virus Nsag.B und ein haufen trojaner...

[meisterbo]

hallo,

so ein müll. bei dem versuch mir einen freeware-codecpack aus dem internet herunterzuladen habe ich mir wohl bestimmte trojaner eingefangen, welche nun folgenden wurm installiert haben: Windows-Virus W32/Nsag.B

aus den tips im netz werde ich nicht so ganz schlau. was muss ich machen???bitte helft mir!

hab mal hijack this laufen lassen:

Logfile of HijackThis v1.99.1

Scan saved at 01:17:02, on 10.10.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\Explorer.EXE

G:\WINDOWS\system32\shnlog.exe

G:\WINDOWS\RNapxs.exe

G:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe

G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

G:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

G:\Programme\antivir\AVGNT.EXE

G:\Programme\SAMSUNG\SOM-7000X\Ver.5.3\MOUSE32A.EXE

G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

G:\Programme\Java\jre1.5.0_04\bin\jusched.exe

G:\Programme\SPAMfighter\SFAgent.exe

G:\Programme\iTunes\iTunesHelper.exe

G:\Programme\QuickTime\qttask.exe

G:\WINDOWS\system32\ctfmon.exe

E:\terratec\EwxCpl.exe

G:\WINDOWS\mdmps32.exe

G:\PROGRAMME\ANTIVIR\AVGUARD.EXE

G:\Programme\antivir\AVWUPSRV.EXE

G:\WINDOWS\system32\intmon.exe

G:\WINDOWS\System32\svchost.exe

G:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

G:\Programme\iPod\bin\iPodService.exe

G:\WINDOWS\System32\svchost.exe

G:\Programme\Internet Explorer\iexplore.exe

G:\Programme\Internet Explorer\iexplore.exe

G:\WINDOWS\system32\wuauclt.exe

G:\WINDOWS\system32\wuauclt.exe

G:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ccbe2daf7d74865ecce5e4e83696feba\update\update.exe

G:\Programme\winrar\WinRAR.exe

G:\DOKUME~1\BJUDJU~1\LOKALE~1\Temp\Rar$EX01.125\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - G:\WINDOWS\system32\hp6ADF.tmp

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - G:\Programme\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [LnkSet] G:\WINDOWS\RNapxs.exe

O4 - HKLM\..\Run: [TerraTec Remote Control] "G:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [ATIPTA] G:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AVGCtrl] "G:\Programme\antivir\AVGNT.EXE" /min

O4 - HKLM\..\Run: [LWBMOUSE] G:\Programme\SAMSUNG\SOM-7000X\Ver.5.3\MOUSE32A.EXE

O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] G:\Programme\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [sPAMfighter Agent] "G:\Programme\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [iTunesHelper] "G:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [RegSvr32] G:\WINDOWS\system32\msmsgs.exe

O4 - HKLM\..\Run: [intell32.exe] G:\WINDOWS\system32\intell32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sVCHOST] G:\WINDOWS\rechnung.pdf.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: EWX 2496 ControlPanel.lnk = E:\terratec\EwxCpl.exe

O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://G:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://G:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://G:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://G:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2129efcc050c44...RdxIE601_de.cab

O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\PROGRAMME\ANTIVIR\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - G:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\antivir\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - G:\Programme\iPod\bin\iPodService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - G:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

[Lacknase]

[...]

aus den tips im netz werde ich nicht so ganz schlau. was muss ich machen??

[...]

Aus welchen Tips wirst Du nicht schlau? Was hast Du denn noch so alles gemacht (mal abgesehen davon, daß HJT lief)?

Bearbeitet 10. Oktober 2005 von Lacknase

[meisterbo]

moin,

Ich habe gestern nacht noch eine bessere anleitung gefunden:

http://www.paules-pc-forum.de/phpBB2/htopi...mitrem+exe.html

Soweit gibt es nun keine virenwarnungen mehr.Ist nun alles wieder gut, oder soll ich nochmal einen log machen und den ewido scanreport?

puh, onlinebanking ist erstmal gestorben, wa?

danke,

bodo

[Lacknase]

Das kann niemand sagen, ob alles OK ist. Die Grundüberlegung, die es halt auch nahelegt, den Rechner nicht mehr für "vertrauliche" Verbindungen einzusetzen bzw. am besten gleich ganz platt zu machen, lautet: Wenn etwas erwiesenermaßen auf dem System war, das womöglich Daten manipuliert, Sachen runterlädt/rauflädt/protokolliert etc., dann kann kein Schwein sagen, was es da so alles gemacht hat. Und für den Laien bzw. Durchschnitts-PC-Benutzer ist eine Analyse dessen, was da gerade abgeht oder abging, unmöglich.

Jede Reparier-Software krankt übrigens an demselben Problem wie AV-Software im Allgemeinen: sie kann nur bearbeiten, was sie kennt. Angesichts der Entwicklungsbeschleunigung von Schadsoftware bzw. der Verbreitungsgeschwindigkeit und Mutation in weiter entwickelte Variationen, die teils auch angebliche Schutzsoftware schlicht umgehen, kann man sich meines Erachtens den Einsatz solcher Produkte komplett schenken.

Rechner neu aufsetzen. Bevorzugt unter Berücksichtigung sämtlicher verfügbarer Updates und halbwegs sinnvoller Sicherheitsrichtlinien. (Also nicht als User in der Admingruppe arbeiten, unnötige Dienste deaktivieren, extrem fehlerbehaftete Software wie den IE oder OjE nicht benutzen etc. etc.)

Bearbeitet 10. Oktober 2005 von Lacknase

[meisterbo]

Na dann mache ich mich mal die Wochen daran den Rechner neu aufzusetzen und versende erstmal nichts Wichtiges über diesen Rechner.

Danke,

bodo

Bearbeitet 10. Oktober 2005 von meisterbo