PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Software Foren: (https://www.pc-experience.de/wbb2/board.php?boardid=17)
-- Windows 9x, NT, 2000, XP: (https://www.pc-experience.de/wbb2/board.php?boardid=18)
--- neuer sasser virus? (https://www.pc-experience.de/wbb2/thread.php?threadid=17655)

Geschrieben von Schmuui am 17.09.2005 um 18:46:

  neuer sasser virus?

hallo leibe user und moderatoren,
ich hoffe ich bin im richtigen forum für mein problem...
den sasser gibts ja schon seit mehr als einem jahr und er tritt immer ähnlich auf: man startet den pc und irgendwann erscheint das fenster, dass einem sagt, dass der pc in einer minute herunterfährt. das kann man dann aber anhalten und ihn dann mithilfe von programmen wie mcafee etc. letztendlich stoppen...
nun hab ich aber heute morgen den pc angeschaltet (windows xp, servicepack 2, firewall von windows und als virenscanner antivir xp) und als ich bei der benutzerkontenübersicht mein passwort eingeben wollte hat er zuerst (unnormal lang) geladen und dann eben das obligatorische fenster mit den 60 sekunden bis zum herunterfahren angezeigt... ich hab mich dann im internet auf die suche nach ner lösung gemacht, auch vieles gefunden (z.b. bei ausführen "shutdown -a" und dann die für den sasser spezifischen dateien im regedit von window löschen), aber da ich ja nichmal normal ins windows reinkomme, kann ich ja nix mit dem ausführen befehl beenden... also bin ich im abgesicherten modus rein, hab dann nochmal bei "regedit" unter dem pfad HKLM\Software\windows...\run nach den von sasser erstellten dateien geguckt, diese aber nicht gefunden, konnte also keine sasser dateien löschen. hab dann auch den mcafee stinger und den sasser scanner von symantec im abgesicherten modus laufen lassen, die haben jedoch beide keine anzeichen eines sasser viruses befunden. nun bin ich wirklich ratlos, hab nirgends was von einer sasser-version gefunden, die schon vor dem eigentlichen start von windows herunterfährt und weiß nich, was ich noch tun kann :( ich hoffe jemand von euch kennt das problem, oder findet dafür ne lösung, ich will nämlich echt nicht formatieren müssen.
danke schonmal im voraus,
richard


Geschrieben von Iconner am 17.09.2005 um 18:56:

 

Nur weil ein Virus was ähnliches macht wie Sasser ist es nicht gleich ein Sasser großes Grinsen .

Zieh dir Kaspersky (Die Demo reicht zunächst.) und scan deinen PC damit. Ich hoffe das geht im abgesicherten Modus.


Geschrieben von Schmuui am 17.09.2005 um 21:29:

 

hmmm, hab die kapersky demo im abgesicherten modus durchlaufen lassen, aber er findet leider auch keinen virus... ich weiß echt nich mehr weiter


Geschrieben von kaffeeruler am 17.09.2005 um 22:07:

 

was sagt denn die ereignisanzeige ?
Autostart ?
Hardware mal geschaut? evtl mal abgerüstet ? könnte auch ein Hardware Porblem sein


Geschrieben von Schmuui am 17.09.2005 um 22:36:

 

also ich bin grad dabei zu gucken, obs vielleicht an irgendeinem prog liegt, dass in der registry gestartet wird... aber dass es an der hardware liegt fänd ich merkwürdig, schließlich hab ich nix verändert seit gestern und dass nen hardware fehler genau den gleichen fehlerbildschirm wie der des sassers hervorruft? hmmm
was mich nur stutzig macht ist, dass er sich in genau der sekunde aufhängt, wenn ich beim benutzerkonto das passwort betstätige oder mich als gast einloggen will... ich aknn doch nicht der einzige sein, dem das je passiert ist!


Geschrieben von HolyMoly am 17.09.2005 um 23:03:

 

lade dir Hijackthis herunter: klick und erstelle ein Logfile, da dann bitte hier postest


Geschrieben von Schmuui am 17.09.2005 um 23:30:

 

ok, hier die log-file

Logfile of HijackThis v1.99.1
Scan saved at 23:15:12, on 17.9.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.viruslist.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\RunOnce: [SIAPRO7] "C:\Programme\Steganos Internet Anonym Pro 7\SIAPRO7.exe" -firstboot
O4 - HKCU\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Geschrieben von kaffeeruler am 17.09.2005 um 23:38:

 

Deine Auswertung von HJT

Klick

Hier kannst du es selber mal machen

Klick
einfach logfile einkopiren und auswerten


Geschrieben von Schmuui am 18.09.2005 um 00:09:

 

tja, er sagt hauptsächlich, dass ich spyware draufhabe... kann spyware der auslöser für nen virus sein?


Geschrieben von kaffeeruler am 18.09.2005 um 00:34:

 

spyware: Als Spyware wird üblicherweise Software bezeichnet, die persönliche Daten des Benutzers ohne dessen Wissen oder gar Zustimmung an den Hersteller der Software oder an Dritte sendet. Oft wird Spyware verwendet, um Produkte scheinbar kostenlos anzubieten
Trojaner: Meist auf der suche nach pers. Daten usw
Virus: auf zerstörung aus

Leider ist es oft so das sie alle zusammen kommen und sie net gehen wollen, wie Schwiegereltern hald großes Grinsen

Ob du damit nen Virus erhalten hast od kannst weiss wohl keiner so genau, möglich ist alles


Geschrieben von Schmuui am 18.09.2005 um 15:41:

 

er findet auch mit spybot natürlich wieder nix... ich habe keine zeichen von dateien auf meinem pc, die der sasser herstellt, in der registry werden auch keinen neuen datein zum systemstart mehr hinzugefügt... ich bin jetzt langsam wirklich am ende, es muss doch irgendwen geben, der das gleiche problem hatte und es vorallem lösen konnte...


Geschrieben von Katsche am 18.09.2005 um 18:54:

 

ich würde 3 Dinge vorschlagen:

1. du startest das System mal im Cleanboot Modus: klick

2. wenn dich das nicht weiterbringt, check die Systemdateien über Start >Ausführen >sfc /scannow ausführliche Erklärung dazu

3. führe die komplette Systemreparatur durch: klick


p.s. den hiesigen Sasserartikel solltest du auch mal lesen: klick , besonders das Kapitel "vorbeugende Maßnahmen"!


Geschrieben von Onkel Mo am 18.09.2005 um 19:02:

 

Hallo Schmuui!
Was steht eigentlich genau in der 60 Sekunden-Meldung?
(Den kompletten Text bitte!)
Es gibt nicht nur Sasser, der diese Meldung zu Stande bringt!
Der Kontext der Meldung ist daher bei der Ursachenforschung sehr hilfreich!

Und benutze bitte eine anständige Firewall!
Die von Windows selbst bietet nur unzureichenden Schutz!


Geschrieben von Hemetz am 19.09.2005 um 10:53:

  RE: neuer sasser virus?

@Schmuui!
Welchen CPU hast du?
Bei mir war mal das selbe Problem bei einem Athlon 64 und WinXP SP2!
Link

Hemetz


Forensoftware: Burning Board , entwickelt von WoltLab GmbH