AntiVir meldet Virus

#1 Hallo erstmal

Ich habe folgendes Problem und zwar meldet mir mein AntiVir immer die Meldung :
W32/Nsag.B in Win 32/.........dll.

das kommt total häufig.
rechts unten wo meine Startprogramme aufgelistet sind kommt nach einiger Zeit im Netz dann aufeinmal ein gelbes Ausrufezeichen ??????????


Logfile of HijackThis v1.99.1
Scan saved at 10:45:06, on 17.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\a\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: (no name) - {5CE62E7A-D1D9-6AA9-361A-032036C2E6AA} - C:\DOKUME~1\a\ANWEND~1\ISOBOW~1\poll first.exe (file missing)
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [sachost] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke für die schnelle Antwort aber welche 4 Textdateien komme ich nicht mit klar ??????????

Diese vielleicht ????

17.06.2006 11:20 5.000 stdole3.tlb
17.06.2006 11:16 8.704 simpole.tlb
17.06.2006 11:14 50.069 nvapps.xml
17.06.2006 11:14 47.616 hp100.tmp
17.06.2006 00:28 57.384 avsda.dll
17.06.2006 00:18 49.677 ld100.tmp
16.06.2006 22:46 73.728 dcomcfg.exe
16.06.2006 22:46 10.860 atmclk.exe
15.06.2006 23:09 4.286 ot.ico
15.06.2006 23:09 4.286 ts.ico
14.06.2006 20:21 2.206 wpa.dbl

#4 Gollom

es sind 4 Logs im Ganzen und es war von drei Monaten die Rede.....
http://virus-protect.org/datfindbat.html

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

+

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCE2-9BF6

Verzeichnis von C:\WINDOWS\system32

17.06.2006 22:14 50.069 nvapps.xml
17.06.2006 22:14 8.704 simpole.tlb
17.06.2006 22:14 47.616 hp100.tmp
17.06.2006 14:39 5.000 stdole3.tlb
17.06.2006 00:28 57.384 avsda.dll
16.06.2006 22:46 73.728 dcomcfg.exe
15.06.2006 23:09 4.286 ts.ico
15.06.2006 23:09 4.286 ot.ico
14.06.2006 20:21 2.206 wpa.dbl
20.04.2006 17:30 664.064 WININET.dll.kav
19.04.2006 21:32 0 hard.lck
19.04.2006 20:54 100 LuResult.txt
17.04.2006 15:13 34.308 BASSMOD.dll
26.03.2006 11:05 408.686 perfh007.dat
05.03.2006 17:28 664 d3d9caps.dat
05.03.2006 16:56 77.874 vxgamet4.exe2560.exe.bak
05.03.2006 16:55 0 h323log.txt


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCE2-9BF6

Verzeichnis von C:\DOKUME~1\a\LOKALE~1\Temp

17.06.2006 22:14 32.768 ~DFAFAC.tmp
17.06.2006 13:56 32.768 ~DF1BBF.tmp
17.06.2006 11:18 54.272 ginstall.dll
17.06.2006 11:15 32.768 ~DFD752.tmp
17.06.2006 10:45 3.177 hijackthis.log
17.06.2006 10:42 32.768 ~DF9BC.tmp
17.06.2006 09:45 32.768 ~DF305B.tmp
17.06.2006 00:18 32.768 ~DF3AE7.tmp
16.06.2006 23:06 35.792 xebcore.log
16.06.2006 22:39 32.768 ~DF48DD.tmp

26.05.2006 23:31 0 u9756.tmp
26.05.2006 20:22 32.768 ~DFCE64.tmp
26.05.2006 08:16 32.768 ~DF3A35.tmp
25.05.2006 18:33 32.768 ~DFEE3E.tmp
25.05.2006 13:35 32.768 ~DFCF0B.tmp
24.05.2006 21:35 182.272 temp.exe
24.05.2006 18:13 32.768 ~DF368E.tmp

20.05.2006 09:04 0 yro2.tmp
20.05.2006 08:59 32.768 ~DFF32D.tmp
19.05.2006 16:43 32.768 ~DFE89B.tmp
17.05.2006 18:33 32.768 ~DFE6E5.tmp
17.05.2006 16:31 32.768 ~DFB29D.tmp
16.05.2006 18:14 32.768 ~DF360E.tmp
16.05.2006 15:49 0 3ru3.tmp
16.05.2006 15:43 32.768 ~DF92.tmp
15.05.2006 18:14 32.768 ~DFE186.tmp
15.05.2006 13:47 32.768 ~DF36C9.tmp
15.05.2006 06:16 675.840 m02.avi
15.05.2006 06:16 698.368 m01-3.avi
15.05.2006 06:15 368.640 m01-2.avi
15.05.2006 06:15 368.640 m01-1.avi
15.05.2006 06:15 368.640 m01.avi
15.05.2006 06:12 32.768 ~DF38BD.tmp
14.05.2006 20:04 32.768 ~DF2F8B.tmp
14.05.2006 10:22 32.768 ~DFBD.tmp
14.05.2006 00:18 0 jrl96.tmp
13.05.2006 17:51 0 ca640.tmp
13.05.2006 17:47 0 w6v3A.tmp
13.05.2006 15:48 0 bp720.tmp
13.05.2006 14:24 32.768 ~DFCCC7.tmp
13.05.2006 10:08 32.768 ~DFE3F7.tmp
11.05.2006 19:55 32.768 ~DFCF68.tmp
23.01.2006 15:36 429 datFind.bat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCE2-9BF6

Verzeichnis von C:\WINDOWS

17.06.2006 22:11 159 wiadebug.log
17.06.2006 22:11 0 wiaservc.log
17.06.2006 22:11 0 0.log
17.06.2006 22:11 2.048 bootstat.dat
17.06.2006 16:31 625.512 setupapi.log
17.06.2006 16:31 610.617 WindowsUpdate.log
17.06.2006 14:01 192 winamp.ini
17.06.2006 11:29 54.156 QTFont.qfn
17.06.2006 11:24 116 NeroDigital.ini
15.06.2006 22:20 12.862 EPISMG00.SWB
15.06.2006 21:24 151 PhotoSnapViewer.INI
15.06.2006 20:16 167.936 Setup1.exe
15.06.2006 20:15 74.752 ST6UNST.EXE
12.06.2006 20:38 2.423 wmsetup.log
28.05.2006 16:30 23 BlendSettings.ini
27.05.2006 00:28 1.409 QTFont.for
17.05.2006 19:52 171.789 setupact.log
04.05.2006 20:07 76.434 DirectX.log
02.05.2006 20:54 536 win.ini
01.05.2006 20:43 10 popcinfo.dat
20.04.2006 18:10 32.564 SchedLgU.Txt
20.04.2006 17:30 672 klif.spi
19.04.2006 21:42 637.826 ntbtlog.txt
19.04.2006 20:57 13.126 LUINSTALL.LO


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCE2-9BF6

Verzeichnis von C:\

17.06.2006 22:48 0 sys.txt
17.06.2006 22:48 6.702 system.txt
17.06.2006 22:48 6.404 systemtemp.txt
17.06.2006 22:47 103.433 system32.txt
17.06.2006 22:11 805.306.368 pagefile.sys
17.06.2006 11:23 1.494 DirDPF.txt
17.06.2006 11:23 2 DirDPFCns.txt
05.03.2006 17:22 211 boot.ini
05.03.2006 16:56 0 boots32.log
30.12.2005 21:46 125 temp.bat


+

#6 1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger:
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\WINDOWS\system32\vxgamet4.exe2560.exe.bak
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\Dokumente und Einstellungen\a\Lokale Einstellungen\Temp\temp.exe
C:\Dokumente und Einstellungen\a\Lokale Einstellungen\Temp\ginstall.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html
. doppelklick smitfraudfix.cmd
. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
. doppelklick smitfraudfix.cmd
. schreibe: 2
. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab [C:\rapport.txt] -> hier

4.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

5.
poste noch mal die 4 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit