Lovesan lässt sich nicht entfernen

  • Hallo!
    Ich hab ein Problem.
    Und zwar kommt man nicht mehr ins Netz über meinen zweiten PC (eigentlich der PC meines Vaters).
    Wahrscheinlich liegt es am W32.Blaster.Worm (A) - Lovesan.
    In der Hoffnung, dass ihr mir helfen könnt, schildere ich "kurz" was bisher geschehen ist:
    nachdem man durch folgende Meldung:
    "Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet.
    Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab.
    Alle Änderungen, die nicht gespeichert werden, gehen verloren.
    Das Herunterfahren wurde von NT AUTHORITYSYSTEM ausgelöst."
    aus dem netz geworfen wurde, hab ich Stinger durchlaufen lassen, welcher, wenn ich mich richtig erinnere zwei Würmer fand.
    Daraufhin habe ich Norton AV 2002 installiert und die gefundenen 7 Viren
    (-Dateien) entfernen lassen. Norton hat aktuelle Virendefinitionen.
    Jedoch ist das Programm selbst updatebedürftig.
    Es blieb die Meldung mit dem RPC-Dienst.
    Leider habe ich erst zu diesem Zeitpunkt die Systemwiederherstellung deaktiviert.
    Fixblast.exe fand nichts, sowie Norton und auch nicht das Tool von
    trojaner-info.de hat kein Anzeichen von Lovesan gefunden .
    Hab das Patch von MS installiert.
    Öfters meldete Norton den Virus Lovesan gefunden zu haben und gab dabei immer Dateien an, die nicht existieren (zumindest als ich nachgesehen hab) z.B. TFTP1444 im Ordner System32.
    Hab weder in der Registry noch per Suchen-Funktion die Datei msblast.exe gefunden. Diese Datei ist auch nicht im Taskmanager zu finden.
    Kurzzeitig meldete Stinger, dass sich der Wurm W32.Nachi.worm / Welchai auf meinem System sei. Aber Norton und die anderen fanden wieder nichts. Weiterhin waren im Posteingang massenhaft Mails mit dem Wurm Sobig.f, welche jedoch von Norton abgefangen wurden –und dieser wurde dessen ungeachtet nicht auf meinem System gefunden.
    Danach habe ich Norton Firewall installiert und die DFÜ-"Firewall" von XP (Home Edition) aktiviert. (übrigens: verwende T-Online u. Eumex bzw. Teledat)
    Den Virus im abgesicherten Modus zu erwischen gelang nicht.
    Der von euch vorgeschlagene Code mit shutdown -a funktionierte, aber half leider nicht wirklich weiter.
    Als ich den PC an die Eumex anschloss (zuvor war er am Teledat) und mich einwählen wollte, startete XP sofort ohne Warnung oder so, den PC neu.
    Mit der Eumex selbst stimmt alles und keine erkennbaren Fehler liegen dabei vor.
    Hab ohne Erfolg x Tuningtools und Reparatur Tools durchlaufen lassen (Tuneup, RegistryfirstAid ...). Nur Dr.Watson meldete, dass die Abstürzte von svchost.exe verursacht würden. (svchost.exe ist übrigens gleich vier mal im Taskmanager zu finden und lässt sich nicht ohne aktivieren des oben erwähnten RPC-Fensters deaktivieren)
    Daraufhin hab ich erneut bei der Symantec-Seite vorbeigeschaut und die manuelle Entfernung versucht. services.msc hab ich ausgeführt und als Aktion bei den Fehlern unter RPC von "Neustart" auf "Dienst neu starten" umgestellt. Den Eintrag in der Registry HLMSoftwareMicrosoftWindowsCurrentVersion
    un konnte ich zwar finden, doch war dort nirgendwo etwas eingetragen wie "windows auto update" oder ähnliches.
    Allerdings hab unter System Systeminformation -> Autostart
    4x den Eintrag CTFmon.exe gefunden. In der "Beschreibung" war u.a. vom "NT AUTHORITYSYSTEM " die Rede. Aber das Entfernen der Datei half auch nicht weiter.
    Norton ist und war von Anfang an auf eine intensive und komplette Dateiprüfung eingestellt.
    Neuerdings meldet XP, es müsse Informationen über einen Fehler mit c:windowsminidampmini082803-04.dmp und mit c:Dokum~1SchaferLokale~1TempWer1.tmp.dir02sysdata.xml an Micosoft verschicken.
    Und wenn ich jetzt versuche Norton AV den PC auf Viren prüfen zu lassen, meldete dieser zum Schluss:
    "Norton Antivirus konnte Ihren Computer nicht auf Infektionen prüfen. Die Virenprüfung ist fehlgeschlagen, da während der Prüfung ein kritischer Fehler aufgetreten ist.“
    So das ist der Stand der Ding: man kann mit dem PC nicht ins Netz, es macht den Anschein, als ob Lovesan vorhanden sei und Antiviren-Programme können ihn nicht finden.
    Ich hoffe, dass ich keine Neuinstallation im Angriff nehmen muss.
    Könnt ihr mir weiterhelfen?
    Vielen Dank schon mal im Voraus.
    Gruß Steffan

  • Hallo Steffen,
    erst einmal sollten wir klären, ob es sich um Lovesan handelt:
    Hintergrundinformationen zum neuen Wurm (W32.Lovesan/Blaster)
    => http://www.pc-special.net/?idart48
    W32.Blaster und W32/Lovsan und wie man der Plage trotzen kann
    => http://www.pc-special.net/?idart73
    weitere Informationen findest Du unter:
    => http://www.pc-special.net/?idcat7
    Bye André

  • Ich bin mir ziemlich sicher, dass Lovesan auf dem PC war, denn Norton
    meldete ihn mehrmals wegen solchen TFTP - Dateien und Stinger fand ihm am
    Anfang auf. (Jedoch kann ich nicht sagen welche Variante - ich GLAUBE auch,
    dass Stinger am Anfang den SorbigF. fand)
    Ob der Virus nach dem entfernen noch da ist, oder ob Infizierte Dateien noch
    bestehen kann ich nicht sagen. msblast.exe fand ich nicht und alle
    Virentools inc. ClnPoza fanden auch nichts.
    Ob es andere Viren/Trojaner... gibt, die eine ähnliche Symptomatik
    aufweisen, weiß ich nicht.
    Evt. könnte es ja ein Systemfehler sein. Woran könnte so ein Systemfehler
    liegen, und wie wird man ihn wieder los?
    Vielen Dank
    Gruß Steffan
    ----- Original Message -----
    From: "Andre ()" <helpline@pc-special.net>
    To: <helparchiv@pc-special.net>
    Cc: "Steffan" <stefansunselect@web.de>
    Sent: Saturday, August 30, 2003 1:21 AM
    Subject: [26539] 6: Lovesan lässt sich nicht entfernen
    >
    > Hallo Steffen,
    >
    > erst einmal sollten wir klären, ob es sich um Lovesan handelt:
    >
    > Hintergrundinformationen zum neuen Wurm (W32.Lovesan/Blaster)
    > => http://www.pc-special.net/?idart48
    >
    > W32.Blaster und W32/Lovsan und wie man der Plage trotzen kann
    > => http://www.pc-special.net/?idart73
    >
    > weitere Informationen findest Du unter:
    > => http://www.pc-special.net/?idcat7
    >
    > Bye André
    >
    >
    > --
    > Link zum PC-Special.net Forum:
    > http://www.pc-special.net/?idart6&fnav=1.6.26572.1
    >