MSblast/Lovesan oder oder doch nicht

#0
11.09.2004, 23:54
Member

Beiträge: 15
#1 Hi all,
ein Freund hatte auf seinem W2k Rechner kurz nach dem booten die Meldung "SVChost.exe hat fehler verursacht" und der Rechner wird heruntergefahren, ohne das man irgendwas machen kann.
Klar habe ich gedacht: das ist MSblast
ich habe im abgesicherten Modus gestartet und alle MSBlast - EX Tools gestartet die ich frisch von den Antivir Firmen hatte. Aber keiner hat was gefunden, geschweige denn entfernt, auch Antivir mit aktuellen signaturen hat nix gefunden.
Nach dem Entfernen und umbenennen der Datei winwjn.exe aus der Registry (localmachine - Run)
war der Spuk vorbei. anschliessend das RPC Fix aufgespielt und alles lief rund.

leider meldet Zonealarm alle paar minuten, das winlogon.exe Daten verschicken will. Nu ist Winlogon die Win Anmeldung und ich bin mir nicht sicher ob das alles sein Richtigkeit hat.

thx Bratgitarre
__________
- Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de
Seitenanfang Seitenende
12.09.2004, 00:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @bratgitarre

Das ist nicht der Sasser....
vielleicht der :W32.Neveg.A@mm
http://securityresponse.symantec.com/avcenter/venc/data/w32.neveg.a@mm.html

Aber dazu muesste man das HijackThis sehen.

Lade das HijackThis (ganz oben, auf der Site)
scanne, save und kopiere das Log ins Forum.
#HijackThis-Auswertung
http://www.hijackthis.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.09.2004 um 00:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.09.2004, 21:49
Member

Themenstarter

Beiträge: 15
#3 Hi,

hoffentlich hilft das weiter.. Acja, einen zusätzlichn Buttonbar im Browser hat er auch noch gehabt, der mit Spybot ebtfernt wurde. Unten im Log die Search Einträge im IE sehen aber nicht richtig sauber aus?!

danke Bratgitarre

Logfile of HijackThis v1.98.2
Scan saved at 22:20:36, on 13.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\WinPortrait\wpctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\WINNT\agfguard.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
C:\Programme\WinPortrait\floater.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://quick-searcher.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6340AC31-6364-4DEE-8F25-257BD160F95F} - C:\WINNT\system32\cpbp.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
O4 - Global Startup: ISDN Guard.lnk = C:\WINNT\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:m*h*t*m*l:file://C*:*\fo*o*.*m*h*t!http://8*1.2*11.105.37/33/onli*ne.*chm::/on*-line.e*xe
// edit by Lukas ... * - Zeichen hinzugefügt da sich sonst Antivir + IE drüber ärgern und Fehlalarme auslösen!
O18 - Filter: text/html - {02DE1420-9F84-44EF-8188-64FAD3C3961D} - C:\WINNT\system32\cpbp.dll
O18 - Filter: text/plain - {02DE1420-9F84-44EF-8188-64FAD3C3961D} - C:\WINNT\system32\cpbp.dll
O21 - SSODL: eplrr - {6118AAAD-AA5D-4CA1-A069-61AF3DC09395} - C:\WINNT\system32\eplrr0.dll (file missing)
__________
- Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de
Seitenanfang Seitenende
15.09.2004, 01:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo @bratgitarre

Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

fixe mit dem HijackThis, dann neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://quick-searcher.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {6340AC31-6364-4DEE-8F25-257BD160F95F} - C:\WINNT\system32\cpbp.dll (file missing)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://81.211.105.37/11221/online.chm::/on-line.exe
O18 - Filter: text/html - {02DE1420-9F84-44EF-8188-64FAD3C3961D} - C:\WINNT\system32\cpbp.dll
O18 - Filter: text/plain - {02DE1420-9F84-44EF-8188-64FAD3C3961D} - C:\WINNT\system32\cpbp.dll
O21 - SSODL: eplrr - {6118AAAD-AA5D-4CA1-A069-61AF3DC09395} - C:\WINNT\system32\eplrr0.dll (file missing)

neustarten

LEERE FOLGENDE ORDNER:
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\*.*

#Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm
und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach Virus Log Information. und das neue Log vom HijackThis posten.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.09.2004 um 01:10 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.09.2004, 16:20
Member

Themenstarter

Beiträge: 15
#5 Hi,
danke erstmal für die Infos. Ich habe das log schon bei www.hijackthis.de unterdie Lupe nehmen lassen und eine Menge entfernt. Was ist Escan? ist das ein Virenscanner?

mfG Bratgitarre
__________
- Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de
Seitenanfang Seitenende
18.09.2004, 01:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo bratgitarre

Du solltest genau das fixen, was ich gepostet hatte (!)
dann neustarten und mit dem Antivirentol Escan scannen.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: