Sasser oder ähnliches, bitte um Hilfe

Melmoth · 03.10.2006, 16:22

Also, ich habe folgendes Problem:
Ich habe hier zwei Rechner via W-Lan im Internet, der eine ist ein Laptop. Beide laufen mit XP, beide haben Firewalls und Antivirenscanner und bei beiden habe ich dieses typische Sasserphänomen mit dem Shutdown nach 2 Minuten. Da ich vor ein paar Jahren schonmal die Bekanntschaft mit Sasser hatte, wusste ich noch wie man den Shutdownprozess stoppt. Habe jetzt alles tausendmal gescannt mit allem, was ich im Internet finden konnte, aber leider keinerlei Funde. Lediglich mein AdAware fand einige Sachen, ein Programm dabei hieß Webhancer und war besonders schwer zu löschen. Seitdem es weg ist, kann ich mit dem Laptop nicht mehr ins Internet, er zeigt zwar die aktive Verbindung an mit demselben Schlüssel, mit dem der andere Rechner auch im Netz ist, sagt mir aber, ich hätte nur eingeschränkte Nutzungsrechte und keine IP Adresse. Mein Tower PC dagegen kann noch ins netz, allerdings ist der RAM superlangsam (obwohl 640 MB und kaum Programme auf dem Rechner) und der Shutdownbefehl kommt halt jedesmal beim Hochfahren. Hier ist jetzt der Log, den mir HijackThis ausspuckt (leider nur von meinem Towerrechner, ich versuch den vom Laptop noch nachzuliefern). Ich weiß, ist viel auf einmal, aber seit heute morgen brennt hier der Baum;-( Danke für eure Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 17:22:46, on 03.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\RAM Idle LE\RAM_XP.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Melmoth\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

felix1 · 03.10.2006, 16:31

Der PC ist ungewartet und ungepflegt. SP2 und Updates fehlen.

Logfile of HijackThis v1.99.1
Scan saved at 17:22:46, on 03.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Melmoth · 03.10.2006, 16:38

XP ist erst seit kurzem drauf.

hier das Log:
10/03/06 17:33:46 [Info]: BlackLight Engine 1.0.47 initialized
10/03/06 17:33:46 [Info]: OS: 5.1 build 2600 ()
10/03/06 17:33:46 [Note]: 7019 4
10/03/06 17:33:46 [Note]: 7005 0
10/03/06 17:34:30 [Note]: 7006 0
10/03/06 17:34:30 [Note]: 7011 1236
10/03/06 17:34:31 [Note]: 7026 0
10/03/06 17:34:31 [Note]: 7026 0
10/03/06 17:34:42 [Note]: FSRAW library version 1.7.1020
10/03/06 17:36:59 [Note]: 7007 0

**Sunny** · 03.10.2006, 16:45

Normalerweise würde bei diesem Patchstand eine Neuinstallation nur in Frage kommen, aber man kann es auch mal unterbinden:

1.) Als erstes solltest du das von "Sasser" erzwungene Herunterfahren stoppen. Im Windows-Startmenü auf "Ausführen" klicken und danach "cmd" eintippen -> ENTER. Jetzt eingeben -> "shutdown -a" -> ENTER

2.) folgendes Removaltool laden und ausführen ->Removaltool

3.) nunmehr alle Updates installieren um somit die Sichheitslücken zu stopfen -> Microsoft Updates

Gruß
Sunny

Melmoth · 03.10.2006, 17:26

Das Removal Tool findet nichts, das Shutdownfenster erscheint nach wie vor, ich kann es nur mit dem shutdown -a befehl halt anhalten. Gibt es noch andere empfehlenswerte Tools oder vielleicht kann es sich auch um einen anderen Virus handeln? Noch jemand Vorschläge? Danke schön

**Sunny** · 03.10.2006, 17:40

Zitat:

Zitat von Melmoth

Das Removal Tool findet nichts, das Shutdownfenster erscheint nach wie vor, ich kann es nur mit dem shutdown -a befehl halt anhalten. Gibt es noch andere empfehlenswerte Tools oder vielleicht kann es sich auch um einen anderen Virus handeln? Noch jemand Vorschläge? Danke schön

Das kann alles Mögliche sein, bei dem Stand an Updates und Sicherheitspacks kein Wunder!
Da man aber nie genau sagen kann was auf deinem System noch alles *rumherirrt*, würde ich dir jetzt nur noch eine Neuinstallation ans Herz legen...
Die Suche nach deinem Fehler Problem könnte Tage/Wochend dauern, und im schlimmsten Fall sogar sinnlos sein, daher nimm dir meinen Rat an und setz neu auf. (mit aktuellen Updates und Packs!)

Gruß

03.10.2006, 16:31	#2
felix1 /// Helfer-Team	Sasser oder ähnliches, bitte um Hilfe Der PC ist ungewartet und ungepflegt. SP2 und Updates fehlen. Logfile of HijackThis v1.99.1 Scan saved at 17:22:46, on 03.10.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. __________________ __________________

Sasser oder ähnliches, bitte um Hilfe

Plagegeister aller Art und deren Bekämpfung: Sasser oder ähnliches, bitte um Hilfe