Antiviruskit bleibt hängen, Rechner extrem langsam, Internet tot |
||
---|---|---|
#0
| ||
27.05.2004, 22:50
...neu hier
Beiträge: 4 |
||
|
||
27.05.2004, 23:44
Ehrenmitglied
Beiträge: 6028 |
#2
Anti Spyware Seite http://www.majorgeeks.com/downloads31.html
Anti Virus Seite http://www.majorgeeks.com/downloads29.html Und RAVantivirus Download seite http://www.5star-shareware.com/Utilities/AntivirusScanners/romanian-antivirus-download.html ein "Brenner"hast du doch __________ MfG Argus |
|
|
||
28.05.2004, 00:55
Member
Beiträge: 175 |
#3
http://board.protecus.de/t9391.htm
schau mal dahin dann log file posten und warten bis einer/eine der freundlichen board besucher kommt und den Log analysiert! __________ there's no place like 127.0.0.1 |
|
|
||
28.05.2004, 13:51
Ehrenmitglied
Beiträge: 29434 |
#4
Genau...
Lade, scanne , save und kopiere das Log mit der Maus, dann koennen wir mehr sagen http://board.protecus.de/t9391.htm In der Zwischen Zeit laedst du die mwav.exe, scannst <alle Dateien< und postest das <infizierte<Log http://www.mwti.net/antivirus/free_utilities.asp MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.05.2004 um 13:52 Uhr von Sabina editiert.
|
|
|
||
29.05.2004, 22:16
...neu hier
Themenstarter Beiträge: 4 |
#5
Danke für die vielen Antworten. Dank dieser Hinweise und Links bin ich jetzt deutlich weiter.
In der Zwischenzeit habe ich AVK deinstalliert und stattdessen den Virenscanner AntiVir Personal Edition v.6 installiert. AntiVir hat nun diverse Würmer und Viren entfernt. Einzig bei Worm/Francette.L.1 hatte es Mühe. Zwar hat es diesen angeblich entfernt, aber beim nächsten Scanvorgang war er wieder vorhanden. Ich habe dann bei www.sophos.de/virusinfo eine Anleitung nachlesen können, wie ich mit einer manuellen Regedit-Löschaktion auch den Francette in den Griff bekomme (warum kann das nicht auch AntiVir? War es vielleicht ein Fehler, das Scannen von Archiven abzuschalten?). Jetzt funktioniert der Rechner wieder und ich habe auch wieder Internet-Zugang und konnte so endlich die diversen Microsoft-Patches herunterladen. Was leider schief läuft: - Office 2000 kann nicht mehr gestartet werden. Da muss ich wohl bei Gelegenheit die Original-CDs im Keller suchen gehen. - Der Firewall meldet mir ein Programm, das mehrmals pro Sekunde versucht einen Port zu öffnen. Das Programm heisst c:\winnt\system32\mnxwmsa.exe und ist als Prozess in der Tasklist sichtbar. Der Firewall blockt dieses Programm ab. - Spybot 1.3 bringt beim erneuten Scannen immer wieder den schon reparierten Eintrag "DSO Exploit". - Während ich am Schreiben bin, merke ich plötzlich, dass mein WLAN-Router wie wild am Blinken ist. Ein Blick in die Überwachung der Firewall zeigt ein namenloses Programm, welches via Port 135 mehrmals pro Sekunde auf eine jedesmal neue IP-Adresse kommuniziert. Hoppla, AntiVir ist doch auf dem neuesten Stand und der Microsoft-Patch ist eingespielt. Was geht da vor? Nach einem Neustart ist wieder alles ruhig!?! Also irgendwie bin ich noch nicht clean. Kann mir jemand weiterhelfen? - Darf ich den Prozess mnxwmsa.exe einfach stoppen bzw. das exe löschen? - Ist der Port 135 seriös oder verdächtig (und wieso blockt dann meine Firewall diesen Port nicht ab)? - Habe ich noch einen unbekannten Wurm, der von AntiVir nicht erkannt wird? Kann vielleicht mein Hijack-Log weiterhelfen?: Logfile of HijackThis v1.97.7 Scan saved at 20:06:15, on 29.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINNT\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Intego\NetBarrier\NBService.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\atiptaxx.exe C:\WINNT\LTSMMSG.exe C:\WINNT\system32\mnxwmsa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Intego\NetUpdate\NUScheduler.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Freitag\Eigene Dateien\PC-Tools\Win2000-Tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [Norton Service Process] Navapsvc.exe O4 - HKLM\..\Run: [Microsoft Update] mnxwmsa.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [NetupdateScheduler] C:\Programme\Intego\NetUpdate\NUScheduler.exe O4 - HKLM\..\Run: [NetBarrier] C:\Programme\Intego\NetBarrier\NetBarrier.exe -i O4 - HKLM\..\RunServices: [Norton Service Process] Navapsvc.exe O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe O4 - HKLM\..\RunServices: [Microsoft Update] mnxwmsa.exe O4 - HKCU\..\Run: [Microsoft Update] mnxwmsa.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Broken Internet access because of LSP provider 'ilsp.dll' missing O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.3781944444 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
29.05.2004, 22:27
Ehrenmitglied
Beiträge: 29434 |
#6
Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Gehe in den abgesicherten Modus F8 beim Hochfahren drucken) Dort mit dem HijckThis...scann< und hake an, was ich poste: <fix O4 - HKLM\..\Run: [Microsoft Update] mnxwmsa.exe O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe O4 - HKLM\..\RunServices: [Microsoft Update] mnxwmsa.exe O4 - HKCU\..\Run: [Microsoft Update] mnxwmsa.exe dann machst du mit dem Antivir. einen Vollscann (alle Dateien scannen) einstellen. neustarten Lade e-scann (mwav.exe) scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp ------------------------------------------------------------------------------------------------- Wieder in den abgesicherten Modus gehen: (wenn die mnxwmsa.exe und ascv.exe(Backdoor.Agobot.SZ) nicht geloescht sind musst du sie im abgesicherten Modus manuell loeschen(mit der Suchfunktion von Windows finden und loeschen) und auch die Eintraege in der Registry) Klicke in der Taskleiste auf Start|Ausführen. Gebe "Regedit" ein und drücke Enter. Es öffnet sich der Registrierungseditor. Suche unter HKEY_LOCAL_MACHINE und HKCU die Einträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Windows cfg = ascv.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Windows cfg = ascv.exe HKLM\System\CurrentControlSet\Services\a3\ HKLM\System\CurrentControlSet\Enum\Root\LEGACY_A3\ HKLM\..\Run: [Microsoft Update] mnxwmsa.exe HKCU\..\Run: [Microsoft Update] mnxwmsa.exe HKLM\..\RunServices: [Microsoft Update] mnxwmsa.exe Lösche die Einträge, sofern sie existieren. Schließe den Registrierungseditor. ------------------------------------------------------------------ dann poste das Log noch einmal MfG Sabina http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=b&submit=suche&show=Backdoor.Agobot.SZ __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.05.2004 um 22:43 Uhr von Sabina editiert.
|
|
|
||
30.05.2004, 16:01
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Sabina
Ich bin beeindruckt. Hat alles zugetroffen. e-scann konnte tatsächlich 3 Backdoors und Würmer entfernen bzw. umbenennen. Ich weiss allerdings nicht, wo diese umbenannten Dateien jetzt sind und wie sie heissen. Am Schluss habe ich mnxwmsa.exe und ascv.exe gesucht und NICHT gefunden. Bei den diversen Registry-Löschtips habe ich aber Fragen: Was soll ich mit diesen zwei machen? HKLM\System\CurrentControlSet\Services\a3\ HKLM\System\CurrentControlSet\Enum\Root\LEGACY_A3\ Es hat dort jeweils mehrere Einträge. Soll ich nun alle Einträge löschen? Hier nun der aktuelle Hijack-Log: Logfile of HijackThis v1.97.7 Scan saved at 11:50:24, on 30.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINNT\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Intego\NetBarrier\NBService.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\atiptaxx.exe C:\WINNT\LTSMMSG.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Intego\NetUpdate\NUScheduler.exe C:\Programme\Intego\NetBarrier\NetBarrier.exe C:\WINNT\system32\wuauclt.exe C:\Dokumente und Einstellungen\Freitag\Eigene Dateien\PC-Tools\Win2000-Tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [NetupdateScheduler] C:\Programme\Intego\NetUpdate\NUScheduler.exe O4 - HKLM\..\Run: [NetBarrier] C:\Programme\Intego\NetBarrier\NetBarrier.exe -i O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Broken Internet access because of LSP provider 'ilsp.dll' missing O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.3781944444 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Danke für die wertvolle Hilfe. Gruss, ibond |
|
|
||
30.05.2004, 16:53
Ehrenmitglied
Beiträge: 29434 |
#8
HKLM\System\CurrentControlSet\Services\a3\
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_A3\ im prinzip nur das loeschen, es sei denn du findest noch Eintraege von Microsoft Update] mnxwmsa.exe. fixe bitte noch mit dem HijackThis: und starte neu O10 - Broken Internet access because of LSP provider 'ilsp.dll' missing scanne mit AdAware(free, updaten vor dem Scannen) und Spybot http://www.safer-networking.org/index.php?lang=de&page=news http://www.lavasoft.de/support/download/ Nachtrag: Verwaltung<Dienste< deaktiviere Remote Registry Service ------------------------------------------------------- Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.(Sicherheitsrisiko) MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.05.2004 um 17:14 Uhr von Sabina editiert.
|
|
|
||
30.05.2004, 17:12
Ehrenmitglied
Beiträge: 29434 |
#9
Koenntest du mir bitte noch eine Information geben: (interessiert mich sehr...)
Im ersten Log war: O4 - HKLM\..\RunServices: [Norton Service Process] Navapsvc.exe Im zweiten Log nicht mehr. Offiziell wird gesagt, dass diese exe navapsvc.exe" gehört zu Norton AntiVirus 2003 Ist das der Fall ????Hast du diesen NortonAntivirus? Und warum taucht es nach dem Virenscannen nicht mehr auf ??? Danke Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.05.2004 um 17:13 Uhr von Sabina editiert.
|
|
|
||
30.05.2004, 17:24
Moderator
Beiträge: 7805 |
#10
Ganz einfach, den Eintrag hat Escan geloescht. War wohl ein Ago/gaobot, sdbot oder aehnliches.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.05.2004, 17:26
Ehrenmitglied
Beiträge: 29434 |
#11
@Raman
Das ist nicht fair... Da schaut und sucht man, wird mit Norton vertroestet...und dann ist es ein Virus.... Nun ja, jetzt vergesse ich nicht mehr, dass es raus muss. Danke Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.05.2004, 17:37
Moderator
Beiträge: 7805 |
#12
War relativ einfach auszumachen. Keinen Symantec oder Norton Ordner bei den laufenden Prozessen und keine Ordnerangabe bei dem "O4" Eintrag. Also muss sich diese Datei irgendwo im "PATH" befinden. Das ist halt meisstens der Windows und der System(32) Ordner. Auch wenn Norton nicht gerade so eine ausgereifte Software ist, packen sie ihre Dateien da nicht hin.
Das "fiese" dabei ist natuerlich, das der Dateiname auch von Norton fuer seinen Guard benutzt wird. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.05.2004, 18:26
Ehrenmitglied
Beiträge: 29434 |
#13
Mich beschleicht die duestere Ahnung, dass ich das (in anderen Logs) noch nie habe fixen lassen (in der Annahme, es sei der Norton...)
Zum Glueck hat der e-scann es erkannt. Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.05.2004, 23:16
...neu hier
Themenstarter Beiträge: 4 |
#14
Hallo Sabina
Es hat tatsächlich auf der Maschine keinerlei Norton-Installation. O10 ist nun gefixt. Regsvc abgeschaltet. Ich habe inzwischen AdAware und Spybot 1.3 auf den neuesten Stand gebracht und erneut laufen lassen. Leider bringt Spybot beim nochmaligen Scannen immer wieder den schon reparierten Eintrag "DSO Exploit". Nun, damit kann ich aber leben, denn ich sehe sonst keinerlei Symptome. > HKLM\System\CurrentControlSet\Services\a3\ > HKLM\System\CurrentControlSet\Enum\Root\LEGACY_A3\ > im prinzip nur das loeschen, es sei denn du findest > noch Eintraege von Microsoft Update] mnxwmsa.exe. Einzig bei den beiden HKLM-Registry-Zeilen stehe ich immer noch auf der Leitung, sorry. Es existieren bei dem Laptop ...Services\a3 mit acht Einträgen, einer davon: ImagePath C:\winnt\system32\ascv.exe -service Ausserdem hat es noch zwei Unterverzeichnisse. Und was soll ich jetzt machen? Alle Werte löschen? Oder nichts machen, weil mnx... nicht drunter ist? Sorry, ich bin heute schwer von Begriff. Gruss, ibond |
|
|
||
31.05.2004, 11:35
Ehrenmitglied
Beiträge: 29434 |
#15
Alles im abgesicherten Modus !!!!
1.ImagePath C:\winnt\system32\ascv.exe -service das ist ein Trojaner , also alles, ascv und Services\a3 loeschen. zusaetzlich suche noch die folgenden Eintraege in der Registry und loesche, wenn sie da sind. (Eebenfalls die folgenden exe. suchen, wenn du sie mit der WindowsSuchfunktion aufspuerst) ----------------------------------------------------------------- Backdoor.Agobot.PW ist ein Wurm, der sich remote über IRC-Kanäle verbreitet. Wenn das lokale Netzwerk nicht durch ausreichende Kennwörter geschützt ist, kopiert sich der Backdoor.Agobot.PW als ASCV.EXE in den Windows-Systemordner Ebenfalls kann eine Textdatei namens HOSTS in C:\\drivers\etc angelegt werden. Diese enthält Namen von Antiviren- und anderen Sicherheits-Websites, die mit der IP-Adresse 127.0.0.1 verknüpft sind. Entfernung: Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk. Bearbeiten der Registrierungseinträge: Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Win32Setup=msgms.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Win32Setup=msgms.exe Löschen Sie die Einträge, sofern sie existieren. Schließen Sie den Registrierungseditor. --------------------------------------------------------------------------- WORM_AGOBOT.A3 2. 1. In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>Run 2. In the right panel, locate and delete the entry or entries: "Configuration Loader"="wincffg.exe” 3. In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>RunServices 4. In the right panel, locate and delete the entry or entries: "Configuration Loader"="wincffg.exe” 5. If your system is Windows NT, 2000, and XP, this malware registers itself as a process. To ensure that it will not run as a process on the next startup, locate and delete the following registry key: HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>a3 6. Close Registry Editor dann scannst du noch einmal mit dem e-scann. und dem Antivir (vorher updaten) im abgesicherten Modus und postest das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.05.2004 um 11:44 Uhr von Sabina editiert.
|
|
|
||
Ich versuche einen Windows2000-Laptop von Viren zu reinigen und komme nicht mehr weiter. Ich habe Wurmentferner (Stinger), Firewall (Netbarrier 30-Tage-Testversion) und Antivirus (GData AntivirusKit 30-Tage-Testversion) drauf kopiert und installiert und konnte bereits fünf Würmer entfernen. Trotzdem ist er immer noch verseucht.
Symptome:
- Der Laptop ist EXTREM langsam.
- Internet Explorer findet keine Webseiten mehr
- Antiviruskit bleibt während des Scanvorgangs hängen und wird nicht fertig
- Windows-KB841720-ENU-V4.exe behauptet, dass kein Sasser drauf ist
- Auch der Start im abgesicherten Modus hat keine Verbesserung gebracht
Weil ich keine Internetseiten aufrufen kann, kann ich keine Windows-Updates herunterladen und keine neuen AVK-Vireninfos und keinen Kauf der 30-Tageversion tätigen. Weil AVK nicht durchläuft kann ich den Virus nicht entfernen und auch nicht identifizieren.
Wer weiss weiter?
Gruss, ibond