Ständige Virusmeldung Lovesan

  • Liebes PC-spezial-Team!
    Ich glaube jetzt brauche ich dringend Eure Hilfe.
    Ich benutze Windows -XP, anti-Vir und Outpost-firewall.
    AntiVir wird immer aktuallisiert. Seit einigen Tagen bekomme ich immer, wenn ich ins Internet gehe oder eine Mail verschicke folgende Meldung:
    "Datei C: WindowsSystem32MS Blast.Exe: enthält signatur des Wurmes Worm/Lovesan.A!
    Ich lösche dann ständig die Datei und muss dann anschließend über "Start" "Asuführen" den Befehl"regsvr32 urlmon.dll" eingeben und einen Neustart durchführen. Dieses Spiel mach ich täglich mehrmals. (Dieser "Befehl" stammt übrigens auch von Euch. Habe ich am 4.12.02 mal erhalten, nachdem ich keine Links mehr anklicken konnte.)
    Vielleicht ist dies auch der Grund, dass mein Rechner sehr oft abstürzt, hängenbleibt oder unheimlich langsam ist?
    Könnt ihr mir wieder mal helfen??!
    Vielen Dank heute schon.

  • Hallo TK,
    > Liebes PC-spezial-Team!
    > Ich glaube jetzt brauche ich dringend Eure Hilfe.
    > Ich benutze Windows -XP, anti-Vir und Outpost-firewall.
    > AntiVir wird immer aktuallisiert. Seit einigen Tagen bekomme ich
    > immer, wenn ich ins Internet gehe oder eine Mail verschicke
    > folgende Meldung:
    > "Datei C: WindowsSystem32MS Blast.Exe: enthält signatur des
    > Wurmes Worm/Lovesan.A!
    > Ich lösche dann ständig die Datei und muss dann anschließend über
    > "Start" "Asuführen" den Befehl"regsvr32 urlmon.dll" eingeben und
    > einen Neustart durchführen. Dieses Spiel mach ich täglich
    > mehrmals. (Dieser "Befehl" stammt übrigens auch von Euch. Habe
    > ich am 4.12.02 mal erhalten, nachdem ich keine Links mehr
    > anklicken konnte.)
    > Vielleicht ist dies auch der Grund, dass mein Rechner sehr oft
    > abstürzt, hängenbleibt oder unheimlich langsam ist?
    Geh auf folgende Seite:
    http://securityresponse1.syman…l.nsf/html/de-w32.blaster
    .worm.html
    Sollte der Link umgebrochen sein, kopier ihn bitte zusammen in Deine
    Adressleiste. Auf dieser Seite von Symantec findest Du unter dem
    Link "Programm" (im Text) ein Tool von Symantec, daß Du herunterlädtst
    und auf Deinem Rechner laufen läßt. Da die Infektion durch MS_Blaster
    via Internet geschieht, solltest Du in Deiner Firewall den Zugriff
    auf TCP-Port 4444 unterbinden.
    Auf der gleichen Seite findest Du einen Link zu Microsoft, von wo Du
    ebenfalls ein Tool herunterlädtst. Dieses Tool ist ein Patch von MS,
    der NACH der Entferneung des Virus (durch das Tool von Symantec),
    den Rechner schützt, indem es das Sicherheitsloch schließt, das von
    Lovesan ausgenutzt wird. Also nochmal Kurzfassung:
    1. auf Symantec-Seite (Link) gehen.
    2. MS-Patch und Symantec-Tool herunter laden.
    3. Rechner vom I-Net trennen
    4. Tool ausführen und Worm beseitigen lassen
    5. evtl. Neustart (nicht immer...)
    6. Ausführen des Patches von Microsoft
    7. feddich! Rechner wieder I.O.
    Wir bitten um ein kurzes Feedback, ob das Problem jetzt behoben ist!
    Viele Grüße
    --
    Boory - Mitglied im Team der pc-special.net,
    kostenlose Computer-Hilfe in 24h - Webmastertools - Scripte - und mehr
    /)/) url: http://www.pc-special.net - email: boory@pc-special.net
    =(;)= Westernhobby: http://texasnet.de | Wein: http://wein-litzel.de
    (")_(") Dogfood: http://trapper-sam.de | Country: http://pocohill.de

    [i][b]Boory Member der PC-Special.net seit 2002 kostenlose Computer-Hilfe in 24h - Webmastertools, Scripte und mehr[/b][/i]
  • Danke für die prompte Antwort. Das Problem muß aber ein anderes sein. Diesen
    Tool habe ich schon aufgespielt aber der Windows Patch läßt sich nicht
    installieren. Die Virensuche meldet auch immer "kein Virus".
    AntiVir verhindert auch, dass der Virus reinkommt. Ich erhalte immer nur
    eine "Warnung" wie oben angegeben. Einmal sagt er dann Lovesan A dann B dann
    wieder F.1.
    Ich kann z.B. auch kein Windows Update machen (Sicherheitseinstellungen sind
    o.k.). Vielleicht gibt es ja noch einen anderen Lösungsweg. Danke
    ----- Original Message -----
    From: "Boory - VIP der PC-Special (boory@pc-special.net)"
    <helpline@pc-special.net>
    To: <helparchiv@pc-special.net>
    Cc: "TK" <info@tk-immo-bayern.de>
    Sent: Friday, October 24, 2003 8:31 AM
    Subject: [28517] 52: Ständige Virusmeldung Lovesan
    > Hallo TK,
    >
    > > Liebes PC-spezial-Team!
    > > Ich glaube jetzt brauche ich dringend Eure Hilfe.
    > > Ich benutze Windows -XP, anti-Vir und Outpost-firewall.
    > > AntiVir wird immer aktuallisiert. Seit einigen Tagen bekomme ich
    > > immer, wenn ich ins Internet gehe oder eine Mail verschicke
    > > folgende Meldung:
    > > "Datei C: WindowsSystem32MS Blast.Exe: enthält signatur des
    > > Wurmes Worm/Lovesan.A!
    > > Ich lösche dann ständig die Datei und muss dann anschließend über
    > > "Start" "Asuführen" den Befehl"regsvr32 urlmon.dll" eingeben und
    > > einen Neustart durchführen. Dieses Spiel mach ich täglich
    > > mehrmals. (Dieser "Befehl" stammt übrigens auch von Euch. Habe
    > > ich am 4.12.02 mal erhalten, nachdem ich keine Links mehr
    > > anklicken konnte.)
    > > Vielleicht ist dies auch der Grund, dass mein Rechner sehr oft
    > > abstürzt, hängenbleibt oder unheimlich langsam ist?
    >
    > Geh auf folgende Seite:
    >
    http://securityresponse1.syman…l.nsf/html/de-w32.blaster
    > .worm.html
    > Sollte der Link umgebrochen sein, kopier ihn bitte zusammen in Deine
    > Adressleiste. Auf dieser Seite von Symantec findest Du unter dem
    > Link "Programm" (im Text) ein Tool von Symantec, daß Du herunterlädtst
    > und auf Deinem Rechner laufen läßt. Da die Infektion durch MS_Blaster
    > via Internet geschieht, solltest Du in Deiner Firewall den Zugriff
    > auf TCP-Port 4444 unterbinden.
    > Auf der gleichen Seite findest Du einen Link zu Microsoft, von wo Du
    > ebenfalls ein Tool herunterlädtst. Dieses Tool ist ein Patch von MS,
    > der NACH der Entferneung des Virus (durch das Tool von Symantec),
    > den Rechner schützt, indem es das Sicherheitsloch schließt, das von
    > Lovesan ausgenutzt wird. Also nochmal Kurzfassung:
    > 1. auf Symantec-Seite (Link) gehen.
    > 2. MS-Patch und Symantec-Tool herunter laden.
    > 3. Rechner vom I-Net trennen
    > 4. Tool ausführen und Worm beseitigen lassen
    > 5. evtl. Neustart (nicht immer...)
    > 6. Ausführen des Patches von Microsoft
    > 7. feddich! Rechner wieder I.O.
    >
    > Wir bitten um ein kurzes Feedback, ob das Problem jetzt behoben ist!
    >
    > Viele Grüße
    >
    > --
    > Boory - Mitglied im Team der pc-special.net,
    > kostenlose Computer-Hilfe in 24h - Webmastertools - Scripte - und mehr
    > /)/) url: http://www.pc-special.net - email: boory@pc-special.net
    > =(;)= Westernhobby: http://texasnet.de | Wein: http://wein-litzel.de
    > (")_(") Dogfood: http://trapper-sam.de | Country: http://pocohill.de
    >
    > --
    > Link zum PC-Special.net Forum:
    > http://www.pc-special.net/?idart6&fnavQ.52.28553.1
    >

  • Hallo,
    wird beim Versuch den Patch zu installieren eine Fehlermeldung
    angezeigt, oder was passiert? Ohne Patch bringt die Beseitigung von
    Lovesan alias Blaster meist rein gar nichts.
    --
    Paul Franke - PC-Special Team, Helpline-Administrator
    Kostenlose Computer-Hilfe in 24h - Tipps, Tricks, Skripte und mehr
    www: http://www.pc-special.net/ - e-mail: paule@pc-special.net

  • Hallo Traudi,
    > Danke für die prompte Antwort. Das Problem muß aber ein anderes
    > sein. Diesen
    > Tool habe ich schon aufgespielt aber der Windows Patch läßt sich nicht
    > installieren. Die Virensuche meldet auch immer "kein Virus".
    Welche Fehlermeldung(en) bekommst Du denn beim Einspielen des
    MS-Patches? Normalerweise sollte diese Installation eigentlich
    problemlos durchlaufen, da dabei lediglich ein paar Systemdateien
    ersetzt werden. Du nimmst schon den Patch von dieser Seite:
    http://www.microsoft.com/techn…sp?url=/technet/security/
    bulletin/MS03-026.asp ?
    scroll dort ein Bisschen nach unten, dann kannst Du Dir Dein
    Betriebssystem raussuchen und den entsprechenden Patch downloaden.
    Auf der dann folgenden Seite solltest Du vor dem Download Die
    Sprache des Patches unter "Language" auf "Deutsch" umstellen.
    > AntiVir verhindert auch, dass der Virus reinkommt. Ich erhalte immer nur
    > eine "Warnung" wie oben angegeben. Einmal sagt er dann Lovesan A
    > dann B dann wieder F.1.
    > Ich kann z.B. auch kein Windows Update machen
    > (Sicherheitseinstellungen sind
    > o.k.). Vielleicht gibt es ja noch einen anderen Lösungsweg. Danke
    Der Patch hat mit den Sicherheitseinstellungen normalerweise nichts zu tun.
    Wichtig ist nur, daß Du auf Deinem PC als Administrator oder mit einem
    Account mit Admin-Rechten angemeldet bist. Dann "darfst" Du auch Sachen
    installieren. Fehlen Dir diese Rechte, wird Dir u.U. eine Installation
    verweigert.
    Wir bitten um ein kurzes Feedback, ob das Problem jetzt behoben ist!
    Viele Grüße
    --
    Boory - Mitglied im Team der pc-special.net,
    kostenlose Computer-Hilfe in 24h - Webmastertools - Scripte - und mehr
    /)/) url: http://www.pc-special.net - email: boory@pc-special.net
    =(;)= Westernhobby: http://texasnet.de | Wein: http://wein-litzel.de
    (")_(") Dogfood: http://trapper-sam.de | Country: http://pocohill.de

    [i][b]Boory Member der PC-Special.net seit 2002 kostenlose Computer-Hilfe in 24h - Webmastertools, Scripte und mehr[/b][/i]
  • Danke für Deine Antwort.
    Ich habe den Patsch runtergeladen. Beim installieren kommt dann folgende
    Meldung:
    "Die Integrität der Datei update.inf konnte nicht verifiziert werden.
    Stellen Sie sicher, dass der Kryptographiedienst auf dem Computer ausgeführt
    wird."
    Vielleicht ist das ja die Wurzel allen Übels. Ich konnte den Patch übrigens
    nicht vom Internet runterladen, ich bekam dann ständig irgendwelche
    "Administratorenanweisungen" - ich hab ihn von einer CD. Als ich es über
    Windows update versucht habe, kam wieder eine Virenwarnung. Die
    DFÜ-Verbindung ließ sich auch nicht mehr schließen, ich mußte den Rechner
    runterfahren. Vorher mußte ich noch unter START - AUSFÜHREN- den Befehl
    "regsvr32 urlmon.dll" eingeben, um wieder ins Internet zu kommen.
    Vielleicht hilft das etwas weiter - ich weiß mir schon keinen Rat mehr.
    Vielen Dank für Eure Hilfe.
    ----- Original Message -----
    From: "Paul Franke - PC-Special (paule@pc-special.net)"
    <helpline@pc-special.net>
    To: <helparchiv@pc-special.net>
    Cc: "TK" <info@tk-immo-bayern.de>
    Sent: Friday, October 24, 2003 1:57 PM
    Subject: [28517] 52: Ständige Virusmeldung Lovesan
    > Hallo,
    >
    > wird beim Versuch den Patch zu installieren eine Fehlermeldung
    > angezeigt, oder was passiert? Ohne Patch bringt die Beseitigung von
    > Lovesan alias Blaster meist rein gar nichts.
    >
    > --
    > Paul Franke - PC-Special Team, Helpline-Administrator
    > Kostenlose Computer-Hilfe in 24h - Tipps, Tricks, Skripte und mehr
    > www: http://www.pc-special.net/ - e-mail: paule@pc-special.net
    >
    > --
    > Link zum PC-Special.net Forum:
    > http://www.pc-special.net/?idart6&fnavQ.52.28571.1
    >

  • Danke für Deine Antwort.
    Ich habe den Patsch runtergeladen. Beim installieren kommt dann folgende
    Meldung:
    "Die Integrität der Datei update.inf konnte nicht verifiziert werden.
    Stellen Sie sicher, dass der Kryptographiedienst auf dem Computer ausgeführt
    wird."
    Vielleicht ist das ja die Wurzel allen Übels. Ich konnte den Patch übrigens
    nicht vom Internet runterladen, ich bekam dann ständig irgendwelche
    "Administratorenanweisungen" - ich hab ihn von einer CD. Als ich es über
    Windows update versucht habe, kam wieder eine Virenwarnung. Die
    DFÜ-Verbindung ließ sich auch nicht mehr schließen, ich mußte den Rechner
    runterfahren. Vorher mußte ich noch unter START - AUSFÜHREN- den Befehl
    "regsvr32 urlmon.dll" eingeben, um wieder ins Internet zu kommen.
    Vielleicht hilft das etwas weiter - ich weiß mir schon keinen Rat mehr.
    Vielen Dank für Eure Hilfe.
    ----- Original Message -----
    From: "Boory - VIP der PC-Special (boory@pc-special.net)"
    <helpline@pc-special.net>
    To: <helparchiv@pc-special.net>
    Cc: "TK" <info@tk-immo-bayern.de>
    Sent: Sunday, October 26, 2003 7:47 AM
    Subject: [28517] 52: Ständige Virusmeldung Lovesan
    > Hallo Traudi,
    >
    > > Danke für die prompte Antwort. Das Problem muß aber ein anderes
    > > sein. Diesen
    > > Tool habe ich schon aufgespielt aber der Windows Patch läßt sich nicht
    > > installieren. Die Virensuche meldet auch immer "kein Virus".
    >
    > Welche Fehlermeldung(en) bekommst Du denn beim Einspielen des
    > MS-Patches? Normalerweise sollte diese Installation eigentlich
    > problemlos durchlaufen, da dabei lediglich ein paar Systemdateien
    > ersetzt werden. Du nimmst schon den Patch von dieser Seite:
    >
    http://www.microsoft.com/techn…sp?url=/technet/security/
    > bulletin/MS03-026.asp ?
    > scroll dort ein Bisschen nach unten, dann kannst Du Dir Dein
    > Betriebssystem raussuchen und den entsprechenden Patch downloaden.
    > Auf der dann folgenden Seite solltest Du vor dem Download Die
    > Sprache des Patches unter "Language" auf "Deutsch" umstellen.
    >
    > > AntiVir verhindert auch, dass der Virus reinkommt. Ich erhalte immer nur
    > > eine "Warnung" wie oben angegeben. Einmal sagt er dann Lovesan A
    > > dann B dann wieder F.1.
    > > Ich kann z.B. auch kein Windows Update machen
    > > (Sicherheitseinstellungen sind
    > > o.k.). Vielleicht gibt es ja noch einen anderen Lösungsweg. Danke
    >
    > Der Patch hat mit den Sicherheitseinstellungen normalerweise nichts zu
    tun.
    > Wichtig ist nur, daß Du auf Deinem PC als Administrator oder mit einem
    > Account mit Admin-Rechten angemeldet bist. Dann "darfst" Du auch Sachen
    > installieren. Fehlen Dir diese Rechte, wird Dir u.U. eine Installation
    > verweigert.
    >
    > Wir bitten um ein kurzes Feedback, ob das Problem jetzt behoben ist!
    >
    > Viele Grüße
    >
    > --
    > Boory - Mitglied im Team der pc-special.net,
    > kostenlose Computer-Hilfe in 24h - Webmastertools - Scripte - und mehr
    > /)/) url: http://www.pc-special.net - email: boory@pc-special.net
    > =(;)= Westernhobby: http://texasnet.de | Wein: http://wein-litzel.de
    > (")_(") Dogfood: http://trapper-sam.de | Country: http://pocohill.de
    >
    > --
    > Link zum PC-Special.net Forum:
    > http://www.pc-special.net/?idart6&fnavQ.52.28641.1
    >

  • Der Hinweis mit dem Kryptographiedienst war jetzt sicher das Entscheidende ! Es zeigt , das auf dem PC entweder schon eine Schadensroutine gegriffen hat , oder das System mißkonfiguriert wurde.Hier mal die Beschreibung :
    >>>Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt; den Dienst für geschützten Stammspeicher, der Zertifikate vertrauenswürdiger Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und den Schlüsseldienst, der diesen Computer bei Einschreibungen in Zertifikate unterstützt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
    Unter Abhängigkeiten findet sich dort der Eintrag "Remoteprozeduraufruf (RPC)" Genau da greift aber unser LoveSun !
    Bleibt uns also nur alles per Hand einzustellen.Folgende Prozedur :
    1. Statt Fixblast (Symantec) laden wir uns das Tool "Stinger" aus dem Netz. Unter :http://download.nai.com/products/mcafee-avert/stinger.exe
    2. Sollten wir es geschafft haben das Tool vollständig zu downloaden , starten wir den PC neu .
    3. Ohne vorher online gewesen zu sein , starten wir Stinger .
    4. Nach erfolgreichem Cleaning gehen wir unter XP in die Systemsteuerung.Dort öffnen wir "Verwaltung" und dort wiederum "Dienste".
    5. Dort finden wir in einer Liste auch "Kryptographiedienste". Wir klicken diese Zeile (einmal !) an.
    6. Oben links sehen wir nun , ob der Dienst aktiv ist oder nicht .Auch können wir ihn dort neu starten.
    7. Wir klicken jetzt die Zeile doppelt an. Es öffnet sich ein neues Fenster mit mehreren Optionen. Nachfolgend die Einstellungen , welche dort fü+r ein normales Funktionieren eingetragen sein sollten.
    8. >>Allgemein<< : Pfad C:WINDOWSsystem32svchost.exe -k netsvcs , Starttyp automatisch
    >>Anmelden<< : Lokales Systemkonto
    >>Wiederherstellen<< : Alles auf "Keine Aktion" einstellen
    >>Abhängigkeiten<< :Remoteprozeduraufruf
    9. So , jetzt spielen wir die Patchs von Microsoft noch einmal ein !!! http://download.microsoft.com/…wsXP-KB824146-x86-DEU.exe
    10. den Rechner neu starten , auch wenn keine Aufforderung erfolgt.
    Sollte es wider Erwarten auch nach dieser Anleitung nicht funktionieren , noch mal melden bitte. Ein positives Feedback wäre natürlich genauso gut ;-)
    Mit freundlichen Grüßen
    winbooster

    [img]http://www.pits-security.de/winbooster.gif[/img] winbooster alias Peter Braeuniger -Security-VIP im Team der PC-Special.net kostenlose Computer-Hilfe in 24h - Webmastertools, Scripts und mehr [url]http://www.pc-special.net[/url] - [email]winbooster@pc-special.net[/email]
  • :-( Leider , der Patch läßt sich nicht installieren. Ich habe alle Vorgänge
    nochmal kontrolliert.
    Hier ist im wahrsten Sinn des Wortes "Der Wurm drin".
    ----- Original Message -----
    From: "winbooster (webmaster@pits-security.de)" <helpline@pc-special.net>
    To: <helparchiv@pc-special.net>
    Cc: "TK" <info@tk-immo-bayern.de>
    Sent: Monday, October 27, 2003 5:36 PM
    Subject: [28517] 52: Ständige Virusmeldung Lovesan
    >
    > Der Hinweis mit dem Kryptographiedienst war jetzt sicher das Entscheidende
    ! Es zeigt , das auf dem PC entweder schon eine Schadensroutine gegriffen
    hat , oder das System mißkonfiguriert wurde.Hier mal die Beschreibung :
    > >>>Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der
    die Signaturen von Windows-Dateien bestätigt; den Dienst für geschützten
    Stammspeicher, der Zertifikate vertrauenswürdiger
    Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und
    den Schlüsseldienst, der diesen Computer bei Einschreibungen in Zertifikate
    unterstützt. Wenn dieser Dienst beendet wird, werden diese
    Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst
    deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste
    nicht gestartet werden können.
    >
    > Unter Abhängigkeiten findet sich dort der Eintrag "Remoteprozeduraufruf
    (RPC)" Genau da greift aber unser LoveSun !
    > Bleibt uns also nur alles per Hand einzustellen.Folgende Prozedur :
    > 1. Statt Fixblast (Symantec) laden wir uns das Tool "Stinger" aus dem
    Netz. Unter :http://download.nai.com/products/mcafee-avert/stinger.exe
    > 2. Sollten wir es geschafft haben das Tool vollständig zu downloaden ,
    starten wir den PC neu .
    > 3. Ohne vorher online gewesen zu sein , starten wir Stinger .
    > 4. Nach erfolgreichem Cleaning gehen wir unter XP in die
    Systemsteuerung.Dort öffnen wir "Verwaltung" und dort wiederum "Dienste".
    > 5. Dort finden wir in einer Liste auch "Kryptographiedienste". Wir klicken
    diese Zeile (einmal !) an.
    > 6. Oben links sehen wir nun , ob der Dienst aktiv ist oder nicht .Auch
    können wir ihn dort neu starten.
    > 7. Wir klicken jetzt die Zeile doppelt an. Es öffnet sich ein neues
    Fenster mit mehreren Optionen. Nachfolgend die Einstellungen , welche dort
    fü+r ein normales Funktionieren eingetragen sein sollten.
    > 8. >>Allgemein<< : Pfad C:WINDOWSsystem32svchost.exe -k netsvcs ,
    Starttyp automatisch
    > >>Anmelden<< : Lokales Systemkonto
    > >>Wiederherstellen<< : Alles auf "Keine Aktion" einstellen
    > >>Abhängigkeiten<< :Remoteprozeduraufruf
    > 9. So , jetzt spielen wir die Patchs von Microsoft noch einmal ein !!!
    http://download.microsoft.com/…7f-1fac-48b4-8724-2058e0d
    29ee3/WindowsXP-KB824146-x86-DEU.exe
    >
    > 10. den Rechner neu starten , auch wenn keine Aufforderung erfolgt.
    >
    > Sollte es wider Erwarten auch nach dieser Anleitung nicht funktionieren ,
    noch mal melden bitte. Ein positives Feedback wäre natürlich genauso gut ;-)
    >
    > Mit freundlichen Grüßen
    > winbooster
    >
    >
    > --
    > Link zum PC-Special.net Forum:
    > http://www.pc-special.net/?idart6&fnavQ.52.28700.1
    >

  • Hier noch ein Nachtrag zu meinem Schreiben von vorhin.
    Die Fehlermeldung mit dem Kryptographiedienst besteht weiter -
    Fehlermeldung: KB824146 Setup-Fehler.
    Danke
    ----- Original Message -----
    From: "winbooster (webmaster@pits-security.de)" <helpline@pc-special.net>
    To: <helparchiv@pc-special.net>
    Cc: "TK" <info@tk-immo-bayern.de>
    Sent: Monday, October 27, 2003 5:36 PM
    Subject: [28517] 52: Ständige Virusmeldung Lovesan
    >
    > Der Hinweis mit dem Kryptographiedienst war jetzt sicher das Entscheidende
    ! Es zeigt , das auf dem PC entweder schon eine Schadensroutine gegriffen
    hat , oder das System mißkonfiguriert wurde.Hier mal die Beschreibung :
    > >>>Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der
    die Signaturen von Windows-Dateien bestätigt; den Dienst für geschützten
    Stammspeicher, der Zertifikate vertrauenswürdiger
    Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und
    den Schlüsseldienst, der diesen Computer bei Einschreibungen in Zertifikate
    unterstützt. Wenn dieser Dienst beendet wird, werden diese
    Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst
    deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste
    nicht gestartet werden können.
    >
    > Unter Abhängigkeiten findet sich dort der Eintrag "Remoteprozeduraufruf
    (RPC)" Genau da greift aber unser LoveSun !
    > Bleibt uns also nur alles per Hand einzustellen.Folgende Prozedur :
    > 1. Statt Fixblast (Symantec) laden wir uns das Tool "Stinger" aus dem
    Netz. Unter :http://download.nai.com/products/mcafee-avert/stinger.exe
    > 2. Sollten wir es geschafft haben das Tool vollständig zu downloaden ,
    starten wir den PC neu .
    > 3. Ohne vorher online gewesen zu sein , starten wir Stinger .
    > 4. Nach erfolgreichem Cleaning gehen wir unter XP in die
    Systemsteuerung.Dort öffnen wir "Verwaltung" und dort wiederum "Dienste".
    > 5. Dort finden wir in einer Liste auch "Kryptographiedienste". Wir klicken
    diese Zeile (einmal !) an.
    > 6. Oben links sehen wir nun , ob der Dienst aktiv ist oder nicht .Auch
    können wir ihn dort neu starten.
    > 7. Wir klicken jetzt die Zeile doppelt an. Es öffnet sich ein neues
    Fenster mit mehreren Optionen. Nachfolgend die Einstellungen , welche dort
    fü+r ein normales Funktionieren eingetragen sein sollten.
    > 8. >>Allgemein<< : Pfad C:WINDOWSsystem32svchost.exe -k netsvcs ,
    Starttyp automatisch
    > >>Anmelden<< : Lokales Systemkonto
    > >>Wiederherstellen<< : Alles auf "Keine Aktion" einstellen
    > >>Abhängigkeiten<< :Remoteprozeduraufruf
    > 9. So , jetzt spielen wir die Patchs von Microsoft noch einmal ein !!!
    http://download.microsoft.com/…7f-1fac-48b4-8724-2058e0d
    29ee3/WindowsXP-KB824146-x86-DEU.exe
    >
    > 10. den Rechner neu starten , auch wenn keine Aufforderung erfolgt.
    >
    > Sollte es wider Erwarten auch nach dieser Anleitung nicht funktionieren ,
    noch mal melden bitte. Ein positives Feedback wäre natürlich genauso gut ;-)
    >
    > Mit freundlichen Grüßen
    > winbooster
    >
    >
    > --
    > Link zum PC-Special.net Forum:
    > http://www.pc-special.net/?idart6&fnavQ.52.28700.1
    >

  • Danke für das Feedback.Ich antworte mal im vorab , damit nicht der Ein druck entsteht wir geben auf *ggg* .
    Momentan kann ich noch nicht nachvollziehen , wo da "der Wurm drin ist ".Da ich tagsüber im Job stehe und noch meinen Familienpflixchten nachkommen muß , kann ich mich erst abends dem Problem widmen . Anhand der Fehlernummer und den bisherigen Erkenntnissen werde ich versuchen einen Weg zu finden. Werde mich dann hier melden.
    MfG
    winbooster

    [img]http://www.pits-security.de/winbooster.gif[/img] winbooster alias Peter Braeuniger -Security-VIP im Team der PC-Special.net kostenlose Computer-Hilfe in 24h - Webmastertools, Scripts und mehr [url]http://www.pc-special.net[/url] - [email]winbooster@pc-special.net[/email]