|
PS Guard + W32/Nsag.B hier meine hijackThisLOG.u. einige fragen Salam aleikum ihr alle so erstmal kurz die vorgeschichte: Vor ungef. 1,5 monaten bekam ich von meinem antiVir die trojaner small.ev.50-66 und small.ev.6 angezeigt. nach mehrmaligem updaten von antiVir ließ sich dieses problem aller wahrscheinlichkeit und hoffnung nach lösen. d.h. irgendwann konnten diese teile wahrscheinlich nach dem neustarten gelöscht werden. seit der gleichen zeit hab ich aber auch den psguard drauf. er startet das hauptprogramm (das euch vll/wahrscheinl. bekannt sein wird) zwar nun nicht mehr eigenständig, aber selbst nach 4maligem deaktivieren des eintrags in der msconfig und 1maligem löschen des "run" eintrags in Local_Machine -> Software -> Microsoft -> Windows -> Run scheint das scheißteil immer noch nicht den abgang zu machen. kommen immer noch die kleinen fensterchen unten in der leiste. Und seit heute, d.h. seit ich den eintrag des ps guards in der regedit gelöscht habe bek. ich von antivir die warnung "C:\WINDOWS\SYSTEM32\WININET.DLL Contains code of the Windows virus W32/Nsag.B " hab auch das dann mit antiVir -> neustart versucht, da der pfad/prozess von windows gesperrt wird , bringt aber nix. Meiner Meinung und Hoffnung nach hab ich zwar die Trojaner überwunden aber der fuck psGuard und der W32/Nsag.B sind noch drauf und drin. :snyper: --- > Meine HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 20:00:53, on 08.09.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\Virenschutz\Antivir\AVGUARD.EXE D:\Programme\Virenschutz\Antivir\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\msole32.exe C:\WINDOWS\System32\S3hotkey.exe C:\WINDOWS\System32\S3tray2.exe E:\Programme\Bärshär\BearShare.exe C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe D:\Programme\Virenschutz\Antivir\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Windows Media Player\wmplayer.exe D:\Programme\Virenschutz\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://cf.icq.com/cf/icq5/unregister.html O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing) O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing) O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [BearShare] "E:\Programme\Bärshär\BearShare.exe" /pause O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Virenschutz\Antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!hxxp://69.50.171.149/5/s1//q.chm::/file.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - hxxp://messenger.msn.com/download/msnmessengersetupdownloader.cab O20 - Winlogon Notify: style2 - C:\WINDOWS\q195310_disk.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Virenschutz\Antivir\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Virenschutz\Antivir\AVWUPSRV.EXE ---------------------------- Glaub aber dass da nix gefährliches enthalten ist!? aber um das komplett zu beurteilen kenne ich mich vll nicht gut genug aus. wäre froh wenn mir gleich jemand helfen könnte! Thx im voraus |
lösche erstmal die datei C:\WINDOWS\SYSTEM32\WININET.DLL im abgesicherten modus (diese datei wird in windows 2000/xp nicht benötigt, nur in 9x) dann führe diese Anleitung durch. |
abgesicherter modus hab ich noch nie gemacht *schäm* kurz erklären bitte z. |
;) Abgesicherter Modus Erklärung^^ Während des starts einfach dauernd F8 drücken (möglichst bevor der xp-ladebildschirm kommt) dann abgesicherter modus (und ich meine nur abgesicherter modus) auswählen |
hey, thx für die hinweise, aber schon das erste funktioniert nicht :( ich kann C:\Windows\system32\wininet.dll nicht löschen (auch nicht im abgesicherten modus ... !? :headbang: |
Außerdem erscheint seit den letzten 3 systemstarts in jedem Laufwerk ein "RECYCLER" im ersten Verzeichnis des Laufwerks und wenn ich draufgehe seh ich im rechten fenster das papierkorbsymbol von XP mit einer langen zahlenreihe à la "S-1-5-21-842925246-2146805459-1060284298-1004" dahinter, und gerade stelle ich fest dass auf einem laufwerk nicht nur einer dieser Papierkörbe sondern SEHR VIELE davon sind ... FUCK :teufel1: HELP! |
man das system ist wirklich ziemlich fehlerhaft dadurch geworden. du kannst die datei löschen. starte hijackthis open misc tools section delete a file on reboot dann gebe in der adresszeile den dateinamenpfad an, also: C:\Windows\system32\wininet.dll also auf OK. achja jetz seh ichs ja erst; du hast kein SP drauf! installiere wenn du mit der bereinigung mal fertig bist windows xp service pack 2. |
also ich hab hijackthis gesartet (im abgesicherten modus) hab das eingegeben zum löschen, neu gestartet (nicht abgesichert) und es war immer noch da ... soll ich beide male im abgesicherten modus bleiben oder gar nicht oder umgekehrt ? oder liegt's an was anderem ? |
autsch... die wininet.dll is ne systemdatei... ich habs mit was anderem verwechselt sry :( naja auf jedenfall ist die bereinigt dadurch das xp die neu wiederhergestellt hat. (bin mir dabei aber nicht so sicher) nun kannst du mit der smitfraud-anleitung weiter machen ;) |
mmh bin mir da aber ned so sicher ... antivir gibt mir immer noch laufend den hinweis dass das ding dodaal verseucht ist :dummguck: und das mit dem smitfraud teil hilft gegen den PSguard ? |
natürlich. psguard gehört zur smitfraud familie. deswegen wirkt das tool auch gegen diesen. um die dll-datei kümmern wir uns dann eben später ;) |
Hi saug dir mal Spybot danach Hi Jack 1.99 im Abgesicherten laufen lassen (Service Pack 2 holen ) ganz wichtig!!!!!!! Ansonten AntiVir6 Pro Prof(Neu) saugen i. abgesicherten suchen lassen!!! :aplaus: |
@bodi ob das alles ausreicht.. warten wir erstmal auf das ergebnis von smitrem & co. ich denke nicht, dass in dieser situation ein sp2-download wirklich schnell genug ablaufen würde... deswegen mein ich auch, dass ers später installieren soll.. |
@Chris14 stimmt! :headbang: Aber er soll es versuchen hatte auch einen von der Familie!! Bei mir ging er Weg mit Antivir6 Proff! Naja er soll es versuchen u Service P.2 später!! :crazy: |
hab jetzt also den W32/ ... blabla zuerst mal links liegen lassen, aber nach jeden neustart is irgendwas durch ihn verändert, hab jetzt zb kein xp desktop- und startleistenlayout mehr ??? *kopfkratz* aehm gut bin bei der smitfraud hilfe jetzt an dem punkt angelangt, an dem ich escan anwenden sollte, hab die dowgeloadete (schreckliches wort ^^) datei entpackt und installiert, aber dann soll ich ja updaten indem ich zu c:\Bases_X "navigiere" --- c bases x gibsts aber irgendwie nicht, also ... komisch!? :koch: ich dreh noch durch heut... hoffe auf antwort |
Zitat:
Wenn du eScan richtig entpackt hast, gibt es das Verzeichnis C:\Bases_x |
also escan fertig andere sachen auch alle gemacht, jetzt fallen eben beide probleme zusammen, der findet sowohl die trojaner und adware als auch diesen virus da ... hier die wichtigen dinge reinkopiert: --------------------------------------------------------------------- File C:\WINDOWS\system32\WININET.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken. System found infected with bearshare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken. System found infected with bearshare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken. System found infected with bearshare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken. System found infected with bearshare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken. System found infected with WhenU.SaveNow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken. System found infected with bearshare Spyware/Adware (bearshare.lnk)! Action taken: No Action Taken. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken. System found infected with SmitFraud Spyware/Adware (intmon.exe)! Action taken: No Action Taken. System found infected with SmitFraud Spyware/Adware (ole32vbs.exe)! Action taken: No Action Taken System found infected with SmitFraud Spyware/Adware (sites.ini)! Action taken: No Action Taken. File C:\WINDOWS\system32\intmon.exe infected by "Trojan.Win32.Puper.aj" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\ole32vbs.exe infected by "Trojan.Win32.Favadd.ai" Virus! Action Taken: No Action Taken File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken D:\Programme\Virenschutz\Antivir\INFECTED\intell32.VIR D:\Programme\Virenschutz\Antivir\INFECTED\intell32.VIR infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. D:\Programme\Virenschutz\Antivir\INFECTED\intell32.VIR00 D:\Programme\Virenschutz\Antivir\INFECTED\intell32.VIR00 infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. D:\Programme\Virenschutz\Antivir\INFECTED\intell32.VIR01 D:\Programme\Virenschutz\Antivir\INFECTED\intell32.VIR01 infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. D:\Programme\Virenschutz\Antivir\INFECTED\WININET.DLL.001 D:\Programme\Virenschutz\Antivir\INFECTED\WININET.DLL.001 infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken. D:\Programme\Virenschutz\Antivir\INFECTED\WININET.DLL.002 D:\Programme\Virenschutz\Antivir\INFECTED\WININET.DLL.002 infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken. D:\Programme\Virenschutz\Antivir\INFECTED\WININET.DLL.003 D:\Programme\Virenschutz\Antivir\INFECTED\WININET.DLL.003 infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken. D:\Programme\Virenschutz\Antivir\INFECTED\WININET.DLL.VIR D:\Programme\Virenschutz\Antivir\INFECTED\WININET.DLL.VIR infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken. ... Tja. Ist eine Neuinstallation von Windows ratsam ? würd ich ungern machen, alle datein von mir weg ... :headbang: aber wärdas besser ? :sleepy: geh dann auch gleich in die waagerechte, wenn noch vorher jem antworten kann wär cool |
ok, jetzt wissen wir was für schädlinge auf deinem system sind. führe jetzt die Smitfraud-C Anleitung durch. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board