Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Sasser oder ähnliches, bitte um Hilfe (https://www.trojaner-board.de/32628-sasser-aehnliches-bitte-um-hilfe.html)

Melmoth 03.10.2006 16:22
Sasser oder ähnliches, bitte um Hilfe
 
Also, ich habe folgendes Problem:
Ich habe hier zwei Rechner via W-Lan im Internet, der eine ist ein Laptop. Beide laufen mit XP, beide haben Firewalls und Antivirenscanner und bei beiden habe ich dieses typische Sasserphänomen mit dem Shutdown nach 2 Minuten. Da ich vor ein paar Jahren schonmal die Bekanntschaft mit Sasser hatte, wusste ich noch wie man den Shutdownprozess stoppt. Habe jetzt alles tausendmal gescannt mit allem, was ich im Internet finden konnte, aber leider keinerlei Funde. Lediglich mein AdAware fand einige Sachen, ein Programm dabei hieß Webhancer und war besonders schwer zu löschen. Seitdem es weg ist, kann ich mit dem Laptop nicht mehr ins Internet, er zeigt zwar die aktive Verbindung an mit demselben Schlüssel, mit dem der andere Rechner auch im Netz ist, sagt mir aber, ich hätte nur eingeschränkte Nutzungsrechte und keine IP Adresse. Mein Tower PC dagegen kann noch ins netz, allerdings ist der RAM superlangsam (obwohl 640 MB und kaum Programme auf dem Rechner) und der Shutdownbefehl kommt halt jedesmal beim Hochfahren. Hier ist jetzt der Log, den mir hijackthis ausspuckt (leider nur von meinem Towerrechner, ich versuch den vom Laptop noch nachzuliefern). Ich weiß, ist viel auf einmal, aber seit heute morgen brennt hier der Baum;-( Danke für eure Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 17:22:46, on 03.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\RAM Idle LE\RAM_XP.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Melmoth\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

felix1 03.10.2006 16:31
Der PC ist ungewartet und ungepflegt. SP2 und Updates fehlen.

Logfile of HijackThis v1.99.1
Scan saved at 17:22:46, on 03.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Melmoth 03.10.2006 16:38
XP ist erst seit kurzem drauf.

hier das Log:
10/03/06 17:33:46 [Info]: BlackLight Engine 1.0.47 initialized
10/03/06 17:33:46 [Info]: OS: 5.1 build 2600 ()
10/03/06 17:33:46 [Note]: 7019 4
10/03/06 17:33:46 [Note]: 7005 0
10/03/06 17:34:30 [Note]: 7006 0
10/03/06 17:34:30 [Note]: 7011 1236
10/03/06 17:34:31 [Note]: 7026 0
10/03/06 17:34:31 [Note]: 7026 0
10/03/06 17:34:42 [Note]: FSRAW library version 1.7.1020
10/03/06 17:36:59 [Note]: 7007 0

Sunny 03.10.2006 16:45
Normalerweise würde bei diesem Patchstand eine Neuinstallation nur in Frage kommen, aber man kann es auch mal unterbinden:

1.) Als erstes solltest du das von "Sasser" erzwungene Herunterfahren stoppen. Im Windows-Startmenü auf "Ausführen" klicken und danach "cmd" eintippen -> ENTER. Jetzt eingeben -> "shutdown -a" -> ENTER

2.) folgendes Removaltool laden und ausführen ->Removaltool

3.) nunmehr alle Updates installieren um somit die Sichheitslücken zu stopfen -> Microsoft Updates

Gruß
Sunny

Melmoth 03.10.2006 17:26
Das Removal Tool findet nichts, das Shutdownfenster erscheint nach wie vor, ich kann es nur mit dem shutdown -a befehl halt anhalten. Gibt es noch andere empfehlenswerte Tools oder vielleicht kann es sich auch um einen anderen Virus handeln? Noch jemand Vorschläge? Danke schön

Sunny 03.10.2006 17:40
Zitat:
Zitat von Melmoth
Das Removal Tool findet nichts, das Shutdownfenster erscheint nach wie vor, ich kann es nur mit dem shutdown -a befehl halt anhalten. Gibt es noch andere empfehlenswerte Tools oder vielleicht kann es sich auch um einen anderen Virus handeln? Noch jemand Vorschläge? Danke schön
Das kann alles Mögliche sein, bei dem Stand an Updates und Sicherheitspacks kein Wunder!
Da man aber nie genau sagen kann was auf deinem System noch alles *rumherirrt*, würde ich dir jetzt nur noch eine Neuinstallation ans Herz legen...
Die Suche nach deinem Fehler Problem könnte Tage/Wochend dauern, und im schlimmsten Fall sogar sinnlos sein, daher nimm dir meinen Rat an und setz neu auf. (mit aktuellen Updates und Packs!)

Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131