Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   vermutlich ein ablegger von sasser (https://www.trojaner-board.de/32248-vermutlich-ablegger-sasser.html)

sYpHx 16.09.2006 14:12
vermutlich ein ablegger von sasser
 
jo freude spass und glück zusammen :>

zu allererst, es handelt sich bei dem gerät um einen Laptop mit Windows XP Home Edition SP2 ohne irgendwelchen weiteren sicherheits updates.

Also anscheinend hab ich mir nen ableger von Sasser eingefangen.
Er hatt ähnliche Eigenschaften wie Sasser aber die sasser typischen dateien sind nicht vorhanden.
Also ich fang einfach mal an zu listen:

- pc is unglaublich lahm weil ram verstopft etc etc. übliches halt
- bei jedem start kommt dieses tolle fenster, pc wird in xx sekunden heruntergefahren wg isass.exe blablabla

also ab in die eingabeaufforder und und shutdown -a, damit hatt sich das soweit

so also soweit bin ich mit hilfe von google und eigenem wissen gekommen aber jetz komm ich nich weiter:

das problem is das der quälgeist jegliche verbindungswege vom oder zum laptop unterbindet heisst:

- blockt internet oder jegliche lan verbindungen
- wehrt usb sticks/externe platten/handys/mp3player (schlicht alle externen speichermedien) erfolgreich ab, der lt erkennt sie zwar, ich kann aber nich auf sie zugreifen
- cd rom/dvd wird ebenfalls unterbunden
-- von cd starten geht nich, dan sagt er der user acc. hatt keine rechte dazu (ist aber admin)
-- daten von cd auf lt zu kopieren geht nich, copy/paste funzt einfach nich, gegenstände verschieben auch nich

==> drum kann ich euch leider keinen hijackthis log o.ä machen


soweit zu kommunikation
n paar system interne dinge blockiert er auch mal die liste:

- abgesicherter modus nicht möglich (sobald die willkommensseite erscheint kommt das der pc in xx sekunden aufgrund einer datei heruntergefahren wird (ich weiss grad nich wie die heisst kann ich aber auf bedarf nachguggen) ich kann mich aber nich als benutzer anmelden komme also nich an die eingabeaufforderung)
- netwerkverbindungen geht gar nich, keine anzeige, nichts
- interne suchfunktion: f3 macht er gar nichts, wen ich in nem ordner oben auf suchen klicke erscheint zwardas typische suchen feld aber das such eingabe feld erscheint nich.

So also ich hab nich viel versucht eben weil ich kaum was machen kann.
Bin somit mit meinem Latein am ende, also wäre schön wen mir wer helfen kann.

mfg
sYpHx

PS: damit keiner fragt "wen du kein inet hast wie schreibste dan" (ja ham mich im irc echt schon n paar gefragt) es handelt sich bei dem gerät um en lt von meiner schwester und ich schreib von meinem PC aus.

Haengdichweg 16.09.2006 14:53
Moin,

guckst du hier:
http://www.wiwi-treff.de/home/index.php?mainkatid=1&ukatid=13&sid=52&artikelid=1904&pagenr=0

würde ich dir empfehlen.

LG
Haengdichweg

Melmoth 03.10.2006 15:30
Habe in etwa dasselbe Problem, kann einer helfen? Der Link oben hilft mir nicht weiter, sorry...
Hier mein Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\RAM Idle LE\RAM_XP.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Melmoth\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sunny 03.10.2006 15:38
@Melmoth

bitte erstell für dein Problem einen eigenen Beitrag, da es sonst zu unübersichtlich werden könnte.
Und poste dort dein Hijacklog nochmal, und dieses mal vollständig bitte. ;)

Gruß
Sunny

Melmoth 03.10.2006 16:12
Ok, mach ich gleich. Aber was genau ist denn unvollständig an dem Log? Mehr hat das Prog nicht ausgespuckt...

cronos 03.10.2006 16:16
Der Kopf fehlt, dort stehen die Infos zum OS und die Version des HJT-Logs.

Sunny 03.10.2006 16:16
Zitat:
Zitat von Melmoth
Ok, mach ich gleich. Aber was genau ist denn unvollständig an dem Log? Mehr hat das Prog nicht ausgespuckt...
Es fehlt der gesamte Kopf, dort steht etwas über Betriebssystem und dessen Version.
Sieh nochmal genau nach, das sollte eigentlich mit erstellt werden...


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131