lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

Thema ist geschlossen!
Thema ist geschlossen!
#0
04.12.2004, 18:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#166 Hallo@matze004

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [msmanagerw32] C:\WINNT\System32\msnngr32.exe
O4 - HKLM\..\Run: [Windows Management Instrumentation] C:\WINNT\system32\mwd.exe
O4 - HKLM\..\Run: [WUPD] C:\WINNT\system32\iglmtray.exe
O4 - HKLM\..\Run: [mssyslanhelper] C:\WINNT\system32\msmonk32.exe
O4 - HKLM\..\Run: [Microsoft Netview] gesfm32.exe
O4 - HKLM\..\Run: [System Initialization] C:\WINNT\system32\msmsgri32.exe
O4 - HKLM\..\RunServices: [Microsoft Netview] gesfm32.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

neustarten

Loesche die gefixten Dateien in Windows und in der Registry.
C:\WINNT\System32\msnngr32.exe
C:\WINNT\system32\mwd.exe
C:\WINNT\system32\iglmtray.exe
C:\WINNT\system32\msmonk32.exe
C:\WINNT\system32\gesfm32.exe
C:\WINNT\system32\msmsgri32.exe

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

Dann poste das HijackTHis-Log damit.
HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip

mfg
Sabina


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.12.2004 um 18:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.12.2004, 18:45
...neu hier

Beiträge: 5
#167 Erst mal vielen Dank für deine Hilfe. Leider hab ich immer noch ein paar Probleme. Ich hab beim Scannen mit HijackThis nen Fehler gemacht, der PC lief mit einem eingecshränkten Benutzer.

Ich finde leider die Dateien zum löschen nicht. Weder im System32 Ordner noch übder die Suchfunktion in der Regestrie. wie komm ich denn an die Dateien?

Ich hab noch einmal einen Log (diesmal als Admin *g*) erstellt:

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 18:56:33, on 04.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\rvs_cent.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
\Matze\backup\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B3B0D02-AEA4-4D8C-BD17-10DD7099645F}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service - Unknown - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe (file missing)
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: KAV Monitor Service - Unknown - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe (file missing)
O23 - Service: Microsoft NetWork FireWall Services - Unknown - Net_Services.exe (file missing)
O23 - Service: Microsoft NetWork FireWall Services - Unknown - NetServices.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: RVS CAPI - RVS Datentechnik GmbH, Munich - C:\WINNT\system32\rvs_cent.exe


Matze
Seitenanfang Seitenende
04.12.2004, 19:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#168 Hallo@matze004


Also im Admin-Konto sehe ich, dass dein PC wahrscheinlich mit dem W32/Lovgate-AA-Virus verseucht ist.

W32/Lovgate-AA versucht, sich mit SCM (Service Control Managern) auf Rechnern im lokalen Netzwerk zu verbinden, wobei er die Benutzernamen "Administrator" und "Guest" und mehrere einfache Kennwörter ausprobiert. Wenn eine Verbindung aufgebaut wurde, kopiert sich W32/Lovgate-AA nach \admin\system32\Net_Services.exe auf den remoten Rechner und startet sich mit dem Dienstnamen "Microsoft NetWork FireWall Services".

Um seine Erkennung zu vermeiden, versucht W32/Lovgate-AA, Prozesse zu beenden, deren Namen folgende Zeichenfolgen enthalten:
KV-KAV
Duba-NAV
kill-RavMon.exe
Rfw.exe-Gate
McAfee-Symantec
SkyNet-rising

Jede Stunde sendet W32/Lovgate-AA eine E-Mail an den Autor, um über das infizierte System zu informieren.

Deshalb ist ziemlich warscheinlich...dass dein Kaspersky-Virenscanner nur noch Dekoration ist
http://www.sophos.de/virusinfo/analyses/w32lovgateaa.html

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

stoppen und eaktivieren

Dienst:Service: Microsoft NetWork FireWall Services
Dienst:Service: Microsoft NetWork FireWall Services

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

->Beispiel/Löschen:
1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINNT\System32\msnngr32.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINNT\system32\mwd.exe
C:\WINNT\system32\iglmtray.exe
C:\WINNT\system32\msmonk32.exe
C:\WINNT\system32\gesfm32.exe
C:\WINNT\system32\msmsgri32.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

arbeite das ab und berichte:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.12.2004 um 19:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.12.2004, 19:54
Moderator
Avatar joschi

Beiträge: 6466
#169 Ein Großteil der letzten Posts gehören nicht zum Thema- und 12 Seiten auch ausreichen ;).


__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende