msgfix.exe, avserve.exe, net_services.exe

[Andropov]

obige dateien installieren sich bei mir immer wieder neu, obwohl ich sie aus der registry und die dateien selbst gelöscht habe.
mein pc war vollgemüllt und ich hab mal angefangen zu löschen bitte um hilfe was sonst noch ein virus / wurm ist ...

Logfile of HijackThis v1.97.7
Scan saved at 21:30:48, on 20.05.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\NetLogon.exe
C:\WINNT\system32\svhosthel.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\7-Zip\7zFMn.exe
C:\DOKUME~1\Jank1\LOKALE~1\Temp\7zO50.tmp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.microsoft.com; *.windowsupdate.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

[Computerdirk]

Hallöchen,

also die avserve.exe gehört beispielsweise zum Sasser-Wurm... Ich denke der erste Schritt wäre mal ein aktuelles Antivirenprogramm zu installieren und über den Rechner laufen zu lassen... Damit können die meisten Probleme sicher bereits gelöst werden und dann schauen wir uns mal den nächsten Schritt an...

[Nikita]

#Deaktiviere die Wiederherstellung (kannst du nach dem Reinigen wieder aktivieren)
http://service1.symantec.com/SUPPORT/IN ... 7105707924



Fixe mit dem HijackThis:

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.microsoft.com; *.windowsupdate.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=
C:\WINNT\system32\svhosthel.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE


Laden :
Deinstalliere den Antivir. (denn er ist nicht funktional, weil nicht unter 04, also im Autostart eingetragen)UND INSTALLIERE IHN NEU
http://www.free-av.com/
nach dem Laden von AntiVir. gehst du in den abgesicherten Modus und machst einen Vollscann
vorher den Antivir. auf <alle Dateien scannen < einstellen

(F8 beim Hochfahren druecken und dort im abgesicherten Modus scannen)

neustarten

#EntfernungsTools fuer <Sasser< laden
http://securityresponse.symantec.com/av ... .tool.html
#Onlinescann
http://housecall.trendmicro.com/
#lade von dieser Site den Search&Destroy und den AdAware-free (vor dem Scannen updaten) und den CWSHredder....scannen
http://www.trojaner-info.de/anleitungen ... blank.html
#Lade den Webwasher
http://www.zdnet.de/downloads/programs/ ... is-wc.html
#Lade die Firewall
http://www.tucows.com/preview/213160.html
#Lade den Stinger und scanne
http://www.pc-mind.de/displayarticle65.html

#Lade den e-scann (mwav.exe), scanne alle Dateien
http://www.mwti.net/antivirus/free_utilities.asp
(Poste dann das Log)

#Aktualisiere den IE und mache unter <Start<Programme< das WindowsUpdate
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp


#Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9
Der Proxy scheint NICHT deine korrekte Enstellung zu sein...also nach der Saeuberung neu einstellen. falls es so ist

-------------------------------------------------------------------------------
Poste hier das Log vom Tool von mwav.exe (Text mit der Maus kopieren) und dein Log vom HijackThis noch einmal.
MfG
Nikita


http://www.net-integration.net/zeroscripts/dntus26.html

[Nikita]

Hallöchen,

also die avserve.exe gehört beispielsweise zum Sasser-Wurm... Ich denke der erste Schritt wäre mal ein aktuelles Antivirenprogramm zu installieren und über den Rechner laufen zu lassen... Damit können die meisten Probleme sicher bereits gelöst werden und dann schauen wir uns mal den nächsten Schritt an...

Hallo Dirk
Hab ich die falsche Brille auf ?
Ich sehe keinen <Sasser<.....
Gruss
Nikita

[Andropov]

ok geht alles klar, aber wie kann ich unter win 2000 die systemwiederherstellung deaktivieren, bzw. ist das notwendig ?!?

[Nikita]

Habe leider nicht viel Ahnung von Win2000, ob es diese Moeglichkeit gibt.
Wenn nicht vorhanden...vergiss es.
MfG
Nikita

[Andropov]

Logfile of HijackThis v1.97.7
Scan saved at 11:51:26, on 21.05.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\NetLogon.exe
C:\WINNT\system32\svhosthel.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\7-Zip\7zFMn.exe
C:\DOKUME~1\Jank1\LOKALE~1\Temp\7zO23E.tmp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKLM\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "Jank1"
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "Jank1"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: AIM (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

e-scan anti virus
File C:\WINNT\system32\NetLogon.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.21. No Action Taken.
File C:\WINNT\system32\svhosthel.exe tagged as not-a-virus:RiskWare.FTP.Serv-U.40. No Action Taken.
File C:\WINNT\system32\NetLogon.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.21. No Action Taken.
File C:\WINNT\system32\svhosthel.exe tagged as not-a-virus:RiskWare.FTP.Serv-U.40. No Action Taken.

[Nikita]

Loesche nun manuell: (auch in der Registry)


C:\WINNT\system32\svhosthel.exe
C:\WINNT\system32\svhosthel.exe
C:\WINNT\system32\NetLogon.exe
C:\WINNT\system32\NetLogon.exe

http://securityresponse.symantec.com/av ... eddon.html

#lade von dieser Site den AdAware-free (updaten)
http://www.trojaner-info.de/anleitungen ... blank.html


Nikita

[Andropov]

ich glaub ich bin dem problem auf die schliche gekommen...

in der registry finde ich in einem unterverzeichnis der Explorer Bars (IE) immer die schlüssel msgfix.exe, net_services.exe, svhosthel.exe
und nach dem start des mozilla firefox sind die dateien auch wieder in das system 32 verzeichnis installiert...

auch wenn ich die schlüssel lösche sind sie nach jedem neustart wieder da, kann mir irgendjemand weiterhelfen... bitte

nikita auf jeden fall schon mal danke für deine hilfe bisher...

[Nikita]

du musst die exe loeschen !!!!!

mit der Suchfunktion von Windows finden und loeschen !!!

und dann auch die Eintraege in der Registry.

---------------------------------------------------------------

Kommst du in den abgesicherten Modus ?
F8 beim Hochfahren druecken.
dort loescht du die exe und die Registryeintraege.

Lade mal den RegCleaner
#in Deutsch einstellen
#man kann die Autostarteintraege kontrollieren
#man kann das System reinigen
Tools<Registry saeubern<alles durchfuehren
#man kommt elegant in die Registry
http://www.comzu-heide.de/Downloadberei ... tility.htm


Nikita

[Andropov]

hab jetz eigentlich schon alles probiert, was du mir geraten hast, alle tools durchprobiert, alle im abgesicherten modus gelöscht, aber diese exe datei lässt sich scheinbar nicht entfernen...

msgfix.exe wird immer automatisch in folgenden schlüssel eingetragen, was vermutlich auch zur folge hat, dass die datei immer wieder ins system32 verzeichnis kopiert wird, egal wie oft man sie löscht...

HKEY_USERS\S-1-5-21-796845957-1993962763-1708537768-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

die msgfix.exe steht immer als schlüssel 001, die net_services.exe meist als 002, falls das weiterhilft...

[Nikita]

http://uk.trendmicro-europe.com/consume ... SN&VSect=T
http://www.trendmicro.com/vinfo/virusen ... RG&VSect=T

###WORM_SDBOT.SN
Loesche alles, was du findest
Oder mache einen Onlinescann
http://housecall.trendmicro.com/
und einen einzelcheck der exe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html

###regsvc.exe- laut recherche eine file die zugriff auf die registry von einem anderen rechner aus zu lässt.
Das ist der "Remote-Registrierungsdienst" von Windows. Dieser Dienst wird standartmässig gestartet.
,Musst du unbedingt du unter Systemsteuerung/Verwaltung/Dienste ein oder abschalten

###svhosthel.exe und C:\%System%\netlogon.exe ist ueberall geloescht ??
-------------------------------------------------------------------------------------
###it drops the file NET_SERVICES.EXE
in the \admin$\%System%\ folder. It then executes this ...
#Lade von dieser Site das EntfernungsTool fuer LovGate.K
http://www3.ca.com/securityadvisor/viru ... x?id=35144

Nikita

[Andropov]

so jetz hätt ich schon gedacht, ich hätts geschafft, aber als ob mich das ding verarschen wolle, finde ich in der registry wieder unter:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

folgende Schlüssel:
000 REG_SZ net_services.exe...
001 REG_SZ msgfix.exe...
002 REG_SZ netlogon.exe...
003 REG_SZ svhosthel.exe...

werds jetz zum zehnten mal löschen, aber ich hab wirklich keine ahnung wieso die immer wieder da sind ?! Ich geb nochmal ein hijackthis log dazu, vielleicht hilfts ja jemandem, DANKE

Logfile of HijackThis v1.97.7
Scan saved at 23:27:36, on 22.05.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Jank1\LOKALE~1\Temp\7zO11.tmp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O9 - Extra button: AIM (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

[Nikita]

http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp

Aktualisiere deinen IE
und mache unter Start<Programme< alle WindowsUpdates.
-----------------------------------------------------------------------------


2.Lade den AdAware (free-version), updaten, scannen
http://www.lavasoft.de/support/download/
3)Lade Search&Destroy
http://beam.to/spybotsd
4)Lade die Firewall
http://www.tucows.com/preview/213160.html
5)Mache einen Onlinescann
#Onlinescann
http://housecall.trendmicro.com/
6) Mache einen Onlinescann mit Symantec
http://www.symantec.com/region/de/avcenter/snoops.html
---------------------------------------------------------------------
http://www.kaspersky.com/remoteviruschk.html
ueberpruefe mit Kaspersky und poste mal, was gesagt wird.
000 REG_SZ net_services.exe...
001 REG_SZ msgfix.exe...
002 REG_SZ netlogon.exe...
003 REG_SZ svhosthel.exe...
----------------------------------------------------------------------



File C:\WINNT\system32\NetLogon.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.21

On certain samples of this worm, the dropped file INST.EXE has been found to be actually non-malicious and works as installer of a legitimate Remote Administration tool.
* dialer.exe (this file name varies)
* raddrv.dll
* AdmDll.dll

It does not create autostart registry entries.

Dialer.exe, better known as RAdmin.21 (Remote Administrator server v2.1), is actually a server component of a legitimate Remote Administrator Tool. This tool works on Windows 2000 and XP platform and runs using "Remote Administrator service" as its service name.
http://www.trendmicro.com/vinfo/virusen ... .A&VSect=T

Du musst unter Verwaltung<Dienste unbedingt Remote Administrator deaktivieren und RAdmin.21
und
* dialer.exe (this file name varies)
* raddrv.dll
* AdmDll.dll
loeschen .


C:\WINNT\system32\regsvc.exe darf dann also im Log nicht mehr erscheinen.

###regsvc.exe- laut recherche eine file die zugriff auf die registry von einem anderen rechner aus zu lässt.
Das ist der "Remote-Registrierungsdienst" von Windows. Dieser Dienst wird standartmässig gestartet.
,Musst du unbedingt du unter Systemsteuerung/Verwaltung/Dienste ein oder abschalten

----------------------------------------------------------------------------------
000 REG_SZ net_services.exe...

001 REG_SZ msgfix.exe...
002 REG_SZ netlogon.exe...
003 REG_SZ svhosthel.exe...

http://securityresponse.symantec.com/av ... eddon.html
http://uk.trendmicro-europe.com/enterpr ... SN&VSect=T
http://www.sophos.com/virusinfo/analyse ... botgv.html

Loesche die exe nicht nur in der Registry, sondern auch ueber die Windowssuchfunktion
Wenn du alle Tools geladen hast und noch einmal manuell geloescht hast, sowie unter Dienste den Dialer abgestellt hast, poste das komplette Log noch mal.
MfG
Nikita