Ich habe mal wieder gestern jemanden an den Pc gelassen und schon hab ich wieder viren -.-

ich bekomme andauernd die meldung von antivirus das ich diese datein aufdem rechner habe ich lösche dsie aber die meldung kommt immer nd immer wieder:

TR/Dldr.Agent.td.52
Virus W32/Nsag.B

ich hab bereits SMitRem drüber laufen lassen mit dem ergebnis:
smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 720 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll INFECTED!! Starting replacement procedure.





Datfind hab ich auch drüberlaufen lassen mit diesen ergenbissen:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40E0-E48F

Verzeichnis von C:\DOKUME~1\Lenard\LOKALE~1\Temp

23.12.2005 12:36 16.384 ~DF1941.tmp
23.12.2005 12:36 512 ~DF13B3.tmp
23.12.2005 12:36 16.384 ~DF13A6.tmp
23.12.2005 12:35 2.550 2.tmp
4 Datei(en) 35.830 Bytes
0 Verzeichnis(se), 52.759.109.632 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40E0-E48F

Verzeichnis von C:\

23.12.2005 12:42 0 sys.txt
23.12.2005 12:42 4.710 system.txt
23.12.2005 12:41 434 systemtemp.txt
23.12.2005 12:41 89.936 system32.txt
23.12.2005 12:33 1.073.319.936 hiberfil.sys
23.12.2005 12:33 1.610.612.736 pagefile.sys
23.12.2005 12:15 1.313 smitfiles.txt
28.10.2005 17:50 3.451 delfiles.cmd
16.10.2005 13:02 270 tracert.txt
28.09.2005 18:32 0 MSDOS.SYS
28.09.2005 18:32 0 IO.SYS
28.09.2005 18:32 0 AUTOEXEC.BAT
28.09.2005 18:32 0 CONFIG.SYS
28.09.2005 18:25 211 boot.ini
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
17 Datei(en) 2.684.336.697 Bytes
0 Verzeichnis(se), 52.759.093.248 Bytes frei



ich bedanke mich bei euch im vorraus und wünsche euch allen schöne weihnachten.....

ich habe soeben noch was mit Ad-Aware gefunden
das programm läuft auch seit gestern im hintergrund auch wenn ich es lösche etc es nennt sich SearchClick und steht in meinem system unter system32/addrb32.exe

Du musst schon alle Logs posten & dazu noch ein HJT Log bitte.

Frohes Fest - bitte mal Holy M oder Nikita fragen (habe 3 Tage kein Inet). Naja oder halt warten ^^.

MfG,

ogfile of HijackThis v1.99.1
Scan saved at 16:19:27, on 23.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\winvo.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\crhd32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Lenard\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\quawd.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\quawd.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {7A962851-6247-10A7-D229-F24119B7ADA4} - C:\WINDOWS\netif32.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [2C.tmp] C:\DOKUME~1\Lenard\LOKALE~1\Temp\2C.tmp.exe
O4 - HKLM\..\Run: [ntxa.exe] C:\WINDOWS\ntxa.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [31.tmp] C:\DOKUME~1\Lenard\LOKALE~1\Temp\31.tmp.exe
O4 - HKLM\..\Run: [32.tmp] C:\DOKUME~1\Lenard\LOKALE~1\Temp\32.tmp.exe
O4 - HKLM\..\Run: [d3pb32.exe] C:\WINDOWS\system32\d3pb32.exe
O4 - HKLM\..\Run: [addrb32.exe] C:\WINDOWS\system32\addrb32.exe
O4 - HKLM\..\Run: [d3gd.exe] C:\WINDOWS\d3gd.exe
O4 - HKLM\..\Run: [crhd32.exe] C:\WINDOWS\system32\crhd32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7929046806
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winvo.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe




ich hoffe dass euch das weiterhilft

Nichts zu retten.

http://www.informationsarchiv.net/foren ... 26234.html

ok dann werde ich das jetzt so machen ich danke euch.
hast du vllt auc noch ein paar tips oder eine liste an programmen die ich nach der neuformatierung sofort draufspelen solte?

Hi,

die Punkte 2-7 solltest du beachten.

http://virus-protect.net/nachneuinst.html

1000 Dank alles funktioniert wider einwandfrei . ich habe alle punkte abgearbeitet und ich denke dass ic jetzt ein recht sicheres system habe .

Dennoch möchte ich noch einmal ein HJT log posten damit ich sicher sein kann dass alles weg ist. 100ß dank nochmal und schöne feiertage



LOG:


Logfile of HijackThis v1.99.1
Scan saved at 20:19:30, on 23.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5360456929
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hi, du solltest am besten die Windows-Firewall ausschalten und eine andere nutzen. (Sygate, ZoneAlarm). Wenn du allerdings hinter einem Router sitzt reicht die Windows FW aus.

Bitte sehr. Frohe Weihnachten.