lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » LösungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
04.12.2004, 18:01
Ehrenmitglied
Beiträge: 29434 |
||
|
||
04.12.2004, 18:45
...neu hier
Beiträge: 5 |
#167
Erst mal vielen Dank für deine Hilfe. Leider hab ich immer noch ein paar Probleme. Ich hab beim Scannen mit HijackThis nen Fehler gemacht, der PC lief mit einem eingecshränkten Benutzer.
Ich finde leider die Dateien zum löschen nicht. Weder im System32 Ordner noch übder die Suchfunktion in der Regestrie. wie komm ich denn an die Dateien? Ich hab noch einmal einen Log (diesmal als Admin *g*) erstellt: Logfile of HijackThis v1.99.0 (BETA) Scan saved at 18:56:33, on 04.12.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\rvs_cent.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe \Matze\backup\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6B3B0D02-AEA4-4D8C-BD17-10DD7099645F}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe O23 - Service: AVP Control Centre Service - Unknown - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe (file missing) O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: KAV Monitor Service - Unknown - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe (file missing) O23 - Service: Microsoft NetWork FireWall Services - Unknown - Net_Services.exe (file missing) O23 - Service: Microsoft NetWork FireWall Services - Unknown - NetServices.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe O23 - Service: RVS CAPI - RVS Datentechnik GmbH, Munich - C:\WINNT\system32\rvs_cent.exe Matze |
|
|
||
04.12.2004, 19:03
Ehrenmitglied
Beiträge: 29434 |
#168
Hallo@matze004
Also im Admin-Konto sehe ich, dass dein PC wahrscheinlich mit dem W32/Lovgate-AA-Virus verseucht ist. W32/Lovgate-AA versucht, sich mit SCM (Service Control Managern) auf Rechnern im lokalen Netzwerk zu verbinden, wobei er die Benutzernamen "Administrator" und "Guest" und mehrere einfache Kennwörter ausprobiert. Wenn eine Verbindung aufgebaut wurde, kopiert sich W32/Lovgate-AA nach \admin\system32\Net_Services.exe auf den remoten Rechner und startet sich mit dem Dienstnamen "Microsoft NetWork FireWall Services". Um seine Erkennung zu vermeiden, versucht W32/Lovgate-AA, Prozesse zu beenden, deren Namen folgende Zeichenfolgen enthalten: KV-KAV Duba-NAV kill-RavMon.exe Rfw.exe-Gate McAfee-Symantec SkyNet-rising Jede Stunde sendet W32/Lovgate-AA eine E-Mail an den Autor, um über das infizierte System zu informieren. Deshalb ist ziemlich warscheinlich...dass dein Kaspersky-Virenscanner nur noch Dekoration ist http://www.sophos.de/virusinfo/analyses/w32lovgateaa.html Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. stoppen und eaktivieren Dienst:Service: Microsoft NetWork FireWall Services Dienst:Service: Microsoft NetWork FireWall Services Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k ->Beispiel/Löschen: 1.) öffne das HijackThis: 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINNT\System32\msnngr32.exe 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein. C:\WINNT\system32\mwd.exe C:\WINNT\system32\iglmtray.exe C:\WINNT\system32\msmonk32.exe C:\WINNT\system32\gesfm32.exe C:\WINNT\system32\msmsgri32.exe Erst beim letzten klickst du "Yes" und startest den PC neu. arbeite das ab und berichte: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.12.2004 um 19:08 Uhr von Sabina editiert.
|
|
|
||
04.12.2004, 19:54
Moderator
Beiträge: 6466 |
||
|
||
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [msmanagerw32] C:\WINNT\System32\msnngr32.exe
O4 - HKLM\..\Run: [Windows Management Instrumentation] C:\WINNT\system32\mwd.exe
O4 - HKLM\..\Run: [WUPD] C:\WINNT\system32\iglmtray.exe
O4 - HKLM\..\Run: [mssyslanhelper] C:\WINNT\system32\msmonk32.exe
O4 - HKLM\..\Run: [Microsoft Netview] gesfm32.exe
O4 - HKLM\..\Run: [System Initialization] C:\WINNT\system32\msmsgri32.exe
O4 - HKLM\..\RunServices: [Microsoft Netview] gesfm32.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
neustarten
Loesche die gefixten Dateien in Windows und in der Registry.
C:\WINNT\System32\msnngr32.exe
C:\WINNT\system32\mwd.exe
C:\WINNT\system32\iglmtray.exe
C:\WINNT\system32\msmonk32.exe
C:\WINNT\system32\gesfm32.exe
C:\WINNT\system32\msmsgri32.exe
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
Dann poste das HijackTHis-Log damit.
HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
mfg
Sabina
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit