| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32.Nsag.bWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.08.2005, 22:25
| #1 |
| |  Win32.Nsag.b Hallo, mein auf meinem Rechner ist der Virus Win32.Nsag.b gefunden worden. Er läßt sich weder entfernen, noch löschen oder desinfizieren. Ich habe schon eine HijackThis Logfile erstellt. Wer kann sie mir bitte auswerten? Vielen Dank für hilfreiche Antworten! |
|
04.08.2005, 23:46
| #2 | |
 | Win32.Nsag.b Hallo tschokuhl,
__________________Zitat:
dartus
__________________ |
|
05.08.2005, 00:05
| #3 |
| | Win32.Nsag.b Hallo, hier ist meine Logfile:
__________________Logfile of HijackThis v1.99.1 Scan saved at 01:00:00, on 05.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\SinEspias\no-spy.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE C:\Dokumente und Einstellungen\HELMUT\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HELMUT\LOKALE~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HELMUT\LOKALE~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {C8B7AA33-2411-4AE6-A53D-5B522444CDDA} - C:\WINDOWS\System32\mnoo.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [Media Player Update] xpsp1mfh.exe O4 - HKLM\..\Run: [runs] run.exe O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun O4 - HKLM\..\RunServices: [Media Player Update] xpsp1mfh.exe O4 - HKLM\..\RunServices: [runs] run.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan O4 - HKCU\..\Run: [Media Player Update] xpsp1mfh.exe O4 - HKCU\..\Run: [runs] run.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunServices: [Media Player Update] xpsp1mfh.exe O4 - Global Startup: Firewall.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6.cab O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c267.cab O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1116848336019 O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...io5_3_18_0.cab O18 - Filter: text/html - {D4B32CAD-6710-4734-A7DF-4B74E3B6E705} - C:\WINDOWS\System32\mnoo.dll O18 - Filter: text/plain - {D4B32CAD-6710-4734-A7DF-4B74E3B6E705} - C:\WINDOWS\System32\mnoo.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file) O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe |
|
05.08.2005, 00:13
| #4 |
  | Win32.Nsag.b Dein System ist als kompromittiert anzusehen! Und ich habe nur flüchtig über deinen Log geschaut. Zu deiner eigenen Sicherheit ist dir nur zu einem Neuaufsetzen zu raten-und zwar nach folgender Anleitung: http://www.trojaner-board.de/showthread.php?t=12154 Das könnte dir ähnliche Infektionen in Zukunft ersparen! Um Fragen vorzubeugen: Nein-es führt kein Weg dran vorbei
__________________  Only cronos endures |
|
05.08.2005, 00:13
| #5 |
| | Win32.Nsag.b Hallo tschokuhl, Dein System ist sehr verseucht! U.a. ist der aktiv: http://www.sophos.com/virusinfo/anal...32rbotbwf.html = run.exe Das ist nicht der einzigste "Schädling" mit Backdoorfunktionalität. Grund ist Dein nicht aktuelles Betriebssystem! SP 2 und alle weiteren Sicherheitspatches müssen installiert sein! Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten. http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html http://en.wikipedia.org/wiki/Botnet http://de.wikipedia.org/wiki/Backdoor Empfohlene Anleitung zur Neuinstallation http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 dartus EDIT: Hi cronos
__________________ Kein Support per PN |
|
05.08.2005, 00:17
| #6 |
| | Win32.Nsag.b @ dartus  @ tschokuhl Wichtig ist:Sicher das System nach dem Neuaufsetzen vor der ersten I-Netverbindung ab. Ohne SP2 fängst du dir direkt wieder was ein.Deswegen befolge die Anleitung von Cidre genau.
__________________ --> Win32.Nsag.b |
|
05.08.2005, 01:32
| #7 |
| |  Win32.Nsag.b Hallo cronos, hallo dartus, herzlichen Dank für eure Hinweise! Ich hab mich schon ein bisschen durchgelesen: Ich muß wohl das Betriebsprogramm erst mal deinstallieren, dann wieder installieren und dann das "SP 2" beachten (ich weiß nur noch nicht, was das ist). Hoffentlich kann ich das als Laie auch... Viele Grüße tschokuhl |
|
| Themen zu Win32.Nsag.b |
| antworten, auswerten, bitte auswerten, entferne, entfernen, erstell, gefunde, hijack, hijackthis, hijackthis logfile, hilfreiche, logfile, löschen, rechner, virus, win, worte |
Linear-Darstellung
