Hallo Leute!


Bin neu hier, da ich mich nie wirklich mit dem Thema Internetsicherheit beschäftigt hab.
Deshalb bin ich nun "gezwungen" hier zu posten, weil mich der Sasser-Wurm erwischt hat.

Ich weiss es ist nicht die feine Englische, mit dem ersten Posting gleich um Hilfe zu schrein,
aber ich hoffe, dass ihr mir trotzdem helft

Hab jetzt viel im Internet recherchiert und bin draufgekommen,
dass es dieses böse Teil schon länger gibt, hab mir auch verschiedenste
Removal-Tools und Antivir-Programme gesaugt:

- BitDefender 8 + Sasser-Update
- a-square Security Center
- FxSasser
- SSRCCLEAN
- ...

aber nichts hat geholfen!

Ich kann nichtmal im abgesicherten Modus hochfahren, drück F8 solang ich will, er fährt normal hoch und pfeifft auf mich.

Ich hab gelesen, dass es den Sasser-Wurm in den Formen "a" bis "f" gibt, jedoch weiss ich nicht, wie alt diese Information ist.
Jedenfalls konnte keins der oben genannten Tools mein Problem lösen, obwohl sie alle für genau diese Sasser-Typen gedacht sind.
Keines der Programme hat einen Sasser-Wurm entdecken können.

Habe auch schon meine Festplatte nach der besagten "avserve.exe" bzw. nach einer "*_up.exe" durchsucht und nichts gefunden.
Wie gesagt hab ich auch alle Systemdateien nach Viren suchen lassen,
ich war überrascht, dass bei so vielen Trojanern und was es da noch so gibt, meine Tastatur überhaupt noch funktionierte.
Naja, jedenfalls sind diese jetzt anscheinend weg, nur bekomme ich eben immer nach variierender Zeit diese berühmte Fehlermeldung:

"lsass.exe terminated ...... etc. etc. ...
......... ......... ....... ....... .....
................ ................ .........
shutdown & restart ...... etc. etc."


Nun ja, ich glaub ich hab schon alles in meiner Macht stehende getan (und ich hab in Sachen PC verdammt wenig Macht )
und hoffe, dass ihr mir mit euren Kenntnissen da weiterhelfen könnt.


Allgemeine Infos:

Ich arbeite auf Windows XP - Professional ... Service Pack ist glaub ich maximal das 1er drauf, wenn überhaupt.

Virensoftware besitze ich seit heute und hab schon mehrmals das System gescannt.
BitDefender und a-square Security Center auf neuestem Stand laut automatischem Update.

Das Problem mit dem Herunterfahren ist auch erst heute aufgetreten, jedoch hatte ich die letzten Tage schon etwas Probleme
mit meiner Internetverbindung (entweder verdammt langsam, oder regelmässige Aussetzer der Verbindung).



So, ich werd mal schlafen gehn, es ist schon spät und ich bin viel zu gestresst!
Würde mich freun wenn ihr Profis mir da unter die Arme greifen könntet!


Greets,
roox

Hallo!
Mich hat er heute Nacht trotz Servicepack 2 erwischt.
Leider haben alle Maßnahmen die zum "alten" Sasser beschrieben wurden nicht gefruchtet.
Ich kann keine Removaltools einsetzen, weil ich keine Admin Rechte mehr habe.
Der abgesicherte Modus startet zwar, aber direkt mit der Fehlermeldung, das das System runtergefahren wird.

Über Google hab ich nix gefunden, ausser diesen Bericht...

Gruß
Tom

@roox

Poste bitte ein HJT-Log.

@Tomcat

Erstelle für Dein Problem einen eigen Thread und poste dort neben der Problembeschreibung ein HJT-Log.

Sorry, hab den Link für mein Post zu editieren nicht gefunden.
Aber mein Problem ist gelöst. Es lag wohl daran, das in der Registry meine Adminrechte gelöscht waren. Deshalb lies mich mein Rechner auch keine Tools starten. Und irgendwann kommt dann die Fehlermeldung mit der lsass.exe. Genau wie damals beim Sasserwurm :-)

Gruß
Tom

Hallo MightyMarc:

Hier das HJT Log File:

Logfile of HijackThis v1.99.1
Scan saved at 15:58:06, on 12.01.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mediafour\XPlay\XPTRYICN.EXE
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\imessengers.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\admin\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://rootsearch.biz/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rootsearch.biz/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rootsearch.biz/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O1 - Hosts: 69.50.187.110 auto.search.msn.com
O1 - Hosts: 69.50.187.110 auto.search.msn.com
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4F93D010-3470-4738-A206-236EC3B1363B} - C:\WINDOWS\System32\onhnlh.dll (file missing)
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\System32\wer8274.dll (file missing)
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iconn] C:\WINDOWS\System32\iconn
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mediafour XPlay Tray Notification Icon] C:\Programme\Mediafour\XPlay\XPTRYICN.EXE
O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE" /auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Internet Messenger] imessengers.exe
O4 - HKLM\..\RunServices: [Internet Messenger] imessengers.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [RealPlayer] "C:\Programme\Real\RealPlayer\realplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [Internet Messenger] imessengers.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5.1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5.1\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//promax1/main.chm::/load.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.187.110/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\nosuch.mht!http://clubonly18.com/new/iehelp.chm::/on-line.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/dld/624.chm::/file.exe
O18 - Filter: text/html - {3F097AD0-E118-4552-A695-A17DB3920C8A} - C:\WINDOWS\System32\onhnlh.dll
O18 - Filter: text/plain - {3F097AD0-E118-4552-A695-A17DB3920C8A} - C:\WINDOWS\System32\onhnlh.dll
O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Programme\Gemeinsame Dateien\Mediafour\MacDriveiTunesPatch.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ISEXEng - Unknown owner - C:\WINDOWS\System32\angelex.exe (file missing)
O23 - Service: Java development Services - Unknown owner - C:\WINDOWS\logins32.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: end task (Taskend) - Unknown owner - C:\WINDOWS\Taskend.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


ich hoffe dass es weiterhilft

@roox

Bei Dir war ein Backdoortrojaner aktiv W32/Tilebot-HC - Spyware Worm - Sophos threat analysis. Zudem ist ein ganzer Zoo an Spyware aktiv.
Vermutlich mitverantwortlich hierfür ein völlig ungepatchtes Windows XP

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

=> Neuaufsetzen!

Hallo

haben auch den Sasser auf unserem PC.

Betriebsystem : Windows XP Professional SP 1.

Habe Tipps der Seite : http://sicher-ins-netz.info/wuermer/sasser.html

genau befolgt und mit folgenden Programmen im abgesicherten Modus gescannt :

-SSRCLEAN
-Antisasser-EN
-Fxsasser

leider alles ohne Erfolg
auch unsere AntiVir Software G DAta Anti Vir Kit findet nichts.

hier ist mein HiJack :
Logfile of HijackThis v1.99.1
Scan saved at 15:43:12, on 12.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\System32\E_S00RP2.EXE
C:\Programme\Jana2\janad.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\SAgent4.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
C:\Programme\Qurb\QSP-2.1.213.4\QOELoader.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\DOKUME~1\NSZRHE~1\LOKALE~1\Temp\Rar$EX29.719\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:110
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe
O4 - HKLM\..\Run: [Patch] C:\WINDOWS\Patch.exe /nomsg
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [QOELOADER] C:\Programme\Qurb\QSP-2.1.213.4\QOELoader.exe
O4 - HKLM\..\RunServices: [NetBus Server Pro] \\Groß\eigene datei\Personen\*********\Zeugs\Tools\SubSeven\NBSvr.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095067574468
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD3186AD-B9E0-4EC3-B868-CE380B2CCAF7}: NameServer = 192.168.0.5

vielen Dank für eure Hilfe im Voraus !!

Flufur

Zitat:

Zitat von Flufur

O4 - HKLM\..\Run: [Patch] C:\WINDOWS\Patch.exe /nomsg
O4 - HKLM\..\RunServices: [NetBus Server Pro] \\Groß\eigene datei\Personen\*********\Zeugs\Tools\SubSeven\NBSvr.exe

Da Du Dir NetBus wohl nicht selbst installiert hast => http://www.trojaner-board.de/12154-a...sicherung.html