp
19.08.2006 19:07 16.384 ~DFC95A.tmp
19.08.2006 19:04 16.384 ~DFE728.tmp
19.08.2006 19:04 16.384 ~DFE739.tmp
19.08.2006 19:04 16.384 ~DFE718.tmp
19.08.2006 19:04 16.384 ~DFE702.tmp
19.08.2006 18:52 16.384 ~DFBC3.tmp
19.08.2006 18:52 16.384 ~DFBB2.tmp
19.08.2006 18:52 16.384 ~DFBA2.tmp
19.08.2006 18:52 16.384 ~DFB92.tmp
19.08.2006 18:50 16.384 ~DFB845.tmp
19.08.2006 18:50 16.384 ~DFAF18.tmp
19.08.2006 18:11 16.384 ~DFD7DC.tmp
19.08.2006 18:11 16.384 ~DFD7F5.tmp
19.08.2006 18:11 16.384 ~DFD7C1.tmp
19.08.2006 18:11 16.384 ~DFD7A5.tmp
19.08.2006 17:41 16.384 ~DF589D.tmp
19.08.2006 17:40 16.384 ~DF5011.tmp
18.08.2006 18:22 1.980 16.tmp
18.08.2006 17:49 16.384 B.tmp
17.08.2006 17:36 0 WER1.tmp
17.08.2006 17:14 717 control.xml
17.08.2006 16:51 75 iconoid.scf
30.07.2006 06:44 17.177.896 BIT2A.tmp
03.06.2006 23:17 28.672 18.tmp
03.06.2006 23:17 28.672 37.tmp
03.06.2006 23:17 28.672 4B.tmp
03.06.2006 23:17 28.672 12.tmp
windows

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4F7-940A

Verzeichnis von C:\WINDOWS

24.08.2006 17:07 0 0.log
24.08.2006 17:07 159 wiadebug.log
24.08.2006 17:07 50 wiaservc.log
24.08.2006 17:06 2.048 bootstat.dat
23.08.2006 23:14 32.506 SchedLgU.Txt
23.08.2006 18:55 49 NeroDigital.ini
20.08.2006 17:35 54.156 QTFont.qfn
18.08.2006 18:40 140 winamp.ini
17.08.2006 17:14 70.126 wmsetup.log
17.08.2006 16:50 433.614 ntbtlog.txt
17.08.2006 16:46 173.434 setupact.log
16.08.2006 21:59 9.808 EventSystem.log
12.08.2006 17:35 688.179 setupapi.log
31.07.2006 00:09 700 win.ini
31.07.2006 00:08 400 ODBC.INI
31.07.2006 00:08 4.161 ODBCINST.INI
22.07.2006 12:40 121.756 Windows Update.log
13.05.2006 11:27 1.409 QTFont.for
13.05.2006 11:24 500 GEARInstall.log
11.02.2006 14:21 101 cdplayer.ini
31.01.2006 15:30 19 wininit.ini
05.01.2006 15:36 100.482 UninstallThunderbird.exe
05.01.2006 15:36 11.556 mozver.dat/quote]

C

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4F7-940A

Verzeichnis von C:\

24.08.2006 17:22 0 sys.txt
24.08.2006 17:22 7.299 system.txt
24.08.2006 17:22 96.631 system32.txt
24.08.2006 17:14 3.489 systemtemp.txt
24.08.2006 17:06 402.653.184 pagefile.sys
23.08.2006 16:58 3.337 files.txt
23.08.2006 16:55 59.268 bla.txt
19.08.2006 18:15 1.416 avenger.txt
17.08.2006 16:46 3.420 smitfiles.txt
16.08.2006 22:40 1.296 rapport.txt
16.08.2006 19:41 6.496 ComboFix.txt
16.08.2006 19:30 6.462 ComboFix.2006-08-16.194045.txt[/quote}

3.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:20:13, on 24.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\popupadfilter\popup.ad.filter.v1.1.build.413g..kpt-popupadfilter11b413g_incl_kg\pop1b413g\PopFilter.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Broadband Router\Gate-MON V3.00.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Iconoid\iconoid.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\hijackthis\HijackThis.exe

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\snagit\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {81B8604A-A61F-597F-8645-B3A702C73F37} - C:\DOKUME~1\evd\ANWEND~1\OWNSBL~1\shim cool.exe (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\snagit\SnagItIEAddin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\popupadfilter\popup.ad.filter.v1.1.build.413g..kpt-popupadfilter11b413g_incl_kg\pop1b413g\PopFilter.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [ZBroadband Router Utility] C:\Broadband Router\Gate-MON V3.00.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: iconoid.exe.lnk = C:\Programme\Iconoid\iconoid.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ_20~1\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ_20~1\ICQ.exe (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\aim\aim.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\poker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/games/clients/y/nt1_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/clients/y/mat3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - http://streamp.babenet.com/cabs/videox.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://ns2.pk62.com/AxisCamControl.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_24.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

mfg
Seitenanfang Seitenende
24.08.2006, 21:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 ervondort

fixe mit dem hijackThis:

Zitat

O2 - BHO: (no name) - {81B8604A-A61F-597F-8645-B3A702C73F37} - C:\DOKUME~1\evd\ANWEND~1\OWNSBL~1\shim cool.exe (file missing)
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\popupadfilter\popup.ad.filter.v1.1.build.413g..kpt-popupadfilter11b413g_incl_kg\pop1b413g\PopFilter.exe

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ_20~1\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ_20~1\ICQ.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\poker\PartyPoker\RunApp.exe

neustarten

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
loesche:
C:\Programme\popupadfilter
C:\Programme\poker

**
dann mache die Windowsupdates, normalerweise reinige ich keine Rechner ohne Windowsupdates, weil es nicht lohnt... also, lade SP2
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.08.2006, 12:02
ervondort
Member

Beiträge: 11
#49 bin grad beim zivildienst, und hab mir das mal durchgelesen.
hab da gleich eine frage:

Zitat

C:\Programme\popupadfilter
C:\Programme\poker
das popupadfilter is ein programm, welches die pop ups beim IE blockt (falls ich ihn mal benutze um websites zu testen), und das poker ist "partypoker" mit dem ich online gelegentlich spiele. wieso sollte ich das löschen? is daran was "schlimmes", sprich spyware etc?
mein mirc wurde nämlich auch schon gelöscht ;)
aber bisher läuft mein pc wieder ganz gut, ich möchte mich bis hierher schonmal recht herzlich bei ihnen bedanken.
sobald ich daheim bin, werde ich das umsetzen, und nochmal bescheid geben ob alles geklappt hat.
wenn ich sp2 drauf hab, ist mein pc dann wieder einigermaßen "sauber"?

mfg
Seitenanfang Seitenende
25.08.2006, 15:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 ervondort

es kursieren im Moment soviele Faktetools, dass man schon ganz wirr wird, mit den Empfehlungen....

C:\Programme\popupadfilter - schmeiss es runter und surfe mit dem Firefox, da gibt es einen Popup-Blocker integriert
http://virus-protect.org/firefox.html

PartyPoker oder.....C:\Programme\PartyGaming oder....
C:\Programme\poker - wird von Antispy-Proggies als Malware erkannt....

---------------------

Mit SP2 und dem Browser Firefox muesste dann wieder alles o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234