Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32.Nsag.b

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.08.2005, 23:25   #1
tschokuhl
 
Win32.Nsag.b - Standard

Win32.Nsag.b



Hallo, mein auf meinem Rechner ist der Virus Win32.Nsag.b gefunden worden. Er läßt sich weder entfernen, noch löschen oder desinfizieren. Ich habe schon eine HijackThis Logfile erstellt. Wer kann sie mir bitte auswerten?
Vielen Dank für hilfreiche Antworten!

Alt 05.08.2005, 00:46   #2
dartus
 
Win32.Nsag.b - Standard

Win32.Nsag.b



Hallo tschokuhl,

Zitat:
Ich habe schon eine HijackThis Logfile erstellt. Wer kann sie mir bitte auswerten?
Wenn Du das Logfile postet, vermutlich einige!

dartus
__________________

__________________

Alt 05.08.2005, 01:05   #3
tschokuhl
 
Win32.Nsag.b - Standard

Win32.Nsag.b



Hallo, hier ist meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:00:00, on 05.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\SinEspias\no-spy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\Dokumente und Einstellungen\HELMUT\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HELMUT\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HELMUT\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {C8B7AA33-2411-4AE6-A53D-5B522444CDDA} - C:\WINDOWS\System32\mnoo.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [Media Player Update] xpsp1mfh.exe
O4 - HKLM\..\Run: [runs] run.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\RunServices: [Media Player Update] xpsp1mfh.exe
O4 - HKLM\..\RunServices: [runs] run.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [Media Player Update] xpsp1mfh.exe
O4 - HKCU\..\Run: [runs] run.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [Media Player Update] xpsp1mfh.exe
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c267.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1116848336019
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...io5_3_18_0.cab
O18 - Filter: text/html - {D4B32CAD-6710-4734-A7DF-4B74E3B6E705} - C:\WINDOWS\System32\mnoo.dll
O18 - Filter: text/plain - {D4B32CAD-6710-4734-A7DF-4B74E3B6E705} - C:\WINDOWS\System32\mnoo.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
__________________

Alt 05.08.2005, 01:13   #4
cronos
 
Win32.Nsag.b - Standard

Win32.Nsag.b



Dein System ist als kompromittiert anzusehen!
Und ich habe nur flüchtig über deinen Log geschaut.
Zu deiner eigenen Sicherheit ist dir nur zu einem Neuaufsetzen zu raten-und zwar nach folgender Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

Das könnte dir ähnliche Infektionen in Zukunft ersparen!

Um Fragen vorzubeugen:

Nein-es führt kein Weg dran vorbei
__________________
Only cronos endures

Alt 05.08.2005, 01:13   #5
dartus
 
Win32.Nsag.b - Standard

Win32.Nsag.b



Hallo tschokuhl,

Dein System ist sehr verseucht! U.a. ist der aktiv:

http://www.sophos.com/virusinfo/anal...32rbotbwf.html = run.exe

Das ist nicht der einzigste "Schädling" mit Backdoorfunktionalität.

Grund ist Dein nicht aktuelles Betriebssystem! SP 2 und alle weiteren Sicherheitspatches müssen installiert sein!

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

EDIT: Hi cronos

__________________
Kein Support per PN

Alt 05.08.2005, 01:17   #6
cronos
 
Win32.Nsag.b - Standard

Win32.Nsag.b



@ dartus



@ tschokuhl

Wichtig ist:Sicher das System nach dem Neuaufsetzen vor der ersten I-Netverbindung ab.
Ohne SP2 fängst du dir direkt wieder was ein.Deswegen befolge die Anleitung von Cidre genau.
__________________
--> Win32.Nsag.b

Alt 05.08.2005, 02:32   #7
tschokuhl
 
Win32.Nsag.b - Icon17

Win32.Nsag.b



Hallo cronos, hallo dartus,
herzlichen Dank für eure Hinweise! Ich hab mich schon ein bisschen durchgelesen: Ich muß wohl das Betriebsprogramm erst mal deinstallieren, dann wieder installieren und dann das "SP 2" beachten (ich weiß nur noch nicht, was das ist).
Hoffentlich kann ich das als Laie auch...
Viele Grüße
tschokuhl

Antwort

Themen zu Win32.Nsag.b
antworten, auswerten, bitte auswerten, entferne, entfernen, erstell, gefunde, hijack, hijackthis, hijackthis logfile, hilfreiche, logfile, löschen, rechner, virus, win, worte



Ähnliche Themen: Win32.Nsag.b


  1. W32/Nsag.B - ich werde ihn nicht los!
    Plagegeister aller Art und deren Bekämpfung - 28.02.2006 (6)
  2. Nsag.B
    Log-Analyse und Auswertung - 04.02.2006 (1)
  3. nsag.b
    Plagegeister aller Art und deren Bekämpfung - 11.01.2006 (17)
  4. W32/NSAG.B wie entfernen?
    Log-Analyse und Auswertung - 01.01.2006 (2)
  5. W32/Nsag.B gefunden...
    Plagegeister aller Art und deren Bekämpfung - 29.12.2005 (4)
  6. Windows-Virus W32/Nsag.B
    Plagegeister aller Art und deren Bekämpfung - 21.12.2005 (1)
  7. WIN32.NSAG.B -> Wie bekomm ich das wieder weg???
    Plagegeister aller Art und deren Bekämpfung - 11.11.2005 (8)
  8. Hatte Virus Win32.Nsag.b / PC wieder clean?
    Log-Analyse und Auswertung - 14.10.2005 (4)
  9. W32/Nsag.A
    Log-Analyse und Auswertung - 19.09.2005 (2)
  10. Virus W32/Nsag.B...
    Log-Analyse und Auswertung - 14.09.2005 (8)
  11. W32/Nsag.B + TR/small.EV.5
    Log-Analyse und Auswertung - 12.09.2005 (1)
  12. Wer hilft mir bei der Beseitigung des W32/Nsag.B...
    Plagegeister aller Art und deren Bekämpfung - 12.09.2005 (1)
  13. W32/Nsag.B - HJT logfile
    Log-Analyse und Auswertung - 24.08.2005 (4)
  14. PSGuard, W32/Nsag.B und Co.
    Plagegeister aller Art und deren Bekämpfung - 22.08.2005 (9)
  15. Win32.nsag.b und win32.small.ev
    Plagegeister aller Art und deren Bekämpfung - 25.07.2005 (2)
  16. Smitfraud und Virus.Win32.Nsag.a
    Log-Analyse und Auswertung - 24.07.2005 (4)
  17. win32.nsag.a agent.eo. blauer Bildschirm / infizierte wininit.dll
    Plagegeister aller Art und deren Bekämpfung - 06.07.2005 (1)

Zum Thema Win32.Nsag.b - Hallo, mein auf meinem Rechner ist der Virus Win32.Nsag.b gefunden worden. Er läßt sich weder entfernen, noch löschen oder desinfizieren. Ich habe schon eine HijackThis Logfile erstellt. Wer kann sie - Win32.Nsag.b...
Archiv
Du betrachtest: Win32.Nsag.b auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.