wininet.dll laut AntiVir infiziert mit W32/Nsag.B

#1 Tja.. bisher ist nichts passiert was meinen PC am Arbeiten hindert (zumindest soweit ich das sehe), aber AntiVir weiss mich IMMER wieder darauf hin. Löschen kann ich die dll nicht. Wäre sehr froh ob mir jemand sagen kann ob ich das in ruhe ignorieren kann oder nicht.

MfG Simon

#2 smitfraud.fix
http://virus-protect.org/artikel/tools/smitfrautfix.html

doppelklick smitfraudfix.cmd

. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt) -> bitte hier posten
. doppelklick smitfraudfix.cmd
. schreibe: 2
. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...

wenn der Scan beeendet ist, kopiere die Logfile ab [C:\rapport.txt]
__________
MfG Sabina

rund um die PC-Sicherheit

#3 So hier ist der "raport" :


SmitFraudFix v2.58

Scan done at 22:09:24,09, 10.06.2006
Run from D:\Hitman\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\warnhp.html FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Titan\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Titan\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Danke schon mal für die Hilfe so spät am Samstag abend

#4 nun fuehre punkt 2 aus und poste dann auch das log

+

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 So und schon kommt nummer 2 angeflogen
btw. das prog ist auf englisch und die 2.te Frage wurde gar nicht gestellt

SmitFraudFix v2.58

Scan done at 22:18:17,84, 10.06.2006
Run from D:\Hitman\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll

C:\WINDOWS\system32\wininet.dll infected !

Searching wininet.dll backup file...
C:\WINDOWS\system32\wininet.dll
Wininet.dll BackUp File not found.

»»»»»»»»»»»»»»»»»»»»»»»» End

MfG

#6 Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\wininet*.*" > c:\find.txt & start notepad c:\find.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#7 system32.txt:

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 9C57-EB76

Verzeichnis von D:\

10.06.2006 21:32 1.428 sageset2005.reg
02.11.2005 16:00 31.101.648 81.85_forceware_winxp2k_international_whql.exe
2 Datei(en) 31.103.076 Bytes
0 Verzeichnis(se), 40.266.158.080 Bytes frei

systemtemp.txt:

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 9C57-EB76

Verzeichnis von D:\

10.06.2006 21:32 1.428 sageset2005.reg
02.11.2005 16:00 31.101.648 81.85_forceware_winxp2k_international_whql.exe
2 Datei(en) 31.103.076 Bytes
0 Verzeichnis(se), 40.266.158.080 Bytes frei

system.txt:

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 9C57-EB76

Verzeichnis von D:\

10.06.2006 21:32 1.428 sageset2005.reg
02.11.2005 16:00 31.101.648 81.85_forceware_winxp2k_international_whql.exe
2 Datei(en) 31.103.076 Bytes
0 Verzeichnis(se), 40.266.158.080 Bytes frei

sys.txt:

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 9C57-EB76

Verzeichnis von D:\

10.06.2006 21:32 1.428 sageset2005.reg
02.11.2005 16:00 31.101.648 81.85_forceware_winxp2k_international_whql.exe
2 Datei(en) 31.103.076 Bytes
0 Verzeichnis(se), 40.266.158.080 Bytes frei

MfG uuuund: DAAAANKE!!!
edit:
find.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0898-AB95

Verzeichnis von c:\WINDOWS\system32

23.08.2001 14:00 599.552 wininet.dll
1 Datei(en) 599.552 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 599.552 Bytes
0 Verzeichnis(se), 388.505.600 Bytes frei

Und wieder ein großes danke (ich schleimer ^^)

#8 Hijackthis -->

http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Logfile of HijackThis v1.99.1
Scan saved at 22:47:10, on 10.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\winsvcc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\LVCOMSX.EXE
D:\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Logitech\Video\FxSvr2.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Hitman\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WindowsUpdatewinsvcc] winsvcc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Microsoft Update Machine] reg32ocx.exe
O4 - HKLM\..\RunServices: [Microsoft Video Capture Controls] msn32b.exe
O4 - HKLM\..\RunServices: [Windows Executable] MsgFix.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Video Capture Controls] msn32b.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Logitech\Video\ManifestEngine.exe boot
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2788a5a19fc1776c5006/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139671716528
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139671939591
O17 - HKLM\System\CCS\Services\Tcpip\..\{A793FBEB-12A7-414C-B649-574CD98466C9}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


schwups da isses

#10 +

ich wuerde an deiner Stelle schnellstens formatieren....da ist nicht mehr viel zu retten..........dazu ein Rechner ohne Windowsupdates...kein Wunder ...

-------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [WindowsUpdatewinsvcc] winsvcc.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] reg32ocx.exe
O4 - HKLM\..\RunServices: [Microsoft Video Capture Controls] msn32b.exe
O4 - HKLM\..\RunServices: [Windows Executable] MsgFix.exe
O4 - HKCU\..\Run: [Microsoft Video Capture Controls] msn32b.exe

PC neustarten

Lade die datFind.bat. Im Texteditor wird ein Log erscheinen. Kopiere es ab und wenn möglich, als Anhang in den Thread.
http://board.protecus.de/download.php?id=213002.datFind.bat
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Jopp hier ist es wenn du wirklich keine Hoffnung mehr hast sag es einfach. Dann lass ich meine Kiste von nem Bekannten neu aufsetzen. Vielen Dank für deine Hilfe, auch wenn ich kein SP 1 oder 2 hab. Danke danke danke. (alles ernst und ehrlich gemeint)

#12 Backdoors, Viren, Haxdoor anonyme FTP-Server, Rootkits...... es fehlt an nichts, wininet.dll futsch...usw...
du solltest wirklich neu aufsetzen............
Wenn du unbedingt versuchen willst, zu reinigen, sage es.
dann sichere aber deine Dateien..und formatiere

Verzeichnis von c:\

27.05.2006 16:45 85.345 ftp.exe

Verzeichnis von C:\WINDOWS\system32

17.12.2005 02:27 0 1.tmp
08.12.2005 21:20 31.436 lsasss.exe
26.11.2005 10:56 3.072 taskmnegr.exe
26.11.2005 10:56 66 o
24.11.2005 16:54 49.664 TFTP3852
24.11.2005 16:52 73 i
24.11.2005 16:51 71 c.bat
24.11.2005 16:51 70 .pif
22.11.2005 19:08 198 ps.a3d
22.11.2005 19:07 4 winsub.xml
22.11.2005 19:07 60 svcp.csv
18.11.2005 20:12 0 TFTP1116


Verzeichnis von C:\WINDOWS

16.05.2006 09:33 86.528 bnetunin.exe
16.05.2006 09:33 61.440 diabunin.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Das alles was du aufgelistet hast löschen ?

#14 warte..so einfach geht das nicht, weil noch rootkits auf der platte sind...willst du reinigen ?
__________
MfG Sabina

rund um die PC-Sicherheit

#15 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

c:\ftp.exe
C:\WINDOWS\system32\lsasss.exe
C:\WINDOWS\system32\taskmnegr.exe
C:\WINDOWS\system32\.pif
C:\WINDOWS\bnetunin.exe
C:\WINDOWS\diabunin.exe

poste die reporte
--------------------------------------------------

F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. 6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit