Signatur des Windows-Virus W32/Nsag.B

#0
27.03.2006, 20:11
...neu hier

Beiträge: 5
#1 Hallo
dieses Thema gibt es hier zwar schon, aber ich komme leider mit den Anweisungen nicht klar.

ich habe mit AntiVir den W32/Nsag.B gefunden, bzw. die Meldung heisst folgendermassen:

Enthält Signatur des Windows-Virus W32/Nsag.B
betroffene Datei: C:\WINDOWS\system32\WININET.dll

Wie kann ich vorgehen, um diesen Virus zu beseitigen? (Bitte für Anfänger)

mein log:
Logfile of HijackThis v1.99.1
Scan saved at 09:21:55, on 28.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Katrin_Andreas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WP23S16Z\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {23232323-2323-2323-2323-232323291122} - file://c:\x.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe



Vielen Dank


SmitFraudFix v2.26

Rapport fait à 20:45:38,01 le 28.03.2006
Executé à partir de C:\Dokumente und Einstellungen\Katrin_Andreas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PERG56J\SmitfraudFix[1]\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

HKLM\SOFTWARE\SHUDDERLTD supprimé

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS\system32

21.01.2004 18:24 593.408 wininet.dll
1 Datei(en) 593.408 Bytes

Verzeichnis von C:\WINDOWS\system32\dllcache

21.01.2004 18:24 593.408 WININET.DLL
1 Datei(en) 593.408 Bytes

Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2800.1400
Version BackUp : 6.0.2800.1400

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



und jetzt????????

Vielen lieben Dank schon mal
Dieser Beitrag wurde am 28.03.2006 um 20:49 Uhr von KatrinM editiert.
Seitenanfang Seitenende
28.03.2006, 18:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 KatrinM

stelle den Cleaner genauso ein, wie hier angegeben
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {23232323-2323-2323-2323-232323291122} - file://c:\x.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

PC neustarten

smitfraudfix
arbeite Option 1 ab --- poste den scanreport
http://virus-protect.org/artikel/tools/smitfrautfix.html

boote in den abgesicherten Modus und arbeite option 2 ab.- poste den scanbericht
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.03.2006, 20:50
...neu hier

Themenstarter

Beiträge: 5
#3 SmitFraudFix v2.26

Rapport fait à 20:45:38,01 le 28.03.2006
Executé à partir de C:\Dokumente und Einstellungen\Katrin_Andreas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PERG56J\SmitfraudFix[1]\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

HKLM\SOFTWARE\SHUDDERLTD supprimé

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS\system32

21.01.2004 18:24 593.408 wininet.dll
1 Datei(en) 593.408 Bytes

Verzeichnis von C:\WINDOWS\system32\dllcache

21.01.2004 18:24 593.408 WININET.DLL
1 Datei(en) 593.408 Bytes

Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2800.1400
Version BackUp : 6.0.2800.1400

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



Und jetzt????

Vielen Dank schon mal!!!!!
Seitenanfang Seitenende
28.03.2006, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.03.2006, 09:06
...neu hier

Themenstarter

Beiträge: 5
#5 10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.09.2005 10:05 578 kavwebscan.inf
02.08.2005 16:48 495 LegitCheckControl.inf
02.09.2004 17:19 289 Setup.inf
24.07.2004 01:49 147 start42.inf
08.12.2003 14:58 3.759 swflash.inf
03.05.2005 11:42 2.144 xscan60.inf
03.05.2005 11:45 475.190 xscan60.ocx
7 Datei(en) 482.602 Bytes

Anzahl der angezeigten Dateien:
7 Datei(en) 482.602 Bytes
0 Verzeichnis(se), 5.511.938.048 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS\system32

27.03.2006 16:32 380.684 perfh009.dat
27.03.2006 16:32 53.098 perfc009.dat
27.03.2006 16:32 63.976 perfc007.dat
27.03.2006 16:32 391.574 perfh007.dat
27.03.2006 16:32 897.778 PerfStringBackup.INI
27.03.2006 16:27 1.158 wpa.dbl
23.03.2006 14:56 126.912 FNTCACHE.DAT
18.01.2006 14:05 57.344 avsda.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\DOKUME~1\KATRIN~1\LOKALE~1\Temp

29.03.2006 08:50 32.768 ~DFFEC3.tmp
29.03.2006 08:49 512 ~DF22EB.tmp
29.03.2006 08:49 32.768 ~DF2167.tmp
29.03.2006 08:49 32.768 ~DF1BAD.tmp
29.03.2006 08:49 32.768 ~DFE460.tmp
28.03.2006 21:32 235.566 MSI4737d.LOG
28.03.2006 20:53 32.768 ~DFB675.tmp
28.03.2006 20:52 32.768 ~DFC2C2.tmp
28.03.2006 20:52 32.768 ~DFA395.tmp
9 Datei(en) 465.454 Bytes
0 Verzeichnis(se), 5.511.012.352 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\WINDOWS

29.03.2006 08:49 0 0.log
29.03.2006 08:48 1.517.740 WindowsUpdate.log
29.03.2006 08:48 159 wiadebug.log
29.03.2006 08:48 50 wiaservc.log
29.03.2006 08:48 2.048 bootstat.dat
28.03.2006 21:39 32.622 SchedLgU.Txt
28.03.2006 20:45 210.399 setupact.log
28.03.2006 20:43 205.802 ntbtlog.txt
28.03.2006 09:19 1.790.067 setupapi.log
20.02.2006 10:42 49 NeroDigital.ini
11.02.2006 01:31 187.107 wmsetup.log
22.10.2005 14:06 249.856 Setup1.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE9-3E32

Verzeichnis von C:\

29.03.2006 09:09 0 sys.txt
29.03.2006 09:09 9.684 system.txt
29.03.2006 09:08 688 systemtemp.txt
29.03.2006 09:06 98.966 system32.txt
29.03.2006 09:03 2.109 DirDPF.txt
29.03.2006 09:03 2 DirDPFCns.txt
29.03.2006 08:48 377.487.360 pagefile.sys
28.03.2006 20:46 1.307 rapport.txt
10.09.2005 18:02 27.627 SDSSetup.log

So, oder?

und nun??????


Danke Gruss Katrin
Dieser Beitrag wurde am 29.03.2006 um 09:12 Uhr von KatrinM editiert.
Seitenanfang Seitenende
29.03.2006, 12:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 nun mache bitte einen Onlinescan mit Kaspersky und poste den Scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.03.2006, 17:49
...neu hier

Themenstarter

Beiträge: 5
#7 KASPERSKY ON-LINE SCANNER REPORT
Wednesday, March 29, 2006 5:47:15 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 29/03/2006
Kaspersky Anti-Virus database records: 173632


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 40127
Number of viruses found 1
Number of infected objects 1
Number of suspicious objects 0
Duration of the scan process 00:32:05

Infected Object Name Virus Name Last Action
C:\System Volume Information\_restore{EEE52B48-4066-46FD-8A0B-9E9489D525E1}\RP247\A0047490.old Infected: Virus.Win32.Nsag.b skipped

Scan process completed.
Seitenanfang Seitenende
29.03.2006, 17:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 KatrinM

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann wieder aktivieren...dann ist alles wieder sauber ;)

2.
lade den Browser Firefox und stelle ihn als Standard ein (der IE bleibt fuer die WindowsUpdates)
http://virus-protect.org/firefox.html

alle Gute fuer dich + PC ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.03.2006, 19:44
...neu hier

Themenstarter

Beiträge: 5
#9 Super

vielen vielen dank!!!!!!!!
Seitenanfang Seitenende