Hallo zusammen

Hier ist mein virus information log. Könnte mir einer sagen wie ich den Virus wieder loswerde?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 04 23:21:03 2005 => System found infected with flashget Spyware/Adware ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: No Action Taken.
Tue Oct 04 23:21:03 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Oct 04 23:21:03 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Oct 04 23:21:04 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Oct 04 23:21:07 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.
Tue Oct 04 23:21:08 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Tue Oct 04 23:21:08 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Tue Oct 04 23:21:09 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.
Tue Oct 04 23:21:09 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Tue Oct 04 23:32:30 2005 => Scanning File C:\Jan\infected.doc
Tue Oct 04 23:42:32 2005 => Scanning File C:\Dokumente und Einstellungen\My PC\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\infected.LNK
Tue Oct 04 23:42:40 2005 => Scanning File C:\Dokumente und Einstellungen\My PC\Recent\infected.lnk
Tue Oct 04 23:51:56 2005 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav
Wed Oct 05 00:01:12 2005 => File C:\System Volume Information\_restore{FE8CEDBF-F2C1-4799-A000-289B08C42FFA}\RP287\A0045638.DLL infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Wed Oct 05 00:10:57 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 04 23:21:04 2005 => Offending Key found: HKCU\Software\gnu !!!
Tue Oct 04 23:21:07 2005 => Offending file found: C:\Dokumente und Einstellungen\My PC\Eigene Dateien\stronghold 2\config.dat
Tue Oct 04 23:21:08 2005 => Offending file found: C:\Dokumente und Einstellungen\My PC\Lokale Einstellungen\temporary internet files\content.ie5\q3urul6z\blank[1].htm
Tue Oct 04 23:21:08 2005 => Offending file found: C:\Dokumente und Einstellungen\My PC\Lokale Einstellungen\Temporary Internet Files\content.ie5\q3urul6z\blank[1].htm
Tue Oct 04 23:21:09 2005 => Offending file found: C:\Dokumente und Einstellungen\My PC\Eigene Dateien\stronghold 2\config.dat
Tue Oct 04 23:21:09 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Oct 05 00:10:57 2005 => Total Virus(es) Found: 11
Wed Oct 05 00:10:57 2005 => Total Errors: 199
Wed Oct 05 00:10:57 2005 => Time Elapsed: 00:50:18
Wed Oct 05 00:10:57 2005 => Total Objects Scanned: 85560
Wed Oct 05 00:10:57 2005 => Virus Database Date: 2005/10/04
Wed Oct 05 06:44:00 2005 => Virus Database Date: 2005/10/04
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Schonmal Danke in voraus für eure bemühungen.

Stocki80

Nutze clearprog 1.4.1 final im Normal-Modus (clicke an: "alles löschen").
Leere alle Quarantäne-ordner (z.B. Kaspersky).
Dann laß mal im abgesicherten Modus Spybot S&D 1.4 laufen (vorher updaten), ebenso AdAware SE (auch vorher updaten).
Deaktiviere die Systemwiederherstellung, bevor Du in den abgesicherten Modus gehst. Wenn die Progs fertig sind, dann normal starten und Systemwiederherstellung wieder aktivieren.
Dann sollte Dein Log wieder ziemlich o.k. sein.
Denke aber dran, bevor Du einen neuen eScan machst, zuerst die alte mwav.log zu löschen.
cacatoa

Habe alles ausgeführt, das ist ncoh übrig geblieben. Wie kriege ich den win32.nsag.b wieder runter?

Hier mein neuer escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 06 22:13:54 2005 => System found infected with flashget Spyware/Adware ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: No Action Taken.
Thu Oct 06 22:13:56 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Thu Oct 06 22:13:58 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.
Thu Oct 06 22:13:58 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Thu Oct 06 22:14:00 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.
Thu Oct 06 22:14:00 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Oct 06 22:25:26 2005 => Scanning File C:\Jan\infected.doc
Thu Oct 06 22:44:59 2005 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav
Thu Oct 06 22:54:13 2005 => File C:\System Volume Information\_restore{FE8CEDBF-F2C1-4799-A000-289B08C42FFA}\RP287\A0045638.DLL infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Thu Oct 06 23:04:08 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 06 22:13:55 2005 => Offending Key found: HKCU\Software\gnu !!!
Thu Oct 06 22:13:56 2005 => Offending file found: C:\DOKUME~1\MYPC~1\LOKALE~1\Temp\insthelp.dll
Thu Oct 06 22:13:58 2005 => Offending file found: C:\Dokumente und Einstellungen\My PC\Eigene Dateien\stronghold 2\config.dat
Thu Oct 06 22:13:58 2005 => Offending file found: C:\Dokumente und Einstellungen\My PC\Lokale Einstellungen\temp\insthelp.dll
Thu Oct 06 22:14:00 2005 => Offending file found: C:\Dokumente und Einstellungen\My PC\Eigene Dateien\stronghold 2\config.dat
Thu Oct 06 22:14:00 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 06 23:04:08 2005 => Total Virus(es) Found: 8
Thu Oct 06 23:04:08 2005 => Total Errors: 203
Thu Oct 06 23:04:08 2005 => Time Elapsed: 00:50:36
Thu Oct 06 23:04:08 2005 => Total Objects Scanned: 85624
Thu Oct 06 23:04:08 2005 => Virus Database Date: 2005/10/06
Thu Oct 06 23:19:18 2005 => Virus Database Date: 2005/10/06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Ad aware findet keine gefährlichen Objekte mehr auch nicht den win32.nsag.b

Servus, stocki80!
Hast Du vor den zu setzenden Maßnahmen die Systemwiederherstellung tatsächlich ausgeschaltet, wie cacatoa

Zitat:

Deaktiviere die Systemwiederherstellung,

Dir gesagt hat?
Dieser Eintrag

Zitat:

Thu Oct 06 22:54:13 2005 => File C:\System Volume Information\_restore{FE8CEDBF-F2C1-4799-A000-289B08C42FFA}\RP287\A0045638.DLL infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.

sollte dadurch (durch Löschen der Systemwiederherstellungspunkte) eigentlich entfernt sein!
Die Datei

Zitat:

C:\WINDOWS\iun6002.exe

im abgesicherten Modus bei abgeschalteter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html kannst mit der killbox http://www.bleepingcomputer.com/files/killbox.php mit der Option "delete on reboot" löschen.
Anschließend neues Log (altes Logfile vorher löschen!)
Bis dann, stupormundi

Habe den Virus runter gekriegt. Danke an alle die mir weiter geholfen haben.

Gruss Stocki80