|
  |
 neuer sasser virus? |
Schmuui 
neu im Forum
Dabei seit: 17.09.2005
Beiträge: 6
Herkunft: Berlin
 |
|
hallo leibe user und moderatoren,
ich hoffe ich bin im richtigen forum für mein problem...
den sasser gibts ja schon seit mehr als einem jahr und er tritt immer ähnlich auf: man startet den pc und irgendwann erscheint das fenster, dass einem sagt, dass der pc in einer minute herunterfährt. das kann man dann aber anhalten und ihn dann mithilfe von programmen wie mcafee etc. letztendlich stoppen...
nun hab ich aber heute morgen den pc angeschaltet (windows xp, servicepack 2, firewall von windows und als virenscanner antivir xp) und als ich bei der benutzerkontenübersicht mein passwort eingeben wollte hat er zuerst (unnormal lang) geladen und dann eben das obligatorische fenster mit den 60 sekunden bis zum herunterfahren angezeigt... ich hab mich dann im internet auf die suche nach ner lösung gemacht, auch vieles gefunden (z.b. bei ausführen "shutdown -a" und dann die für den sasser spezifischen dateien im regedit von window löschen), aber da ich ja nichmal normal ins windows reinkomme, kann ich ja nix mit dem ausführen befehl beenden... also bin ich im abgesicherten modus rein, hab dann nochmal bei "regedit" unter dem pfad HKLM\Software\windows...\run nach den von sasser erstellten dateien geguckt, diese aber nicht gefunden, konnte also keine sasser dateien löschen. hab dann auch den mcafee stinger und den sasser scanner von symantec im abgesicherten modus laufen lassen, die haben jedoch beide keine anzeichen eines sasser viruses befunden. nun bin ich wirklich ratlos, hab nirgends was von einer sasser-version gefunden, die schon vor dem eigentlichen start von windows herunterfährt und weiß nich, was ich noch tun kann :( ich hoffe jemand von euch kennt das problem, oder findet dafür ne lösung, ich will nämlich echt nicht formatieren müssen.
danke schonmal im voraus,
richard
|
|
17.09.2005 18:46 |
|
|
Iconner
Mitglied
Dabei seit: 23.02.2003
Beiträge: 287
Herkunft: Hamburg
|
|
Nur weil ein Virus was ähnliches macht wie Sasser ist es nicht gleich ein Sasser 
.
Zieh dir Kaspersky (Die Demo reicht zunächst.) und scan deinen PC damit. Ich hoffe das geht im abgesicherten Modus.
|
|
|
17.09.2005 18:56 |
|
|
Schmuui
neu im Forum
Dabei seit: 17.09.2005
Beiträge: 6
Herkunft: Berlin
Themenstarter 
|
|
hmmm, hab die kapersky demo im abgesicherten modus durchlaufen lassen, aber er findet leider auch keinen virus... ich weiß echt nich mehr weiter
|
|
|
17.09.2005 21:29 |
|
|
kaffeeruler
Junior-Mitglied
Dabei seit: 02.05.2004
Beiträge: 152
|
|
was sagt denn die ereignisanzeige ?
Autostart ?
Hardware mal geschaut? evtl mal abgerüstet ? könnte auch ein Hardware Porblem sein
__________________
je mehr man weiss desto eher merkt man das man nichts weiss ;)
|
|
|
17.09.2005 22:07 |
|
|
Schmuui
neu im Forum
Dabei seit: 17.09.2005
Beiträge: 6
Herkunft: Berlin
Themenstarter
|
|
also ich bin grad dabei zu gucken, obs vielleicht an irgendeinem prog liegt, dass in der registry gestartet wird... aber dass es an der hardware liegt fänd ich merkwürdig, schließlich hab ich nix verändert seit gestern und dass nen hardware fehler genau den gleichen fehlerbildschirm wie der des sassers hervorruft? hmmm
was mich nur stutzig macht ist, dass er sich in genau der sekunde aufhängt, wenn ich beim benutzerkonto das passwort betstätige oder mich als gast einloggen will... ich aknn doch nicht der einzige sein, dem das je passiert ist!
|
|
|
17.09.2005 22:36 |
|
|
HolyMoly
Gold Member
Dabei seit: 12.07.2005
Beiträge: 1.421
Herkunft: Gelsenkirchen
|
|
lade dir Hijackthis herunter: klick
und erstelle ein Logfile, da dann bitte hier postest
__________________
"Gib einem Mann eine IP und er wird sich am Kopf kratzen.
Zeig' einem Mann wie er selbst IPs herausfindet und er wird alle Haare verlieren."
|
|
|
17.09.2005 23:03 |
|
|
Schmuui
neu im Forum
Dabei seit: 17.09.2005
Beiträge: 6
Herkunft: Berlin
Themenstarter
|
|
ok, hier die log-file
Logfile of HijackThis v1.99.1
Scan saved at 23:15:12, on 17.9.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.viruslist.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\RunOnce: [SIAPRO7] "C:\Programme\Steganos Internet Anonym Pro 7\SIAPRO7.exe" -firstboot
O4 - HKCU\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/
(file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2...RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5...b?1097566082250
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmes...pdownloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
|
|
|
17.09.2005 23:30 |
|
|
kaffeeruler
Junior-Mitglied
Dabei seit: 02.05.2004
Beiträge: 152
|
|
Deine Auswertung von HJT
Klick
Hier kannst du es selber mal machen
Klick
einfach logfile einkopiren und auswerten
__________________
je mehr man weiss desto eher merkt man das man nichts weiss ;)
|
|
|
17.09.2005 23:38 |
|
|
Schmuui
neu im Forum
Dabei seit: 17.09.2005
Beiträge: 6
Herkunft: Berlin
Themenstarter
|
|
tja, er sagt hauptsächlich, dass ich spyware draufhabe... kann spyware der auslöser für nen virus sein?
|
|
|
18.09.2005 00:09 |
|
|
kaffeeruler
Junior-Mitglied
Dabei seit: 02.05.2004
Beiträge: 152
|
|
spyware: Als Spyware wird üblicherweise Software bezeichnet, die persönliche Daten des Benutzers ohne dessen Wissen oder gar Zustimmung an den Hersteller der Software oder an Dritte sendet. Oft wird Spyware verwendet, um Produkte scheinbar kostenlos anzubieten
Trojaner: Meist auf der suche nach pers. Daten usw
Virus: auf zerstörung aus
Leider ist es oft so das sie alle zusammen kommen und sie net gehen wollen, wie Schwiegereltern hald
Ob du damit nen Virus erhalten hast od kannst weiss wohl keiner so genau, möglich ist alles
__________________
je mehr man weiss desto eher merkt man das man nichts weiss ;)
|
|
|
18.09.2005 00:34 |
|
|
Schmuui
neu im Forum
Dabei seit: 17.09.2005
Beiträge: 6
Herkunft: Berlin
Themenstarter
|
|
er findet auch mit spybot natürlich wieder nix... ich habe keine zeichen von dateien auf meinem pc, die der sasser herstellt, in der registry werden auch keinen neuen datein zum systemstart mehr hinzugefügt... ich bin jetzt langsam wirklich am ende, es muss doch irgendwen geben, der das gleiche problem hatte und es vorallem lösen konnte...
|
|
|
18.09.2005 15:41 |
|
|
Katsche
Legenden-Anwärter
Dabei seit: 17.06.2003
Beiträge: 1.761
Herkunft: Bergisch-Gladbach
|
|
ich würde 3 Dinge vorschlagen:
1. du startest das System mal im Cleanboot Modus: klick
2. wenn dich das nicht weiterbringt, check die Systemdateien über Start >Ausführen >sfc /scannow ausführliche Erklärung dazu
3. führe die komplette Systemreparatur durch: klick
p.s. den hiesigen Sasserartikel solltest du auch mal lesen: klick
, besonders das Kapitel "vorbeugende Maßnahmen"!
__________________
mfg
Katsche
|
|
|
18.09.2005 18:54 |
|
|
Hemetz
kommt gerne wieder
Dabei seit: 17.10.2004
Beiträge: 65
|
|
@Schmuui!
Welchen CPU hast du?
Bei mir war mal das selbe Problem bei einem Athlon 64 und WinXP SP2!
Link
Hemetz
|
|
|
19.09.2005 10:53 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2023 PC-Experience.de |
|
