Hallo,

ich habe ein Riesenproblem: seit drei Tagen fährt sich mein Rechner immer
wieder unkontrolliert runter ("nt-autorität/system... lsass.exe..." - dürfte vielen bekannt vorkommen) Kenne mich selber nicht gut aus und habe deshalb versucht, mich in verschiedenen Foren schlau zu machen.

Ergebnis: alles deutet auf einen Virus hin, aber irgendwie sind die Symptome
atypisch?! AntiVir, Stinger von McAffee und verschiedene Removal-Tools von
Symantec haben nichts gefunden, HijackThis-(Selbst)Analyse hat nichts
ergeben. Auch der Befehl "shutdown -a", den ich ihn einem Forum gefunden
habe (um das Runterfahren des PCs zu verhindern) funktioniert bei mir nicht.

Ich bin total verzeifelt! Hat irgendjemand eine Ahnung, was für ein Virus das
sein könnte und was ich dagegen tun kann? Die Sicherheitslücke habe ich
inzwischen geschlossen, aber wie krieg ich das Teil wieder von meinem PC
runter??

Vielen Dank im Voraus für eure Hilfe!!

Bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

Hier kommt's! Muß dazu sagen, daß ich gestern erst diverse Sicherheitslücken geschlossen habe ! Ist auch sehr ruhig momentan (keine unkontrollierten Neustarts gestern abend und heute vormittag), aber das heißt wohl nichts?!

Logfile of HijackThis v1.98.2
Scan saved at 11:34:44, on 14.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe
C:\WINNT\system32\internat.exe
C:\Programme\Steganos AntiDialer 7\guard.exe
C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\susi strolch\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/dienst/index.html
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe"
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26fa9862...dxIE601_de.cab

Doch, das heisst schon was, da du mit den Sicherheitspatches die Ursache höchstwahrscheinlich beseitigt hast. Das Log sieht soweit ok aus, für die Zukunft merken, dass man die Software auf dem Rechner und besonders das Betriebssystem regelmäßig (wöchentlich) auf Updates überprüfen sollte.

Weiterführende Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html

Zur Kontrolle kannst du auch das noch einmal durchlaufen lassen:

http://www.trojaner-board.de/42731-escan-anleitung.html

der escan im abgesicherten modus hat nichts gefunden! danke für deine tipps und hilfe!

naja, ich freu mich natürlich, aber kapieren tu ich's nicht! was hat denn nun die neustarts verursacht, wenn kein virus? und wenn das problem nur darin bestanden hat, daß ich meinen pc unzureichend gesichert habe, warum ist es dann nicht viel früher aufgetreten, sondern erst in den letzten vier tagen massiv?

http://www.bsi.de/av/vb/sasser.htm

Es ist in diesem Faull nicht so, dass du dir einen Virus herunterladen musst oder eine mail öffnest, also entspricht keinem der meist üblichen Infektionswege. Der Schädling setzt direkt an einer Schwachstelle des Betriebssystems an, also an einem eigentlich "guten" Dienst, der missbraucht wird, es wird kein "böser" (wie ein Trojanisches Pferd) benötigt, um von Außen auf deinen Rechner zuzugreifen. Die Neustarts hat also ein XP-Programm selbst veranlasst.