sasser-infektion!

hans jupp · 07.06.2004

hallo,

ich hatte einen computer mit dem sasser-wurm. nachdem ich diesen mit antivir gelöscht habe, findet antivir keine weiteren infizierten dateien auf diesem rechner mehr.

seitdem läuft aber das internet auf diesem computer (per modem) nur noch sehr langsam. oft wird auch der seitenaufbau oder die internetverbindung abgebrochen.

kann mir jemand sagen woran das liegt?

vielen dank schon mal für eure hilfe ;D

hans jupp · 07.06.2004

was ich vergessen hatte:

- betriebssystem ist win xp home edition

smartie · 07.06.2004

Kannst du mal ein HijackThis-Log posten?

http://www.wintotal-forum.de/?board=35;action=display;threadid=33317

hans jupp · 07.06.2004

falls ich den link richtig verstanden habe:

- als startseite habe ich about:blank eingegeben

der langsame seitenaufbau ist auch nicht nur während der startseite sondern auch bei späteren (bspw. google, gmx etc.). teilweise kommt auch die fehlermeldung, daß einzelne seiten (wie google) gar nicht geöffnet werden können.

p.s.
zusätzlich habe ich firefox 0.8 installiert. hier treten aber die gleichen probleme auf

smartie · 07.06.2004

Falsch verstanden.

Erstell mal bitte eine Log-Datei mit dem Programm HijackThis und poste den kompletten Inhalt hier. PCDpan_fee hat das ja detailiert beschrieben, wie es funktioniert.

hans jupp · 07.06.2004

hallo,

ich werde morgen die datei hier posten :

hans jupp · 14.06.2004

so,

hier mit etwas verspätung die log-datei:

Logfile of HijackThis v1.97.7
Scan saved at 10:24:46, on 12.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\skynetave.exe
C:\WINDOWS\lsasss.exe
C:\Programme\AnitVir 6\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\wkssvr.exe
C:\Programme\AnitVir 6\AVGUARD.EXE
C:\Programme\AnitVir 6\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\elmeg\UMSTools\Program\Telemat.exe
C:\Programme\elmeg\UMSTools\Program\TGCONV.EXE
C:\Programme\elmeg\UMSTools\Program\TELEGATE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cidaemon.exe
C:\temp\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://go.microsoft.com/fwlink/?LinkId=374
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\Programme\Elaborate Bytes CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [RegKillElbyCheck] C:\Programme\Elaborate Bytes DVD Region Killer\ElbyCheck.exe /L RegKill
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AnitVir 6\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - Global Startup: Corel Family & Friends Erinnerungsfunktionen.LNK = C:\Programme\Corel\Print House Magic\cffrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)

ich hoffe, ihr könnt mehr damit anfangen als ich ???

berliner-loewe · 14.06.2004

C:\WINDOWS\lsasss.exe

schaust Du hier
Gehört zu Sasser

C:\WINDOWS\System32\wkssvr.exe

Bitte Lesen

O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe

O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe

O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe

Gehört alles zum davor genannten

Eigentlich solltest Du dieses System neu aufsetzen, besorg Dir aber vor dem ersten Gang ins Inet die Patches gegen Sasser und Blaster.
Sind glaub ich vier Stück und wurden hier im Forum schon oft genannt.

hans jupp · 15.06.2004

hallo,

dann werde ich diese einträge erst mal löschen und bei gelegenheit das bs neu installieren.

gibt es irgendwo eine zusammenfassung aller sicherheitsrelevanten patches (also nicht nur für blaster und sasser), oder muß ich mir alle einzeln suchen und dann installieren?

Flöckchen · 15.06.2004

Jo, guckst du hier im Downloadbereich in den Bugfixes und Updates für das BS.

hans jupp · 16.06.2004

mach ich!

vielen dank nochmal für eure hilfe ;D

sasser-infektion!

hans jupp

hans jupp

smartie

hans jupp

smartie

hans jupp

hans jupp

berliner-loewe

hans jupp

Flöckchen

hans jupp

sasser-infektion!

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums