W32/Nsag.A

MatzeBrown · 19.09.2005, 08:37

Hallo zusammen!
Hab folgendes Problem und zwar hab ich gemerkt daß mein System in letzter Zeit nicht mehr sonderlich stabil läuft und kurz nach dem hochfahren in Windows mein Bildschirm ganz kurz schwarz wird aber und dann wieder alles normal scheint. Alle standartprogramme wie antivir und spybot... fanden nix. Über die Firma hab ich dann ne Version von "Premium Antivir" bekommen und dies zeigt mir jedes mal wenn ich den IE aktiviere, oder Outlook starte oder nur über Winamp radio hören will an, daß meine WinInet.dll vom Virus: "W32/Nsag.A" befallen ist. Das Löschen sowohl in Windows als auch im abgesicherten modus ohne Systemwiederherstellung blieben erfolglos. Gibt es noch ne Lösung den Rechner nicht platt machen zu müssen?
Zur info mal mein Logfile von HighjackThis!
Vielen Dank sachonmal

Greetz
Matze

Logfile of HijackThis v1.99.1
Scan saved at 09:31:17, on 19.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonalPremium\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
C:\Programme\AVPersonalPremium\AVWIN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Privat\Desktop\Nützliches\Highjackfixes!\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonalPremium\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Rene-gad · 19.09.2005, 09:10

@MatzeBrown
Versuche mal die Anleitungen für manuelles Entfernen nachzugehen: http://www.viruslist.com/en/viruses/...?virusid=84462

.
BTW: Scannen mit KAV würde ich unterlassen, denn du hast keinen KAV an deinem PC. Du kannst aber eine KAV-Trial-Version installieren, bevor müssen aber alle Antivirus-Programme deinstalliert werden.

stupormundi · 19.09.2005, 09:14

Servus, MatzeBrown!

Lass´ mal die Datei

Zitat:

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

bei Jotti http://virusscan.jotti.org/de/ prüfen und poste das Ergebnis. Das ist zwar eine BS-übliche Datei, in der Form könnte sich aber was dahinter verstecken.
Falls der upload nicht gleich funkt., dazugehörden Prozess im taskmgr. zuvor beenden und/oder Virenscanner temporär deativieren.
Diesen Eintrag

Zitat:

O10 - Broken Internet access because of LSP provider 'avsda.dll' missing

kannst Du folgendermaßen lösen:

Zitat:

Was zu unternehmen ist:
Diese Einträge sollten nicht manuell gelöscht werden!
Beste Möglichkeiten zur Reparatur bieten LSPFix von Cexx.org http://www.cexx.org/lspfix.htm, oder Spybot S&D http://security.kolla.de/ von Kolla.de.
Hinweis: Aus Gründen der Systemsicherheit können unbekannte Dateien im 'LSP stack' nicht durch HijackThis gefixt werden.

bis denn, stupormundi

W32/Nsag.A

Log-Analyse und Auswertung: W32/Nsag.A

W32/Nsag.A

W32/Nsag.A

W32/Nsag.A

Ähnliche Themen: W32/Nsag.A

19.09.2005, 09:10	#2
Rene-gad	W32/Nsag.A @MatzeBrown Versuche mal die Anleitungen für manuelles Entfernen nachzugehen: http://www.viruslist.com/en/viruses/...?virusid=84462 . BTW: Scannen mit KAV würde ich unterlassen, denn du hast keinen KAV an deinem PC. Du kannst aber eine KAV-Trial-Version installieren, bevor müssen aber alle Antivirus-Programme deinstalliert werden. __________________