Antiviruskit bleibt hängen, Rechner extrem langsam, Internet tot

#1 Hallo

Ich versuche einen Windows2000-Laptop von Viren zu reinigen und komme nicht mehr weiter. Ich habe Wurmentferner (Stinger), Firewall (Netbarrier 30-Tage-Testversion) und Antivirus (GData AntivirusKit 30-Tage-Testversion) drauf kopiert und installiert und konnte bereits fünf Würmer entfernen. Trotzdem ist er immer noch verseucht.

Symptome:
- Der Laptop ist EXTREM langsam.
- Internet Explorer findet keine Webseiten mehr
- Antiviruskit bleibt während des Scanvorgangs hängen und wird nicht fertig
- Windows-KB841720-ENU-V4.exe behauptet, dass kein Sasser drauf ist
- Auch der Start im abgesicherten Modus hat keine Verbesserung gebracht

Weil ich keine Internetseiten aufrufen kann, kann ich keine Windows-Updates herunterladen und keine neuen AVK-Vireninfos und keinen Kauf der 30-Tageversion tätigen. Weil AVK nicht durchläuft kann ich den Virus nicht entfernen und auch nicht identifizieren.

Wer weiss weiter?
Gruss, ibond

#2 Anti Spyware Seite http://www.majorgeeks.com/downloads31.html
Anti Virus Seite http://www.majorgeeks.com/downloads29.html
Und RAVantivirus Download seite http://www.5star-shareware.com/Utilities/AntivirusScanners/romanian-antivirus-download.html
ein "Brenner"hast du doch
__________
MfG Argus

#3 http://board.protecus.de/t9391.htm
schau mal dahin dann log file posten und warten bis einer/eine der freundlichen board besucher kommt und den Log analysiert!
__________
there's no place like 127.0.0.1

#4 Genau...
Lade, scanne , save und kopiere das Log mit der Maus, dann koennen wir mehr sagen
http://board.protecus.de/t9391.htm


In der Zwischen Zeit laedst du die mwav.exe, scannst <alle Dateien< und postest das <infizierte<Log
http://www.mwti.net/antivirus/free_utilities.asp

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Danke für die vielen Antworten. Dank dieser Hinweise und Links bin ich jetzt deutlich weiter.

In der Zwischenzeit habe ich AVK deinstalliert und stattdessen den Virenscanner AntiVir Personal Edition v.6 installiert. AntiVir hat nun diverse Würmer und Viren entfernt. Einzig bei Worm/Francette.L.1 hatte es Mühe. Zwar hat es diesen angeblich entfernt, aber beim nächsten Scanvorgang war er wieder vorhanden. Ich habe dann bei www.sophos.de/virusinfo eine Anleitung nachlesen können, wie ich mit einer manuellen Regedit-Löschaktion auch den Francette in den Griff bekomme (warum kann das nicht auch AntiVir? War es vielleicht ein Fehler, das Scannen von Archiven abzuschalten?).

Jetzt funktioniert der Rechner wieder und ich habe auch wieder Internet-Zugang und konnte so endlich die diversen Microsoft-Patches herunterladen.

Was leider schief läuft:
- Office 2000 kann nicht mehr gestartet werden. Da muss ich wohl bei Gelegenheit die Original-CDs im Keller suchen gehen.
- Der Firewall meldet mir ein Programm, das mehrmals pro Sekunde versucht einen Port zu öffnen. Das Programm heisst c:\winnt\system32\mnxwmsa.exe und ist als Prozess in der Tasklist sichtbar. Der Firewall blockt dieses Programm ab.
- Spybot 1.3 bringt beim erneuten Scannen immer wieder den schon reparierten Eintrag "DSO Exploit".
- Während ich am Schreiben bin, merke ich plötzlich, dass mein WLAN-Router wie wild am Blinken ist. Ein Blick in die Überwachung der Firewall zeigt ein namenloses Programm, welches via Port 135 mehrmals pro Sekunde auf eine jedesmal neue IP-Adresse kommuniziert. Hoppla, AntiVir ist doch auf dem neuesten Stand und der Microsoft-Patch ist eingespielt. Was geht da vor?

Nach einem Neustart ist wieder alles ruhig!?! Also irgendwie bin ich noch nicht clean. Kann mir jemand weiterhelfen?
- Darf ich den Prozess mnxwmsa.exe einfach stoppen bzw. das exe löschen?
- Ist der Port 135 seriös oder verdächtig (und wieso blockt dann meine Firewall diesen Port nicht ab)?
- Habe ich noch einen unbekannten Wurm, der von AntiVir nicht erkannt wird?

Kann vielleicht mein Hijack-Log weiterhelfen?:
Logfile of HijackThis v1.97.7
Scan saved at 20:06:15, on 29.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Intego\NetBarrier\NBService.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\LTSMMSG.exe
C:\WINNT\system32\mnxwmsa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Intego\NetUpdate\NUScheduler.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Freitag\Eigene Dateien\PC-Tools\Win2000-Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Norton Service Process] Navapsvc.exe
O4 - HKLM\..\Run: [Microsoft Update] mnxwmsa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NetupdateScheduler] C:\Programme\Intego\NetUpdate\NUScheduler.exe
O4 - HKLM\..\Run: [NetBarrier] C:\Programme\Intego\NetBarrier\NetBarrier.exe -i
O4 - HKLM\..\RunServices: [Norton Service Process] Navapsvc.exe
O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe
O4 - HKLM\..\RunServices: [Microsoft Update] mnxwmsa.exe
O4 - HKCU\..\Run: [Microsoft Update] mnxwmsa.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Broken Internet access because of LSP provider 'ilsp.dll' missing
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.3781944444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#6 Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Gehe in den abgesicherten Modus
F8 beim Hochfahren drucken)

Dort mit dem HijckThis...scann< und hake an, was ich poste: <fix

O4 - HKLM\..\Run: [Microsoft Update] mnxwmsa.exe
O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe
O4 - HKLM\..\RunServices: [Microsoft Update] mnxwmsa.exe
O4 - HKCU\..\Run: [Microsoft Update] mnxwmsa.exe


dann machst du mit dem Antivir. einen Vollscann (alle Dateien scannen) einstellen.


neustarten

Lade e-scann (mwav.exe) scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp


-------------------------------------------------------------------------------------------------

Wieder in den abgesicherten Modus gehen:

(wenn die mnxwmsa.exe und ascv.exe(Backdoor.Agobot.SZ) nicht geloescht sind musst du sie im abgesicherten Modus manuell loeschen(mit der Suchfunktion von Windows finden und loeschen) und auch die Eintraege in der Registry)

Klicke in der Taskleiste auf Start|Ausführen. Gebe "Regedit" ein und drücke Enter. Es öffnet sich der Registrierungseditor.
Suche unter HKEY_LOCAL_MACHINE und HKCU die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows cfg = ascv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows cfg = ascv.exe

HKLM\System\CurrentControlSet\Services\a3\
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_A3\

HKLM\..\Run: [Microsoft Update] mnxwmsa.exe
HKCU\..\Run: [Microsoft Update] mnxwmsa.exe
HKLM\..\RunServices: [Microsoft Update] mnxwmsa.exe


Lösche die Einträge, sofern sie existieren.
Schließe den Registrierungseditor.
------------------------------------------------------------------

dann poste das Log noch einmal

MfG
Sabina

http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=b&submit=suche&show=Backdoor.Agobot.SZ
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina

Ich bin beeindruckt. Hat alles zugetroffen. e-scann konnte tatsächlich 3 Backdoors und Würmer entfernen bzw. umbenennen. Ich weiss allerdings nicht, wo diese umbenannten Dateien jetzt sind und wie sie heissen.

Am Schluss habe ich mnxwmsa.exe und ascv.exe gesucht und NICHT gefunden. Bei den diversen Registry-Löschtips habe ich aber Fragen:
Was soll ich mit diesen zwei machen?
HKLM\System\CurrentControlSet\Services\a3\
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_A3\
Es hat dort jeweils mehrere Einträge. Soll ich nun alle Einträge löschen?

Hier nun der aktuelle Hijack-Log:
Logfile of HijackThis v1.97.7
Scan saved at 11:50:24, on 30.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Intego\NetBarrier\NBService.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\LTSMMSG.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Intego\NetUpdate\NUScheduler.exe
C:\Programme\Intego\NetBarrier\NetBarrier.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Freitag\Eigene Dateien\PC-Tools\Win2000-Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NetupdateScheduler] C:\Programme\Intego\NetUpdate\NUScheduler.exe
O4 - HKLM\..\Run: [NetBarrier] C:\Programme\Intego\NetBarrier\NetBarrier.exe -i
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Broken Internet access because of LSP provider 'ilsp.dll' missing
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.3781944444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Danke für die wertvolle Hilfe.
Gruss, ibond

#8 HKLM\System\CurrentControlSet\Services\a3\
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_A3\
im prinzip nur das loeschen, es sei denn du findest noch Eintraege von Microsoft Update] mnxwmsa.exe.

fixe bitte noch mit dem HijackThis: und starte neu

O10 - Broken Internet access because of LSP provider 'ilsp.dll' missing

scanne mit AdAware(free, updaten vor dem Scannen) und Spybot
http://www.safer-networking.org/index.php?lang=de&page=news
http://www.lavasoft.de/support/download/

Nachtrag:
Verwaltung<Dienste< deaktiviere Remote Registry Service
-------------------------------------------------------
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.(Sicherheitsrisiko)

MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#9 Koenntest du mir bitte noch eine Information geben: (interessiert mich sehr...)
Im ersten Log war:
O4 - HKLM\..\RunServices: [Norton Service Process] Navapsvc.exe
Im zweiten Log nicht mehr.
Offiziell wird gesagt, dass diese exe navapsvc.exe" gehört zu Norton AntiVirus 2003
Ist das der Fall ????Hast du diesen NortonAntivirus? Und warum taucht es nach dem Virenscannen nicht mehr auf ???

Danke
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ganz einfach, den Eintrag hat Escan geloescht. War wohl ein Ago/gaobot, sdbot oder aehnliches.
__________
MfG Ralf
SEO-Spam Hunter

#11 @Raman
Das ist nicht fair...
Da schaut und sucht man, wird mit Norton vertroestet...und dann ist es ein Virus....
Nun ja, jetzt vergesse ich nicht mehr, dass es raus muss.
Danke
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#12 War relativ einfach auszumachen. Keinen Symantec oder Norton Ordner bei den laufenden Prozessen und keine Ordnerangabe bei dem "O4" Eintrag. Also muss sich diese Datei irgendwo im "PATH" befinden. Das ist halt meisstens der Windows und der System(32) Ordner. Auch wenn Norton nicht gerade so eine ausgereifte Software ist, packen sie ihre Dateien da nicht hin.
Das "fiese" dabei ist natuerlich, das der Dateiname auch von Norton fuer seinen Guard benutzt wird.
__________
MfG Ralf
SEO-Spam Hunter

#13 Mich beschleicht die duestere Ahnung, dass ich das (in anderen Logs) noch nie habe fixen lassen (in der Annahme, es sei der Norton...)
Zum Glueck hat der e-scann es erkannt.
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina

Es hat tatsächlich auf der Maschine keinerlei Norton-Installation.

O10 ist nun gefixt. Regsvc abgeschaltet.

Ich habe inzwischen AdAware und Spybot 1.3 auf den neuesten Stand gebracht und erneut laufen lassen. Leider bringt Spybot beim nochmaligen Scannen immer wieder den schon reparierten Eintrag "DSO Exploit". Nun, damit kann ich aber leben, denn ich sehe sonst keinerlei Symptome.

> HKLM\System\CurrentControlSet\Services\a3\
> HKLM\System\CurrentControlSet\Enum\Root\LEGACY_A3\
> im prinzip nur das loeschen, es sei denn du findest
> noch Eintraege von Microsoft Update] mnxwmsa.exe.
Einzig bei den beiden HKLM-Registry-Zeilen stehe ich immer noch auf der Leitung, sorry. Es existieren bei dem Laptop ...Services\a3 mit acht Einträgen, einer davon:
ImagePath C:\winnt\system32\ascv.exe -service
Ausserdem hat es noch zwei Unterverzeichnisse.
Und was soll ich jetzt machen? Alle Werte löschen? Oder nichts machen, weil mnx... nicht drunter ist? Sorry, ich bin heute schwer von Begriff.

Gruss, ibond

#15 Alles im abgesicherten Modus !!!!

1.ImagePath C:\winnt\system32\ascv.exe -service
das ist ein Trojaner , also alles,
ascv und
Services\a3 loeschen.

zusaetzlich suche noch die folgenden Eintraege in der Registry und loesche, wenn sie da sind.
(Eebenfalls die folgenden exe. suchen, wenn du sie mit der WindowsSuchfunktion aufspuerst)
-----------------------------------------------------------------
Backdoor.Agobot.PW ist ein Wurm, der sich remote über IRC-Kanäle verbreitet.
Wenn das lokale Netzwerk nicht durch ausreichende Kennwörter geschützt ist, kopiert sich der
Backdoor.Agobot.PW als ASCV.EXE in den Windows-Systemordner

Ebenfalls kann eine Textdatei namens HOSTS in C:\\drivers\etc
angelegt werden. Diese enthält Namen von Antiviren- und anderen Sicherheits-Websites,
die mit der IP-Adresse 127.0.0.1 verknüpft sind.

Entfernung:

Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.
Bearbeiten der Registrierungseinträge:

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Win32Setup=msgms.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32Setup=msgms.exe

Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
---------------------------------------------------------------------------
WORM_AGOBOT.A3

2. 1. In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run
2. In the right panel, locate and delete the entry or entries:
"Configuration Loader"="wincffg.exe”
3. In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>RunServices
4. In the right panel, locate and delete the entry or entries:
"Configuration Loader"="wincffg.exe”
5. If your system is Windows NT, 2000, and XP, this malware registers itself as a process. To ensure that it will not run as a process on the next startup, locate and delete the following registry key:
HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>a3
6. Close Registry Editor

dann scannst du noch einmal mit dem e-scann. und dem Antivir (vorher updaten) im abgesicherten Modus
und postest das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit