Ich benutze Win XP Home SP2, wonach mein System laut Microsoft nicht mit Sasser infiziert sein kann (da es durch das S2 scheinbar unschädlich gemacht wurde).
Letztens habe ich mal wieder alle z.Zt. laufenden Prozesse durch Yahoo gejagt und kam bei den Prozessen "lsass.exe" und "csrss.exe" zu dem Ergebnis, dass sie mit dem beühmt berüchtigten Wurm "Sasser" infiziert sein könnte.
Ich wollte den Prozess probeweise beenden und bekam das Fenster, das mir mitteilte, in 60 Sekunden würde Windows heruntergefahren...
Der von Microsoft bereitgestellte Sasser-Patch funktioniert jedoch nur auf SP1.
Also blieb mir nur noch die Möglichkeit, den Wurm durch Stinger und FXSasser suchen zu lassen.
Beide blieben ohne Befund, dennoch macht mich dieses augetauchte Fenster stutzig.
Ist es normal, dass der PC ausgeschaltet wird, wenn man versucht, den Prozess zu beenden oder nicht? (Von alleine wurde der PC bislang nicht heruntergefahren.

Ich hoffe, ihr könnt mir helfen!

Gruß, dohnut

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!
stupormundi

So, hier das Log-File:
--------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 13:25:07, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Messenger\msmsgs.exe
C:\Palm\hotsync.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Programme\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe

Servus!
In Deinem Log finde ich jetzt mal nicht böses!
Die beiden von Dir zitierten Datein (csrss.exe=Client/Server Runtime Subsystem und lsass.exe=lokaler Sicherheitsdienst) stehen bei Dir an der richtigen Stelle und sind Systemprozesse!
Aber mach mal einen Virenscan im abgesicherten Modus, zB mit escan.
Teile uns das Ergebnis hier mit!
stupormundi

Hm, das Problem ist, dass der Log aus 1,2 Mio Zeichen besteht, was bedeutet, ich müsste es in 48 Posts schreiben...
Gibt's keine kürzere Fassung?

Hm...

Zitat:

Gibt's keine kürzere Fassung?

guck' Dir bitte noch mal die Anleitung von Cidre an - vor allem den Absatz 'Einsetzen von eScan – Auswertung:' und die dazu gehörenden Fußnoten!
Stichwort 'find.bat' oder die beschriebene Alternative!
Da ist nirgends die Rede vom Posten des ganzen Logs (welches immer so groß ist)
stupormundi

Gut, bin, wie vorgeschrieben vorgegangen und habe alles rauskopiert, was die Wörter "infected" oder "tagged" enthält. Hier die Ergebnisse:
-------------------------------------------------------------

Thu Jan 05 14:06:21 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Thu Jan 05 14:06:21 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Thu Jan 05 14:06:21 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Thu Jan 05 14:06:21 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 05 14:06:21 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Thu Jan 05 14:06:21 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 05 14:06:21 2006 => Offending Key found: HKLM\Software\limewire !!!
Thu Jan 05 14:06:21 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 05 14:06:21 2006 => Offending file found: C:\WINDOWS\system32\vbalicom6.dll
Thu Jan 05 14:06:21 2006 => System found infected with abetterinternet Spyware/Adware (vbalicom6.dll)! Action taken: No Action Taken.

Thu Jan 05 14:06:22 2006 => Offending Folder found: C:\Programme\limewire
Thu Jan 05 14:06:22 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 05 14:06:22 2006 => Offending file found: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\cmdlineext02.dll
Thu Jan 05 14:06:22 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Thu Jan 05 14:06:22 2006 => Offending file found: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\war3_install.exe
Thu Jan 05 14:06:22 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

Thu Jan 05 14:06:23 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\meine die schlacht um mittelerde-dateien\save
Thu Jan 05 14:06:23 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 05 14:06:23 2006 => Offending file found: C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\microsoft\internet explorer\quick launch\internet.lnk
Thu Jan 05 14:06:23 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.

Thu Jan 05 14:06:26 2006 => Offending file found: C:\Dokumente und Einstellungen\Sebastian\Favoriten\ebay.url
Thu Jan 05 14:06:26 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.

Thu Jan 05 14:06:36 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\spellforce\save
Thu Jan 05 14:06:36 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 05 14:06:36 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Startmenü\programme\limewire
Thu Jan 05 14:06:36 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 05 14:06:36 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Startmenü\Programme\limewire
Thu Jan 05 14:06:36 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 05 14:06:37 2006 => Offending file found: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\temp\cmdlineext02.dll
Thu Jan 05 14:06:37 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Thu Jan 05 14:06:38 2006 => Offending file found: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\temp\war3_install.exe
Thu Jan 05 14:06:38 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

Thu Jan 05 14:06:45 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\spellforce\save
Thu Jan 05 14:06:45 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Hallo Dohnut,
kleine Fische bei dir....
Du machst folgendes :suche dir mit Hilfe von Google von den Originalseiten,Spybot Search and Destroy-Ewido Security Suite-AdAware SE Personal-Regseeker-Clear Prog 1.4.1. final
Alle installieren und Spybot,Ewido und Adaware updaten.
In den abgesicherten Modus bei ausgeschalteter Systemsteuerung und die drei scannen lassen und löschen was gefunden wird.Nacheinander versteht sich, Reihenfolge wie es beliebt.
In den normalen Modus booten und Regseeker laufen lassen mit der Option "Registrierung säubern" achte darauf das links unten die Sicherung angehakt ist.Sooft laufen lassen bis nix mehr zu löschen ist.
Danach mit Clear Prog "alle Optionen " alle Haken,laufen lassen und den restlichen Müll rausbringen lassen(löschen)
Dann zeigst du einen neuen Escan vor.
Irrlicht

So, alles gemacht:
--------------------
Logfile of HijackThis v1.99.1
Scan saved at 19:28:32, on 06.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Iomega\Iomega Automatic Backup\ibackup.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Palm\hotsync.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Opera\Opera.exe
C:\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Programme\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Iomega Automatic Backup] C:\Programme\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe