|
Kann mein PC mit "Sasser" infiziert sein? Ich benutze Win XP Home SP2, wonach mein System laut Microsoft nicht mit Sasser infiziert sein kann (da es durch das S2 scheinbar unschädlich gemacht wurde). Letztens habe ich mal wieder alle z.Zt. laufenden Prozesse durch Yahoo gejagt und kam bei den Prozessen "lsass.exe" und "csrss.exe" zu dem Ergebnis, dass sie mit dem beühmt berüchtigten Wurm "Sasser" infiziert sein könnte. Ich wollte den Prozess probeweise beenden und bekam das Fenster, das mir mitteilte, in 60 Sekunden würde Windows heruntergefahren... Der von Microsoft bereitgestellte Sasser-Patch funktioniert jedoch nur auf SP1. Also blieb mir nur noch die Möglichkeit, den Wurm durch Stinger und FXSasser suchen zu lassen. Beide blieben ohne Befund, dennoch macht mich dieses augetauchte Fenster stutzig. Ist es normal, dass der PC ausgeschaltet wird, wenn man versucht, den Prozess zu beenden oder nicht? (Von alleine wurde der PC bislang nicht heruntergefahren. Ich hoffe, ihr könnt mir helfen! Gruß, dohnut |
Servus! Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen! stupormundi |
So, hier das Log-File: -------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 13:25:07, on 05.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\Logi_MwX.Exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Messenger\msmsgs.exe C:\Palm\hotsync.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Opera\Opera.exe C:\Programme\Windows Media Player\wmplayer.exe C:\HJT\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Programme\Iomega\Iomega Automatic Backup\ibackup.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe |
Servus! In Deinem Log finde ich jetzt mal nicht böses! Die beiden von Dir zitierten Datein (csrss.exe=Client/Server Runtime Subsystem und lsass.exe=lokaler Sicherheitsdienst) stehen bei Dir an der richtigen Stelle und sind Systemprozesse! Aber mach mal einen Virenscan im abgesicherten Modus, zB mit escan. Teile uns das Ergebnis hier mit! stupormundi |
Hm, das Problem ist, dass der Log aus 1,2 Mio Zeichen besteht, was bedeutet, ich müsste es in 48 Posts schreiben... Gibt's keine kürzere Fassung? |
Hm... Zitat:
Stichwort 'find.bat' oder die beschriebene Alternative! Da ist nirgends die Rede vom Posten des ganzen Logs (welches immer so groß ist) stupormundi |
Gut, bin, wie vorgeschrieben vorgegangen und habe alles rauskopiert, was die Wörter "infected" oder "tagged" enthält. Hier die Ergebnisse: ------------------------------------------------------------- Thu Jan 05 14:06:21 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken. Thu Jan 05 14:06:21 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken. Thu Jan 05 14:06:21 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!! Thu Jan 05 14:06:21 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Jan 05 14:06:21 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!! Thu Jan 05 14:06:21 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Jan 05 14:06:21 2006 => Offending Key found: HKLM\Software\limewire !!! Thu Jan 05 14:06:21 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Jan 05 14:06:21 2006 => Offending file found: C:\WINDOWS\system32\vbalicom6.dll Thu Jan 05 14:06:21 2006 => System found infected with abetterinternet Spyware/Adware (vbalicom6.dll)! Action taken: No Action Taken. Thu Jan 05 14:06:22 2006 => Offending Folder found: C:\Programme\limewire Thu Jan 05 14:06:22 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Jan 05 14:06:22 2006 => Offending file found: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\cmdlineext02.dll Thu Jan 05 14:06:22 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken. Thu Jan 05 14:06:22 2006 => Offending file found: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\war3_install.exe Thu Jan 05 14:06:22 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken. Thu Jan 05 14:06:23 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\meine die schlacht um mittelerde-dateien\save Thu Jan 05 14:06:23 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Jan 05 14:06:23 2006 => Offending file found: C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\microsoft\internet explorer\quick launch\internet.lnk Thu Jan 05 14:06:23 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken. Thu Jan 05 14:06:26 2006 => Offending file found: C:\Dokumente und Einstellungen\Sebastian\Favoriten\ebay.url Thu Jan 05 14:06:26 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken. Thu Jan 05 14:06:36 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\spellforce\save Thu Jan 05 14:06:36 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Jan 05 14:06:36 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Startmenü\programme\limewire Thu Jan 05 14:06:36 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Jan 05 14:06:36 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Startmenü\Programme\limewire Thu Jan 05 14:06:36 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Jan 05 14:06:37 2006 => Offending file found: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\temp\cmdlineext02.dll Thu Jan 05 14:06:37 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken. Thu Jan 05 14:06:38 2006 => Offending file found: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\temp\war3_install.exe Thu Jan 05 14:06:38 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken. Thu Jan 05 14:06:45 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\spellforce\save Thu Jan 05 14:06:45 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. |
Hallo Dohnut, kleine Fische bei dir.... Du machst folgendes :suche dir mit Hilfe von Google von den Originalseiten,Spybot Search and Destroy-Ewido Security Suite-AdAware SE Personal-Regseeker-Clear Prog 1.4.1. final Alle installieren und Spybot,Ewido und Adaware updaten. In den abgesicherten Modus bei ausgeschalteter Systemsteuerung und die drei scannen lassen und löschen was gefunden wird.Nacheinander versteht sich, Reihenfolge wie es beliebt. In den normalen Modus booten und Regseeker laufen lassen mit der Option "Registrierung säubern" achte darauf das links unten die Sicherung angehakt ist.Sooft laufen lassen bis nix mehr zu löschen ist. Danach mit Clear Prog "alle Optionen " alle Haken,laufen lassen und den restlichen Müll rausbringen lassen(löschen) Dann zeigst du einen neuen Escan vor. Irrlicht |
So, alles gemacht: -------------------- Logfile of HijackThis v1.99.1 Scan saved at 19:28:32, on 06.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Iomega\Iomega Automatic Backup\ibackup.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Messenger\msmsgs.exe C:\Palm\hotsync.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Opera\Opera.exe C:\HJT\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Programme\Iomega\Iomega Automatic Backup\ibackup.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\delus.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Iomega Automatic Backup] C:\Programme\Iomega\Iomega Automatic Backup\ibackup.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board