Signatur des Windows-Virus W32/Nsag.B

#1 Hallo
dieses Thema gibt es hier zwar schon, aber ich komme leider mit den Anweisungen nicht klar.

ich habe mit AntiVir den W32/Nsag.B gefunden, bzw. die Meldung heisst folgendermassen:

Enthält Signatur des Windows-Virus W32/Nsag.B
betroffene Datei: C:\WINDOWS\system32\WININET.dll

Wie kann ich vorgehen, um diesen Virus zu beseitigen? (Bitte für Anfänger)

mein log:
Logfile of HijackThis v1.99.1
Scan saved at 09:21:55, on 28.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Katrin_Andreas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WP23S16Z\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {23232323-2323-2323-2323-232323291122} - file://c:\x.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe



Vielen Dank


SmitFraudFix v2.26

Rapport fait à 20:45:38,01 le 28.03.2006
Executé à partir de C:\Dokumente und Einstellungen\Katrin_Andreas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PERG56J\SmitfraudFix[1]\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

HKLM\SOFTWARE\SHUDDERLTD supprimé

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS\system32

21.01.2004 18:24 593.408 wininet.dll
1 Datei(en) 593.408 Bytes

Verzeichnis von C:\WINDOWS\system32\dllcache

21.01.2004 18:24 593.408 WININET.DLL
1 Datei(en) 593.408 Bytes

Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2800.1400
Version BackUp : 6.0.2800.1400

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



und jetzt????????

Vielen lieben Dank schon mal

#2 KatrinM

stelle den Cleaner genauso ein, wie hier angegeben
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {23232323-2323-2323-2323-232323291122} - file://c:\x.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

PC neustarten

smitfraudfix
arbeite Option 1 ab --- poste den scanreport
http://virus-protect.org/artikel/tools/smitfrautfix.html

boote in den abgesicherten Modus und arbeite option 2 ab.- poste den scanbericht
__________
MfG Sabina

rund um die PC-Sicherheit

#3 SmitFraudFix v2.26

Rapport fait à 20:45:38,01 le 28.03.2006
Executé à partir de C:\Dokumente und Einstellungen\Katrin_Andreas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PERG56J\SmitfraudFix[1]\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

HKLM\SOFTWARE\SHUDDERLTD supprimé

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS\system32

21.01.2004 18:24 593.408 wininet.dll
1 Datei(en) 593.408 Bytes

Verzeichnis von C:\WINDOWS\system32\dllcache

21.01.2004 18:24 593.408 WININET.DLL
1 Datei(en) 593.408 Bytes

Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2800.1400
Version BackUp : 6.0.2800.1400

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



Und jetzt????

Vielen Dank schon mal!!!!!

#4 Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.09.2005 10:05 578 kavwebscan.inf
02.08.2005 16:48 495 LegitCheckControl.inf
02.09.2004 17:19 289 Setup.inf
24.07.2004 01:49 147 start42.inf
08.12.2003 14:58 3.759 swflash.inf
03.05.2005 11:42 2.144 xscan60.inf
03.05.2005 11:45 475.190 xscan60.ocx
7 Datei(en) 482.602 Bytes

Anzahl der angezeigten Dateien:
7 Datei(en) 482.602 Bytes
0 Verzeichnis(se), 5.511.938.048 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS\system32

27.03.2006 16:32 380.684 perfh009.dat
27.03.2006 16:32 53.098 perfc009.dat
27.03.2006 16:32 63.976 perfc007.dat
27.03.2006 16:32 391.574 perfh007.dat
27.03.2006 16:32 897.778 PerfStringBackup.INI
27.03.2006 16:27 1.158 wpa.dbl
23.03.2006 14:56 126.912 FNTCACHE.DAT
18.01.2006 14:05 57.344 avsda.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\DOKUME~1\KATRIN~1\LOKALE~1\Temp

29.03.2006 08:50 32.768 ~DFFEC3.tmp
29.03.2006 08:49 512 ~DF22EB.tmp
29.03.2006 08:49 32.768 ~DF2167.tmp
29.03.2006 08:49 32.768 ~DF1BAD.tmp
29.03.2006 08:49 32.768 ~DFE460.tmp
28.03.2006 21:32 235.566 MSI4737d.LOG
28.03.2006 20:53 32.768 ~DFB675.tmp
28.03.2006 20:52 32.768 ~DFC2C2.tmp
28.03.2006 20:52 32.768 ~DFA395.tmp
9 Datei(en) 465.454 Bytes
0 Verzeichnis(se), 5.511.012.352 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS

29.03.2006 08:49 0 0.log
29.03.2006 08:48 1.517.740 WindowsUpdate.log
29.03.2006 08:48 159 wiadebug.log
29.03.2006 08:48 50 wiaservc.log
29.03.2006 08:48 2.048 bootstat.dat
28.03.2006 21:39 32.622 SchedLgU.Txt
28.03.2006 20:45 210.399 setupact.log
28.03.2006 20:43 205.802 ntbtlog.txt
28.03.2006 09:19 1.790.067 setupapi.log
20.02.2006 10:42 49 NeroDigital.ini
11.02.2006 01:31 187.107 wmsetup.log
22.10.2005 14:06 249.856 Setup1.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\

29.03.2006 09:09 0 sys.txt
29.03.2006 09:09 9.684 system.txt
29.03.2006 09:08 688 systemtemp.txt
29.03.2006 09:06 98.966 system32.txt
29.03.2006 09:03 2.109 DirDPF.txt
29.03.2006 09:03 2 DirDPFCns.txt
29.03.2006 08:48 377.487.360 pagefile.sys
28.03.2006 20:46 1.307 rapport.txt
10.09.2005 18:02 27.627 SDSSetup.log

So, oder?

und nun??????


Danke Gruss Katrin

#6 nun mache bitte einen Onlinescan mit Kaspersky und poste den Scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 KASPERSKY ON-LINE SCANNER REPORT
Wednesday, March 29, 2006 5:47:15 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 29/03/2006
Kaspersky Anti-Virus database records: 173632


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 40127
Number of viruses found 1
Number of infected objects 1
Number of suspicious objects 0
Duration of the scan process 00:32:05

Infected Object Name Virus Name Last Action
C:\System Volume Information\_restore{EEE52B48-4066-46FD-8A0B-9E9489D525E1}\RP247\A0047490.old Infected: Virus.Win32.Nsag.b skipped

Scan process completed.

#8 KatrinM

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann wieder aktivieren...dann ist alles wieder sauber

2.
lade den Browser Firefox und stelle ihn als Standard ein (der IE bleibt fuer die WindowsUpdates)
http://virus-protect.org/firefox.html

alle Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Super

vielen vielen dank!!!!!!!!