Hallo ich habe ein großes Problem: irgend so ein Virus treibt sein unwesen bei mir. Ich kann nur noch auf sehr wenige internetseiten zugreifen, und mein Norton internet security kann ich nicht mehr aktivieren, da der button zum aktivieren nicht mehr einschaltbar ist:
kann mir einer helfen? verzweifele schon fast...

Logfile of HijackThis v1.99.1
Scan saved at 00:54:30, on 22.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\antivir\AVGUARD.EXE
D:\Programme\antivir\AVWUPSRV.EXE
D:\internet programme\norton\navapsvc.exe
D:\internet programme\norton\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\internet programme\norton\NISSERV.EXE
D:\internet programme\norton\SymProxySvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\inetdata\services.exe
C:\Dokumente und Einstellungen\rene\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
F3 - REG:win.ini: run=C:\WINDOWS\inetdata\services.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{11DE05DB-62A2-4627-B65C-0C30AFE90558}: NameServer = 62.176.224.70 62.176.255.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{11DE05DB-62A2-4627-B65C-0C30AFE90558}: NameServer = 62.176.224.70 62.176.255.254
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\antivir\AVWUPSRV.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\internet programme\norton\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - D:\internet programme\norton\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\internet programme\norton\NISUM.EXE
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - D:\internet programme\norton\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hallo@megarien

Troj/Krepper-G ist ein Trojaner, der die Browser-Einstellungen ändert, neue Software herunterlädt, installiert und startet sowie die HOSTS-Datei so verändert, dass Internetsuchen umgeleitet werden.

Der Trojaner kopiert sich als services.exe in den Ordner Windows\inetdata und erstellt die folgenden Registrierungseinträge, so dass er bei der Benutzeranmeldung oder beim Systemstart automatisch aktiviert wird.
______________________________________________________________

1. Klicke auf Start, dann auf Ausführen
2. in das Eingabefeld tippst du edit c:\windows\win.ini und bestätigst mit OK --> es öffnet sich der MS-Dos Editor
Anmerkung: falls Windows nicht auf C: installiert ist, änderst du den Pfad entsprechend
3. suche im mit [windows] überschriebenen Teil der Datei nach einer Zeile, die etwa so aussieht:

run=C:\WINDOWS\INETG\SERVICES.EXE

4. sollte diese Zeile existieren, so lösche alles, was rechts von run= steht
5. Klicke auf Datei und Speichern
6. Klicke auf Datei und Schließen

Gehe in die Registry

Start-->Ausfuehren--> regedit

loesche mit rechtsklick alle Eintraege, die du findest:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
xp_system = c:\windows\inetndata\services.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
xp_system = c:\windows\inetndata\services.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
run = "C:\\WINDOWS\\inetdata\\services.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\(5321E378-FFAD-4999-8C62-03CA8155F0B3)

HKCU\Software\Microsoft\Internet Explorer\Main\
Enable Browser Extensions = "yes"--> aendere in no

schliesse die Registry

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

falls es noch da ist:

F3 - REG:win.ini: run=C:\WINDOWS\inetdata\services.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

PC neustarten

c:\windows\inetndata\services.exe <----loeschen

#Beispiel HOSTFILE:
öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

kannst du noch mal nachschauen ob alles wieder in ordnung ist?
habe jetzt aber ein anderes problem, der Rechner stürzt oft ab, es komm dann ein bluescreen, wo tcpip.sys zu sehen ist als fehlermeldung....
Außerdem werde ich andauernd von "lsass exploit" aus dem internet angegriffen!
Logfile of HijackThis v1.99.1
Scan saved at 09:01:29, on 24.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\kaspersky\anti-hacker\KAVPF.exe
D:\internet programme\sivka mod\eMule\emule.exe
C:\Dokumente und Einstellungen\rene\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\kaspersky\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{11DE05DB-62A2-4627-B65C-0C30AFE90558}: NameServer = 62.176.224.70 62.176.255.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{11DE05DB-62A2-4627-B65C-0C30AFE90558}: NameServer = 62.176.224.70 62.176.255.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{11DE05DB-62A2-4627-B65C-0C30AFE90558}: NameServer = 62.176.224.70 62.176.255.254
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\kaspersky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Unknown owner - D:\Programme\Norton\SymProxySvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)

Hallo@megarien

Wer die WindowsUpdates nicht macht und somit voellig ungeschuetzt im Net surft, braucht sich nicht zu wundern, wenn der PC voellig verseucht ist.

Winpnp32.exe is W32.Wallz worm.
Winpnp32.exe uses LSSAS vulnerability:
http://www.microsoft.com/technet/securit...
Creates the service with name Windows 32-bit PnP Driver
Internal name: winpnp32
Creates the following file, which is not malicious:
%Windir%\Debug\dcpromo.log
Winpnp32 scans the local network and infects other computers.
Removal: stop and disable Winpnp32 service.

%SysDir%\WINPNP32.EXE is
_______________________________________________________________________

1.Schritt:

Dienste anzeigen:
License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php

2.Schritt:

Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Windows 32-bit PnP Driver (winpnp32)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Windows 32-bit PnP Driver (winpnp32) " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der ""Windows 32-bit PnP Driver (winpnp32) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

3.Schritt:

Download Registry Search Tool :
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

Windows 32-bit PnP Driver

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

winpnp32

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)


4.Schritt:

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)

neustarten--> in den abgesicherten Modus

5.Schritt:

Loesche:
C:\WINDOWS\Debug\dcpromo.log
C:\WINDOWS\System32\winpnp32.exe

6.Schritt:

Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://www.firewallleaktester.com/wwdc.htm



Gehe in die Registry


Start<Ausfuehren<regedit

# Navigieren Sie zum Unterschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

#Aendere Sie diesen Wert im rechten Teilfenster:

"EnableDCOM" = "Y"--> N

# Navigieren Sie zum Unterschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

#Aendere diesen Wert im rechten Teilfenster:

"restrictanonymous" = "dword:00000001"-->dword:00000000

7.Schritt:
dann gehe in den Normalmodus und mache die WindowsUpdates
Microsoft Windows XP and Microsoft Windows XP Service Pack 1 – Download the update
http://www.microsoft.com/technet/securi ... 4-011.mspx

vor allem diesen Patch:
http://www.microsoft.com/technet/securi ... 4-011.mspx
Microsoft Security Bulletin MS04-011
Security Update for Microsoft Windows (835732)

8.Schritt:

Poste das neue Log vom HijackThis

gut mache das jetzt wie beschrieben, poste dann die Ergebnisse...

1.schritt:

PsService v1.1 - local and remote services viewer/controller
Copyright (C) 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

SERVICE_NAME: winpnp32
Enables a computer to recognize and adapt to hardware changes with little or no user input. Stopping or disabling this service will result in system instability.

TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\winpnp32.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows 32-bit PnP Driver
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Restart DELAY: 0 seconds


3.Schritt

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Windows 32-bit PnP Driver" 24.02.2005 15:29:34

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINPNP32\0000]
"DeviceDesc"="Windows 32-bit PnP Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winpnp32]
"DisplayName"="Windows 32-bit PnP Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32\0000]
"DeviceDesc"="Windows 32-bit PnP Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32]
"DisplayName"="Windows 32-bit PnP Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32\0000]
"DeviceDesc"="Windows 32-bit PnP Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32]
"DisplayName"="Windows 32-bit PnP Driver"



3.1 schritt

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winpnp32" 24.02.2005 15:33:20

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINPNP32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINPNP32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINPNP32\0000]
"Service"="winpnp32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winpnp32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winpnp32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winpnp32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winpnp32\Enum]
"0"="Root\\LEGACY_WINPNP32\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32\0000]
"Service"="winpnp32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32\0000]
"Service"="winpnp32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32\Enum]
"0"="Root\\LEGACY_WINPNP32\\0000"

hier nun das letztendliche Ergebnis, habe soweit alle schritte durchgeführt, aber das letzte update ...

vor allem diesen Patch:
http://www.microsoft.com/technet/securi ... 4-011.mspx
Microsoft Security Bulletin MS04-011
Security Update for Microsoft Windows (835732)

...konnte ich nicht installieren, glaube dafür brauche ich sp2, welches ich nicht habe! Ansonsten konnte ich den Wurm hofe ich in Schach halten...Was mich wundert, ist, dass mein Kaspersky 5.0 den Virus nicht entfernt hat.



Logfile of HijackThis v1.99.1
Scan saved at 15:56:48, on 24.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\kaspersky\anti-hacker\KAVPF.exe
C:\Dokumente und Einstellungen\rene\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\kaspersky\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{11DE05DB-62A2-4627-B65C-0C30AFE90558}: NameServer = 62.176.224.70 62.176.255.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{11DE05DB-62A2-4627-B65C-0C30AFE90558}: NameServer = 62.176.224.70 62.176.255.254
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\kaspersky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Unknown owner - D:\Programme\Norton\SymProxySvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

vor allem diesen Patch:
http://www.microsoft.com/technet/securi ... 4-011.mspx
Microsoft Security Bulletin MS04-011
Security Update for Microsoft Windows (835732)

habe ich jetzt doch installiert bekommen

megarien

du solltest UNBEDINGT die WindowsUpdates machen (also SP2 laden)
wenn du das nicht kannst, dann lade wenigstens ALLE Sicherheitsupdates, die freigegeben sind .