Wie entferne ich den Virus W32/Nsag.B?

#46 ich bedanke mich fuer den feinen Weihnachtsmann und hoffe, du packst erst mal die Geschenke aus, bevor du dich wieder an den PC wagst
Schoene Weihnachten auch fuer dich
__________
MfG Sabina

rund um die PC-Sicherheit

#47 Moin Sabina,

hab mir auch gerade dieses Teil eingefangen und sitze nun schon Stunden vor der Kiste, um noch zu retten was zu retten geht!

Ich werde mein PC ebend neu starten, schauen was die ganzen Scans gebracht haben und dann poste ich Dir mal diese ganzen Logs!

Ich hoffe Du kannst mir weiter helfen!

Gruß Reko

###EDIT###

Also ich habe gerade beschlossen alles zu formatieren und Windoof neu zu installieren.

Trotzdem thx und noch frohe Festtage und nen guten Rutsch ins neue Jahr :-)

#48

Zitat

wende CleanUp an...genau wie auf der Seite beschrieben
http://virus-protect.org/cleanup.html

Die Seite ist wohl gerade down?

im Moment geht es, aber es ist wahr, die Seite ist oft down...ich werde wohl den server+Hoster wechseln muessen.


Hab mal alles abgearbeitet

1.Schritt: kein Problem gewesen

HijackThis: Problemlos

KILLBOX: ausgeführt, danach neustart und im abgesicherten Modus gestartet, war erst nicht erfolgreich, da F8 zu früh gedrückt (--> auswahl bootlaufwerk)
War dann nicht sicher ob ich KILLBOX nochmal laufen lassen sollte, aber da kam dann PendingFileRename Operations registry data has been removed by extended process.

neu gestartet und als admin im abgesicherten modus.
winhound.reg natürlich nicht auf dem desktop gefunden, da admindesktop nicht desktop des users mit adminrechten auf den ich vorher gespeichert hatte. Also datei gesucht und ausgeführt. (Fehler: kann nicht importiert werden, fehler beim Zugriff auf die Registrierung). Letztlich hab ich es als user (mit adminrechten) im abgesicherten modus geschafft, im moment fällt mir ein dass es vielleicht an den zugriffsrechten der datei gelegen haben könnte (oder doch nicht).

dann D.\programme\WinHound gelöscht
d:\windows\system32\desktop.html (auf dem gesamten rechner keine datei mit der bezeichnung gefunden)

CleanUp durchgeführt

SmitRem ausgeführt
siehe logfile unten

Dann Counterspy installiert, ging nicht, Fehlermeldung WindowsScriptHost deaktiviert, wenden sie sich an ihren administrator (Bin ich ja wohl selber ;-)) hab es dann in der registry aktivert, danach lief die installation. Weiss nicht ob das vorher schon deaktiviert war oder durch die vorher durchgeführten scans und reinigungen in der registry entfernt wurde.
Hab in der Zwischenzeit aber gesehen, dass man das aus sicherheitsgründen wohl wieder deaktivieren soll.

ok, dann counterspy intalliert und laufen lassen. sie log unten.

Nach neustart meldet AntiVir nach starten des dateiexlorers immer noch den Virus wie am Anfang.
Ausserdem personal firewall blockt zugriff von ntig.exe auf v47.cc.

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 780 'explorer.exe'
Killing PID 780 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll is missing!!

--------------------------------------------------------------
Spyware Scan Details
Start Date: 25.12.2005 13:09:29
End Date: 25.12.2005 13:46:27
Total Time: 36 mins 58 secs

Detected spyware

Looking-For.Home Search Assistant Browser Modifier more information...
Details: Home Search Assistant is an Internet Explorer browser helper object that was recently identified by the SpyNet community; research is currently under way to further identify its risks.
Status: Deleted

Infected files detected
C:\Dokumente und Einstellungen\Walter\Lokale Einstellungen\Temp\1.tmp
D:\programme\AVPersonal\INFECTED\2.TMP.VIR

Infected registry entries detected
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 Service 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 Class LegacyDriver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 ClassGUID {8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000\Control ActiveService 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I DisplayName Network Security Service (NSS)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I ObjectName LocalSystem


CWS.NS3 Browser Hijacker more information...
Details: This is a CoolWebSearch hijacker.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa DisplayName Home Search Assistent
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/HomeSearchAssistant.html"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\se
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\se DisplayName Search Extender
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\se UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/SearchExtender.html"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sw
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sw DisplayName Shopping Wizard
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sw UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/ShoppingWizard.html"


CWS.AboutBlank Browser Hijacker more information...
Details: This is a CoolWebSearch hijacker.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/HomeSearchAssistant.html"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA DisplayName Home Search Assistent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/SearchExtender.html"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/ShoppingWizard.html"


Pot.WinHound Misc more information...
Details: WinHound is a rogue anti-spyware application and is typically installed as part of a drive by installation. WinHound will automatically scans a system for spyware infection and prompts user to register in order to clean the system.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound\WinHound InstallationID {3572CB50-DA67-4BB3-BCE3-87135E42AC92}
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound VersionInfo APP_VER=1.0.2.1 DATABASE_VER=1.0.2.1 DATE=17/12/05 SIGNATURES=55989
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound RegistrationUrl http://www.winhound.com/register/142.0.2
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound D:\Programme\WinHound
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound InstallDir D:\Programme\WinHound
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound DatabaseFile D:\Programme\WinHound\sig.dat
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound ResourceDll D:\Programme\WinHound\rc.dll
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound SCAN_DEPTH 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound SCAN_PRIORITY 0
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound QuarantineLocation D:\Programme\WinHound\Trash
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound MinOnStartup 0
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound ScanOnStartup 0
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound StartAtWinStartup 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound EnableRTMonitoring 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound AlwaysBlockChanges 0
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound AlwaysBlockWhenNoAV 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound PerformUpdate 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound UpdateInterval 3
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound MGuid {9E96D3AB-1720-48D8-8E78-F719904F66C4}
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound\WinHound InstallationID {3572CB50-DA67-4BB3-BCE3-87135E42AC92}
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound VersionInfo APP_VER=1.0.2.1 DATABASE_VER=1.0.2.1 DATE=17/12/05 SIGNATURES=55989
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound RegistrationUrl http://www.winhound.com/register/142.0.2
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound D:\Programme\WinHound
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound InstallDir D:\Programme\WinHound
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound DatabaseFile D:\Programme\WinHound\sig.dat
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound ResourceDll D:\Programme\WinHound\rc.dll
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound SCAN_DEPTH 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound SCAN_PRIORITY 0
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound QuarantineLocation D:\Programme\WinHound\Trash
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound MinOnStartup 0
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound ScanOnStartup 0
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound StartAtWinStartup 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound EnableRTMonitoring 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound AlwaysBlockChanges 0
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound AlwaysBlockWhenNoAV 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound PerformUpdate 1
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound UpdateInterval 3
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound MGuid {9E96D3AB-1720-48D8-8E78-F719904F66C4}

#49 nun haben wir ein problem...die wininet.dll ist nicht vorhanden....

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
-------------------------------------------------------------------------------
poste dann auch bitte den Rest des Scans vom Counterspy
__________
MfG Sabina

rund um die PC-Sicherheit

#50 wininet.bat:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 0018-FFF4

Verzeichnis von C:\WINDOWS\$hf_mig$\KB834707\SP2QFE

29.09.2004 19:42 662.528 wininet.dll
1 Datei(en) 662.528 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB867282\SP2QFE

27.01.2005 18:12 663.552 wininet.dll
1 Datei(en) 663.552 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB883939\SP2QFE

02.05.2005 21:58 664.576 wininet.dll
1 Datei(en) 664.576 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB890923\SP2QFE

10.03.2005 08:47 663.552 wininet.dll
1 Datei(en) 663.552 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB896727\SP2QFE

03.07.2005 03:11 665.088 wininet.dll
1 Datei(en) 665.088 Bytes

Verzeichnis von C:\WINDOWS\$NtServicePackUninstall$

29.08.2002 13:00 604.672 wininet.dll
1 Datei(en) 604.672 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB834707$

04.08.2004 00:57 662.016 wininet.dll
1 Datei(en) 662.016 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB867282$

29.09.2004 19:47 662.528 wininet.dll
1 Datei(en) 662.528 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB883939$

10.03.2005 09:04 662.528 wininet.dll
1 Datei(en) 662.528 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB890923$

27.01.2005 18:13 662.528 wininet.dll
1 Datei(en) 662.528 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB896727$

02.05.2005 21:56 663.552 wininet.dll
1 Datei(en) 663.552 Bytes

Verzeichnis von C:\WINDOWS\ServicePackFiles\i386

04.08.2004 00:57 662.016 wininet.dll
1 Datei(en) 662.016 Bytes

Verzeichnis von C:\WINDOWS\SoftwareDistribution\Download\007ac8d6bdb0ecc8b8130b0b1a32e853\sp2gdr

03.09.2005 00:53 664.064 wininet.dll
1 Datei(en) 664.064 Bytes

Verzeichnis von C:\WINDOWS\SoftwareDistribution\Download\007ac8d6bdb0ecc8b8130b0b1a32e853\sp2qfe

03.09.2005 00:53 666.112 wininet.dll
1 Datei(en) 666.112 Bytes

Verzeichnis von C:\WINDOWS\system32

03.07.2005 03:15 664.064 wininet.dll
1 Datei(en) 664.064 Bytes

#51 scanne bitte noch mal mit smitRem , ich hoffe, das Tool funktioniert jetzt...

Zitat

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread

__________
MfG Sabina

rund um die PC-Sicherheit

#52 So hab smitRem nochmal laufen lassen, ich denke diesmal sieht es besser aus.



smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 780 'explorer.exe'
Killing PID 780 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll INFECTED!! Starting replacement procedure.


~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~


~~~~ dllcache\wininet.dll not present! ~~~~


~~~~ Looking for C:\WINDOWS\$hf_mig$\KB890923\SP2QFE\wininet.dll ~~~~


~~~~ C:\WINDOWS\$hf_mig$\KB890923\SP2QFE Present! ~~~~


~~~~ Checking KB890923\SP2QFE\wininet.dll for infection ~~~~


~~~~ KB890923\SP2QFE Clean! ~~~~

~~~ Replaced wininet.dll from KB890923\SP2QFE ~~~



~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~

#53 stta

na also...nun hat es geklappt

scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#54 hier der log:

Incident Status Location

Adware:adware/searchaid Not desinfected C:\Dokumente und Einstellungen\Walter\Favoriten\Only sex website.url
Adware:Adware/SearchAid Not desinfected C:\WINDOWS\javafn32.exe
Adware:Adware/SearchAid Not desinfected C:\WINDOWS\system32\adddz32.exe
Adware:Adware/SearchAid Not desinfected C:\WINDOWS\system32\netdw32.exe
Adware:Adware/SearchAid Not desinfected C:\WINDOWS\system32\sdkgp32.exe
Virus:W32/Smitfraud.D Disinfected D:\programme\AVPersonal\INFECTED\WININET.DLL.001
Virus:W32/Smitfraud.D Disinfected D:\programme\AVPersonal\INFECTED\WININET.DLL.002
Virus:W32/Smitfraud.D Disinfected D:\programme\AVPersonal\INFECTED\WININET.DLL.003
Virus:W32/Smitfraud.D Disinfected D:\programme\AVPersonal\INFECTED\WININET.DLL.004
Virus:W32/Smitfraud.D Disinfected D:\programme\AVPersonal\INFECTED\WININET.DLL.005
Virus:W32/Smitfraud.D Disinfected D:\programme\AVPersonal\INFECTED\WININET.DLL.006
Virus:W32/Smitfraud.D Disinfected D:\programme\AVPersonal\INFECTED\WININET.DLL.007
Virus:W32/Smitfraud.D Disinfected D:\programme\AVPersonal\INFECTED\WININET.DLL.008
Virus:W32/Smitfraud.D Disinfected D:\programme\AVPersonal\INFECTED\WININET.DLL.VIR



Antivir meldete heute noch:
c\windiws\system32\ZMUT.DLL
Trojaner TR/Dldr.Agent.td.5L

#55 stta

C:\Dokumente und Einstellungen\Walter\Favoriten\Only sex website.url <--loeschen

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\javafn32.exe
C:\WINDOWS\system32\ZMUT.DLL
C:\WINDOWS\system32\adddz32.exe
C:\WINDOWS\system32\netdw32.exe
C:\WINDOWS\system32\sdkgp32.exe

PC neustarten

poste noch mal die 4 Logs (ich will sehen, ob die dat-Dateien geloescht sind)
http://virus-protect.org/datfindbat.html

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

kopiere den scanreport ab
http://virus-protect.org/artikel/tools/ADSSpy.exe

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

Zitat

*
Spyware/SearchAid

TrojanDownloader.Win32.WinShow.p
* W32/Winshow.L@dl
* Adware-SearchAid
* TROJ_WINSHOW.P
* Trojan.Winshow.R

Troj/Iefeat-W lädt eine DLL-Datei herunter und installiert sie, ohne den Benutzer zu benachrichtigen. Diese Datei wird als IMAGE.DLL gespeichert. Zum jetzigen Zeitpunkt wird die heruntergeladene Datei als Troj/Iefeat-A erkannt.

Troj/Iefeat-W erstellt den folgenden Registrierungseintrag:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
(587DBF2D-9145-4c9e-92C2-1F953DA73773)
SponsorID
http://www.sophos.de/virusinfo/analyses/trojiefeatw.html
---------------------------------------------------------------

Vediamo ora quali file installerà sul computer infettato

bl.dat
dict.dat
f2install.exe
feat2.dll
keywords.dat
mshp.dll
service.exe
update.txt
http://www.alground.com/virus/schedaVirus.php?cod_virus=180

dieser PC:
C:\WINDOWS\system32\mfclj.exe
C:\DOKUME~1\Walter\LOKALE~1\Temp\8.tmp.exe
C:\DOKUME~1\Walter\LOKALE~1\Temp\C.tmp.exe
C:\DOKUME~1\Walter\LOKALE~1\Temp\A~NSISu_.exe
C:\WINDOWS\system32\syszz.exe
C:\WINDOWS\system32\iegm32.dll
C:\WINDOWS\system32\uspoj.dat
C:\WINDOWS\system32\addxb.dll
C:\WINDOWS\javacq32.exe
C:\WINDOWS\system32\crmr.exe
C:\WINDOWS\appyg.exe
C:\WINDOWS\lwrub.dat
C:\WINDOWS\SYSTEM32\oleext.dll
C:\WINDOWS\system32\mfcux.exe
C:\WINDOWS\accessdll.log

__________
MfG Sabina

rund um die PC-Sicherheit

#56 Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 0018-FFF4

Verzeichnis von C:\

27.12.2005 00:50 0 sys.txt
27.12.2005 00:50 9.641 system.txt
27.12.2005 00:50 1.456 systemtemp.txt
27.12.2005 00:49 103.884 system32.txt
25.12.2005 22:02 2.080 smitfiles.txt
01.09.2005 20:59 4.947.958 adorage-protocol.txt
05.02.2005 16:32 1.512 sataraidevents.log
05.02.2005 11:22 211 boot.ini
05.02.2005 11:18 47.564 NTDETECT.COM
05.02.2005 11:18 251.184 ntldr
05.02.2005 11:05 0 AUTOEXEC.BAT
05.02.2005 11:05 0 CONFIG.SYS
05.02.2005 11:05 0 IO.SYS
05.02.2005 11:05 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin



Verzeichnis von C:\WINDOWS

27.12.2005 00:47 1.988.230 WindowsUpdate.log
27.12.2005 00:47 12.138 KB905915.log
27.12.2005 00:46 0 0.log
27.12.2005 00:46 159 wiadebug.log
27.12.2005 00:46 50 wiaservc.log
27.12.2005 00:46 2.048 bootstat.dat
27.12.2005 00:44 32.618 SchedLgU.Txt
26.12.2005 11:07 1.378 QUICKEN.INI
26.12.2005 09:17 567 win.ini
26.12.2005 09:16 670.219 setupapi.log
25.12.2005 21:57 185.284 setupact.log
25.12.2005 21:49 702.930 ntbtlog.txt
22.12.2005 17:42 54.156 QTFont.qfn
22.12.2005 06:30 16.036 msgsocm.log
22.12.2005 06:30 19.141 KB902400.log
21.12.2005 00:06 7.503 KB886185.log
21.12.2005 00:06 30 INTURS.DAT
19.12.2005 22:14 116.683 wmsetup.log
18.12.2005 23:36 322 _delis43.ini
18.12.2005 00:14 0 nsreg.dat
17.12.2005 12:18 116.376 comsetup.log
17.12.2005 12:18 400.330 iis6.log
17.12.2005 12:18 69.925 ntdtcsetup.log
17.12.2005 12:18 16.710 tabletoc.log
17.12.2005 12:18 1.393 imsins.log
17.12.2005 12:18 156.432 KB896424.log
17.12.2005 12:18 166.895 ocgen.log
17.12.2005 12:18 55.852 netfxocm.log
17.12.2005 12:18 313.149 FaxSetup.log
17.12.2005 12:18 107.880 msmqinst.log
17.12.2005 12:18 20.102 updspapi.log
17.12.2005 12:18 1.393 imsins.BAK
17.12.2005 12:18 7.200 KB910437.log
12.12.2005 20:11 56.541 KB896688.log
12.12.2005 18:49 7.698 cadx2.ini
08.12.2005 10:54 134.729 syssp.dll
06.12.2005 17:29 141 AVMASTER.INI
06.12.2005 17:29 116 NeroDigital.ini
06.12.2005 09:27 26.680 F„cher.bmp
06.12.2005 09:27 80 explorer.scf
04.12.2005 17:41 150.966 tsoc.log
29.11.2005 21:23 18.024 ocmsn.log
29.11.2005 21:23 23.285 medctroc.Log
26.11.2005 12:55 197.761 cwfjv.log
26.11.2005 11:15 13.581 zckte.dat
06.11.2005 10:49 1.409 QTFont.for
18.10.2005 18:02 148 VUI.pref
15.10.2005 20:09 13.482 KB900725.log
15.10.2005 20:09 11.972 KB905749.log
15.10.2005 20:00 16.982 KB904706.log
15.10.2005 20:00 17.282 KB905414.log
15.10.2005 20:00 16.472 KB901017.log
15.10.2005 20:00 16.453 KB899589.log
31.08.2005 09:02 17.705 cdplayer.ini
29.08.2005 21:20 5.133 KB886716.log
20.08.2005 12:57 316.640 WMSysPr9.prx
20.08.2005 12:56 2.147 Directx.log
20.08.2005 10:51 400 ODBC.INI
20.08.2005 10:51 63 vbaddin.ini
13.08.2005 09:19 17.660 KB899587.log
13.08.2005 09:18 17.154 KB899591.log
13.08.2005 09:18 17.272 KB893756.log
13.08.2005 09:18 16.618 KB896423.log
13.08.2005 09:18 17.318 KB896727.log
13.08.2005 09:18 13.534 KB899588.log
13.08.2005 09:18 13.285 KB894391.log
15.07.2005 16:47 9.978 KB901214.log
15.07.2005 16:47 3.792 KB903235.log
29.06.2005 18:12 29 standard.sta

Verzeichnis von C:\DOKUME~1\Walter\LOKALE~1\Temp

27.12.2005 00:47 32.768 ~DFE0C1.tmp
27.12.2005 00:46 16.384 ~DF890E.tmp
27.12.2005 00:46 49.152 ~DF5849.tmp
27.12.2005 00:46 32.768 ~DF5CC5.tmp
27.12.2005 00:46 1.110 jusched.log
27.12.2005 00:43 16.384 ~DF9324.tmp
27.12.2005 00:40 32.768 ~DFB8B7.tmp
27.12.2005 00:40 32.768 ~DF53C9.tmp
27.12.2005 00:40 16.384 ~DF5278.tmp
27.12.2005 00:40 49.152 ~DF2585.tmp
26.12.2005 09:10 32.768 ~DFBE13.tmp
26.12.2005 09:09 16.384 ~DF80CF.tmp
26.12.2005 09:09 49.152 ~DF43EE.tmp
26.12.2005 09:09 32.768 ~DF3579.tmp
25.12.2005 22:16 32.768 ~DFA336.tmp
25.12.2005 22:15 16.384 ~DF5E1F.tmp
25.12.2005 22:15 32.768 ~DF3DBD.tmp
25.12.2005 22:15 49.152 ~DF2ABD.tmp
25.12.2005 22:02 32.768 ~DFC24C.tmp
25.12.2005 22:02 49.152 ~DF9884.tmp
25.12.2005 22:02 2.550 1.tmp
25.12.2005 22:02 32.768 ~DFC0B2.tmp
25.12.2005 22:01 16.384 ~DF7873.tmp
25.12.2005 21:50 32.768 ~DF46CF.tmp
25.12.2005 21:49 16.384 ~DF6278.tmp



Verzeichnis von C:\WINDOWS\system32

27.12.2005 00:46 12.006 netxz32.exe
26.12.2005 09:18 0 asfiles.txt
26.12.2005 09:15 2.550 Uninstall.ico
26.12.2005 09:15 1.406 Help.ico
26.12.2005 09:15 1.718 Open.ico
26.12.2005 09:15 1.406 AddQuit.ico
26.12.2005 09:15 5.350 IE.ico
26.12.2005 09:15 9.470 Desktop.ico
26.12.2005 09:15 1.718 Quick.ico
23.12.2005 05:39 35.447 ntig.exe
20.12.2005 14:44 2.206 wpa.dbl
17.12.2005 17:50 175.464 FNTCACHE.DAT
13.12.2005 07:15 11.895 addfc32.exe
10.12.2005 08:49 3.567 yybhl.txt
08.12.2005 16:25 2.723.680 MRT.exe
30.10.2005 07:00 311.604 perfh009.dat
30.10.2005 07:00 39.992 perfc009.dat
30.10.2005 07:00 316.594 perfh007.dat
30.10.2005 07:00 48.156 perfc007.dat
30.10.2005 07:00 723.744 PerfStringBackup.INI
20.10.2005 23:25 1.094.144 esent.dll
20.10.2005 15:37 40.960 SDelete.dll
20.10.2005 15:37 24.924 openports.dll
18.10.2005 17:58 87 ssprs.tgz
18.10.2005 17:58 73 ssprs.dll
18.10.2005 17:58 219 lsprst7.tgz
18.10.2005 17:58 205 lsprst7.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 474.112 shlwapi.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
26.08.2005 17:20 1.025 clauth2.dll

Zitat

Sabina postete
stta

C:\Dokumente und Einstellungen\Walter\Favoriten\Only sex website.url <--loeschen

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\javafn32.exe
C:\WINDOWS\system32\ZMUT.DLL
C:\WINDOWS\system32\adddz32.exe
C:\WINDOWS\system32\netdw32.exe
C:\WINDOWS\system32\sdkgp32.exe

PC neustarten

poste noch mal die 4 Logs (ich will sehen, ob die dat-Dateien geloescht sind)
http://virus-protect.org/datfindbat.html

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

kopiere den scanreport ab
http://virus-protect.org/artikel/tools/ADSSpy.exe

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

Zitat

*
Spyware/SearchAid

TrojanDownloader.Win32.WinShow.p
* W32/Winshow.L@dl
* Adware-SearchAid
* TROJ_WINSHOW.P
* Trojan.Winshow.R

Troj/Iefeat-W lädt eine DLL-Datei herunter und installiert sie, ohne den Benutzer zu benachrichtigen. Diese Datei wird als IMAGE.DLL gespeichert. Zum jetzigen Zeitpunkt wird die heruntergeladene Datei als Troj/Iefeat-A erkannt.

Troj/Iefeat-W erstellt den folgenden Registrierungseintrag:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
(587DBF2D-9145-4c9e-92C2-1F953DA73773)
SponsorID
http://www.sophos.de/virusinfo/analyses/trojiefeatw.html
---------------------------------------------------------------

Vediamo ora quali file installerà sul computer infettato

bl.dat
dict.dat
f2install.exe
feat2.dll
keywords.dat
mshp.dll
service.exe
update.txt
http://www.alground.com/virus/schedaVirus.php?cod_virus=180

dieser PC:
C:\WINDOWS\system32\mfclj.exe
C:\DOKUME~1\Walter\LOKALE~1\Temp\8.tmp.exe
C:\DOKUME~1\Walter\LOKALE~1\Temp\C.tmp.exe
C:\DOKUME~1\Walter\LOKALE~1\Temp\A~NSISu_.exe
C:\WINDOWS\system32\syszz.exe
C:\WINDOWS\system32\iegm32.dll
C:\WINDOWS\system32\uspoj.dat
C:\WINDOWS\system32\addxb.dll
C:\WINDOWS\javacq32.exe
C:\WINDOWS\system32\crmr.exe
C:\WINDOWS\appyg.exe
C:\WINDOWS\lwrub.dat
C:\WINDOWS\SYSTEM32\oleext.dll
C:\WINDOWS\system32\mfcux.exe
C:\WINDOWS\accessdll.log

#57 gott ist das Ding hartnaeckig....

loesche:

C:\WINDOWS\zckte.dat
C:\WINDOWS\cadx2.ini
C:\WINDOWS\syssp.dll
C:\WINDOWS\system32\addfc32.exe
C:\WINDOWS\system32\netxz32.exe
C:\WINDOWS\system32\asfiles.txt
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\Open.ico
C:\WINDOWS\system32\AddQuit.ico
C:\WINDOWS\system32\IE.ico
C:\WINDOWS\system32\Desktop.ico
C:\WINDOWS\system32\Quick.ico
C:\WINDOWS\system32\ntig.exe
C:\WINDOWS\system32\yybhl.txt

dann poste noch mal die 4 Textdateien

+

INTURS.DAT--> rechtsklick--> oeffnen mit dem Editor--> poste, was dort steht
__________
MfG Sabina

rund um die PC-Sicherheit

#58 von hand löschen oder killbox?
adsspy log: muss ich da nen screenshot machen?

Zitat

Sabina postete
gott ist das Ding hartnaeckig....

loesche:

C:\WINDOWS\zckte.dat
C:\WINDOWS\cadx2.ini
C:\WINDOWS\syssp.dll
C:\WINDOWS\system32\addfc32.exe
C:\WINDOWS\system32\netxz32.exe
C:\WINDOWS\system32\asfiles.txt
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\Open.ico
C:\WINDOWS\system32\AddQuit.ico
C:\WINDOWS\system32\IE.ico
C:\WINDOWS\system32\Desktop.ico
C:\WINDOWS\system32\Quick.ico
C:\WINDOWS\system32\ntig.exe
C:\WINDOWS\system32\yybhl.txt

#59 adsspy...scanne, dann loesche alle steams, das ist sehr wichtig...es gibt eine Funktion, mit der du alle loeschen kannst.

dann loesche die obrigen Dateien mit der killbox

PC neustarten
+
INTURS.DAT--> rechtsklick--> oeffnen mit dem Editor--> poste, was dort steht
__________
MfG Sabina

rund um die PC-Sicherheit

#60 Hallo Leute,
mir gehts genau so wie alle anderen hier.Hab mir den Schei... (Win32:Nsag-B) eingefangen.Hab mich hier jetzt etwas durch gewühlt und die Anweissungen befolgt.Ich post jetzt mal meine 4 Logs damit ich den Schei... (Win32:Nsag-B) entgültig los habe.