| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Kann mein PC mit "Sasser" infiziert sein?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
05.01.2006, 12:43
| #1 |
 |  Kann mein PC mit "Sasser" infiziert sein? Ich benutze Win XP Home SP2, wonach mein System laut Microsoft nicht mit Sasser infiziert sein kann (da es durch das S2 scheinbar unschädlich gemacht wurde). Letztens habe ich mal wieder alle z.Zt. laufenden Prozesse durch Yahoo gejagt und kam bei den Prozessen "lsass.exe" und "csrss.exe" zu dem Ergebnis, dass sie mit dem beühmt berüchtigten Wurm "Sasser" infiziert sein könnte. Ich wollte den Prozess probeweise beenden und bekam das Fenster, das mir mitteilte, in 60 Sekunden würde Windows heruntergefahren... Der von Microsoft bereitgestellte Sasser-Patch funktioniert jedoch nur auf SP1. Also blieb mir nur noch die Möglichkeit, den Wurm durch Stinger und FXSasser suchen zu lassen. Beide blieben ohne Befund, dennoch macht mich dieses augetauchte Fenster stutzig. Ist es normal, dass der PC ausgeschaltet wird, wenn man versucht, den Prozess zu beenden oder nicht? (Von alleine wurde der PC bislang nicht heruntergefahren. Ich hoffe, ihr könnt mir helfen! Gruß, dohnut |
|
05.01.2006, 13:15
| #2 |
   | Kann mein PC mit "Sasser" infiziert sein? Servus!
__________________Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen! stupormundi
__________________ |
|
05.01.2006, 13:36
| #3 |
| | Kann mein PC mit "Sasser" infiziert sein? So, hier das Log-File:
__________________-------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 13:25:07, on 05.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\Logi_MwX.Exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Messenger\msmsgs.exe C:\Palm\hotsync.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Opera\Opera.exe C:\Programme\Windows Media Player\wmplayer.exe C:\HJT\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Programme\Iomega\Iomega Automatic Backup\ibackup.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe |
|
05.01.2006, 14:02
| #4 |
| | Kann mein PC mit "Sasser" infiziert sein? Servus! In Deinem Log finde ich jetzt mal nicht böses! Die beiden von Dir zitierten Datein (csrss.exe=Client/Server Runtime Subsystem und lsass.exe=lokaler Sicherheitsdienst) stehen bei Dir an der richtigen Stelle und sind Systemprozesse! Aber mach mal einen Virenscan im abgesicherten Modus, zB mit escan. Teile uns das Ergebnis hier mit! stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
|
05.01.2006, 14:36
| #5 |
| | Kann mein PC mit "Sasser" infiziert sein? Hm, das Problem ist, dass der Log aus 1,2 Mio Zeichen besteht, was bedeutet, ich müsste es in 48 Posts schreiben... Gibt's keine kürzere Fassung? |
|
05.01.2006, 14:43
| #6 | |
| | Kann mein PC mit "Sasser" infiziert sein? Hm... Zitat:
Stichwort 'find.bat' oder die beschriebene Alternative! Da ist nirgends die Rede vom Posten des ganzen Logs (welches immer so groß ist) stupormundi
__________________ --> Kann mein PC mit "Sasser" infiziert sein? |
|
| Themen zu Kann mein PC mit "Sasser" infiziert sein? |
| beenden, blieb, csrss.exe, ergebnis, fenster, funktioniert, helfen, home, infiziert, lsass.exe, microsoft, ohne befund, prozesse, sasser, sekunden, sp2, stinger, suche, system, versucht, win, win xp, windows, wurm, würde, xp home, yahoo |
Hybrid-Darstellung
