Hallo!

Ich hab schon länger Probleme mit meinem PC!
Und zwar schein ich irgendwas drauf zu haben, was einfach nicht mehr runter will

Habe den PC nun mittlerweile 6 mal formatiert und immer das gleiche Problem. Und zwar kriege ich nach ner Zeit ein Fenster in dem steht: "lsass.exe wurde unerwartet beendet"... Naja und dann startet der PC automatisch neu in 60 sekunden.
AntiVir und AdAware finden überhaupt nix! ComboFix habe auch auch durchlaufen lassen, der hat schon was gefunden und gelöscht hat das Problem an sich aber nicht beseitig. Hier mal mein Hijack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:52, on 26.07.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slvcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\mrofinu.exe
C:\Dokumente und Einstellungen\Benutzer\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvidMediaCenter] C:\Programme\Gemeinsame Dateien\System\wmsncs.exe
O4 - HKLM\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe
O4 - HKLM\..\Run: [slvcm.exe] C:\WINDOWS\system32\slvcm.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15806F97BDE4417E6FD967002BA754E2C28323133A9D26033AAC
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: wmsncs.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{34E158EE-3AFE-4915-A303-76B4FAF2AE1C}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: SmartLinkService (SLService) - Unknown owner - slserv.exe (file missing)

--
End of file - 3731 bytes

Findet jemand den Übeltäter?:/
Bin langsam echt nur noch am verzweifeln, da selbst formatieren nix gebracht hat!

Achja ich kann auch nicht bei Ausführen regedit anwenden and zum Taskmanager komm ich auch nicht. Da heißt es wurde vom Adminstrator deaktiviert!

Klingt irgendwie nach dem Wurm Sasser.

keine Ahnug, obs den noch gibt.

Aber hier ist jedenfalls ein Fixtool für Sasser

http://securityresponse.symantec.com/avcenter/FxSasser.exe

Mhh hab ich mal durchlaufen lassen, sagt aber dass er Sasser auf dem Computer nicht gefunden hat

Hab jetzte nochmal paar mal ComboFix durchlaufen lassen der löscht mir immer wieder die folgende Datei:
C:\WINDOWS\mrofinu1001186.exe
Was genau ist das? Und wie genau krieg ich die runter
Problem besteht nach wir vor dass Rechner sich immer mit dem Fehler ausschaltet!

Deine Schritte, die du machen solltest:
- Neuaufsetzen
- Vor dem Online-Gang, SP2 offline aufspielen
- Andere Updates durchführen

Dein System ist zu veraltet um da eine Bereinigung vorzunehmen.
Das mit dem Sasser würd mich allerdings bei deinem Systemstand überhaupt nicht wundern.

mfg

Hallo!

Naja das Problem ist ja ich habe schon 6x den PC komplett formatiert!
D.h. von CD aus die Patitionen gelöscht und neu raufgebracht.
Hat aber einfach nicht das Problem selber behoben! Und Ad Aware und Co finden ja nix mehr. Nur Combo Fix löscht das selbe immer.

Und das System ist so veraltet weil der PC veraltet ist.
Hab grad nur SP1 drauf weil ich auf der reboot cd nur 1 drauf hab! Habe es aber auch schon mit SP2 versucht, hat nix gebracht. Problem bliebt, formatieren brachte nix..wie immer

1.) ComboFix solltest du nie auf eigene Hand benutzen!
2.) SP2 kannst du per Zweitrechner oder von einem Bekannten auf CD brennen

Zitat:

Habe es aber auch schon mit SP2 versucht, hat nix gebracht.

So wie du das hier beschreibst, könnte man meinen du denkst es sei ein Wunder-Tool.
Wenn du nach der Anleitung hier formatierst, kann kein Schädling es überleben.
Anscheinend, wenn dein System infiziert bleibt muss eine deiner Backups oder Programme die du aufspielst infiziert sein.

mfg

Naja ich weiß net obs genauso wie die Anleitung hier ist.
Tu die CD halt rein, lass die Partition komplett löschen (hab nur eine) und erstelle dann eine neue auf die ich WIndows neuinstalliere... Aber kaum hab ichs formatiert ist das gleiche Problem wieder da
Ist ja sogar schon da bevor ich irgendwas drauf bringe dass ist ja das komische :/

Wenn du eine originale Hologramm-CD hast, kann ich mir das kaum vorstellen.

mfg

Hi,

kein Wunder. Wenn Du mit dem veralteten System ins Internet gehst, dann dauert es Sekunden, maximal Minuten, und es ist hoffnungslos verseucht. Bevor Du es mit dem Internet verbindest, muss das Servicepack 2 installiert werden. Dazu musst Du es natürlich auf CD haben. Das SP2 findest Du z.B.
hier oder hier. Laden und auf CD brennen auf einem sauberen Computer, z.B. bei einem Freund oder im Internetcafe. Ebenfalls die Installationsdatei für einen Virenscanner, Antivir Classic ist eine gute Wahl.

Nachdem beides installiert ist, darfst Du online gehen. Als allererstes Mit dem Internet Explorer zu Windows Update gehen und alle wichtigen Updates installieren. Dies nach einem Neustart wiederholen bis es schließlich heißt, dass es keine wichtigen Updates mehr gibt. Dann Antivir aktualisieren, die neuesten Virenerkennungen fehlen in der Installationsdatei.

Jetzt kannst Du anfangen andere Sachen zu laden und zu installieren. Als eine der ersten Sachen würde ich einen anderen Browser empfehlen.

Gruß, Karl

Ich habe mir gerade deine Logfile angesehen und es stimmt du hast schon sehr viele Schadprozesse auf deinem PC laufen, aber ich denke nicht das diese das formatieren "überleben" würden/hätten und außerdem deutet auch nichts auf Sasser hin so wie ich das sehe (als Laie lasse ich mich gerne eines besseren belehren), vielleicht liegt es allgemein am Client für Microsoft- Netzwerke (dazu gehört nämlich isass.exe soviel ich weiß)?
Am besten wäre wenn du einfach einmal das erledigst was dir die etwas Erfahreren (Wie Dark Viruz oder KarlKarl) im Trojanerboard raten um deine Malware loszuwerden und dann einfach noch einmal formatierst, ich denke dann kann es aufjedenfall keine Malware sein welche die Abstürze verursacht.

Zitat:

Zitat von Dark Viruz

Wenn du eine originale Hologramm-CD hast, kann ich mir das kaum vorstellen.

mfg

Hab die ganz normale CD die beim Computer dabei lag. D.h. Wiederherstellungscs von Fujitsu mit Windoof XP (ohne SP). Ich mein der PC is schon gute 6 Jahre alt lol.

Ansonsten kann ichs gerne nochmal testen des formatieren denke aber nicht dass es diesmal was bringen wird.

SOnst noch Ideen woran es liegen kann? Ich werde mal so vorgehen wie ihr geschrieben habt und mal nen neuen HijackLog posten wenn ich fertig bin.

Ich habe keine Ahnung, wo in deinem Fall das Problem liegt, wenn ich alles richtig verstanden hab, tut mir leid.

Zitat:

Ich werde mal so vorgehen wie ihr geschrieben habt und mal nen neuen HijackLog posten wenn ich fertig bin.

Das ist eine gute Idee

mfg

Versuch einfach mal das hier
Rufe mal die Eigenschaften deiner Netzwerkkarte oder deiner DFÜ- Verbindung auf. Bei DFÜ- Verbindung musst du dann auf Netzwerk oder sowas klicken. Klicke beim Client für Microsoft- Netzwerke auf deinstallieren, das gleiche bei der Datei- und Druckerfreigabe. Führe anschließend das Skript von http://www.ntsvcfg.de mit der Option /alle aus, sofern du eine direkte Internetverbindung hast. Starte dann neu. Geht es dann besser?

Naja falls funktioniert kanns auf jedenfall nicht an einem Virus liegen, das heißt aber noch lange nicht das dein System sauber ist....

Entschuldige, aber das ist Mist.

Damit umgeht man nicht die Installation einer größeren Menge Servicepacks und Windows Updates. Beim Zustand des Systems gemäß des HijackThis Logs oben ist es auch zu spät. Dieses System ist reif für den Müll. Und gehört sofort entsorgt, denn es sieht auch danach aus, dass es böse Dinge im INternet tun könnte. Besser jetzt formaiteren als abwarten, bis die Polizei es abholt (verbunden mit den üblichen Scherereien wie Tür eingetreten, Anzeige, Kosten, kein Computer mehr, usw).

Falls du die Onlineauswertung nutzt: eine Menge Einträge, die dort einen grünen Haken bekommen, müssten ebenfalls rot markiert werden. Da fehlt einiges in der Datenbank.