lsass.exe - sasser oder nicht? finde keinen virus/wurm |
||
---|---|---|
#0
| ||
04.08.2005, 18:45
...neu hier
Beiträge: 3 |
||
|
||
04.08.2005, 18:57
Member
Beiträge: 4730 |
#2
Zitat kurze warnung vorweg: ich bin absoluter laie was pc anbetrifft!!!Keine Sorge, das sind fast alle, die hier Hilfe suchen, denn sonst bräuchten sie ja keine Hilfe Zunächst empfehle ich Dir, alle Servicepacks und Updates für Windows und den Internet Explorer zu installieren, denn ansonsten ist Dein System zu unsicher. Ich frage mich, was das hier ist: C:\WINDOWS\ping1w.exe O4 - HKCU\..\Run: [Microsoft Windows] exlporer.exe O4 - HKCU\..\RunServices: [Microsoft Windows] exlporer.exe Hier sieht man mal - und ich wäre selbst fast drauf reingefallen: Buchstabendreher! Exlporer statt Explorer. Such die exlporer.exe und lasse sie bei http://www.virustotal.com überprüfen. Dasselbe mache mit der ping1w.exe. Da es sich vermutlich um Schadsoftware handelt (Virus, Trojaner o.ä.) empfehle ich Dir, einen eScahCheck durchzuführen und das Ergebnis hier zu posten. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
04.08.2005, 19:43
...neu hier
Themenstarter Beiträge: 3 |
#3
hallo,
also, die ping1 habe ich gefunden... aber diese exlporer.exe finde ich über die such-funktion nicht... wie finde ich diese datei denn noch? EDIT virustotal hat keinen virus in der datei ping1w.exe gefunden... und nu?! Dieser Beitrag wurde am 04.08.2005 um 20:37 Uhr von shiro editiert.
|
|
|
||
04.08.2005, 20:57
Member
Beiträge: 4730 |
#4
Jetzt noch die exlporer.exe finden. Dazu (de-)aktiviere im Explorer unter Extras -> Ordneroptionen -> Ansicht folgende Optionen:
[ ] = da soll kein Häkchen stehen [x] = da soll ein Häkchen gesetzt sein [ ] Geschützte Systemdateien ausblenden (empfohlen) [x] Inhalte von Systemordnern anzeigen -> Versteckte Dateien und Ordner [x] Alle Dateien und Ordner anzeigen Dann erneut suchen. Nachtrag: die ping1w.exe ist wohl relativ harmlos. Dennoch sollte sie entfernt werden. Das geht vermutlich schon mit AdAware oder Spybot Search & Destroy. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 04.08.2005 um 21:01 Uhr von blueslayah editiert.
|
|
|
||
04.08.2005, 21:03
...neu hier
Themenstarter Beiträge: 3 |
#5
finde es trotzdem nicht.... :o(
ist es vielleicht unter einem anderen namen gespeichert? obwohl das kann ja garnicht sein, da es doch sonst nicht gefunden wäre über log file... oder? |
|
|
||
04.08.2005, 21:07
Member
Beiträge: 4730 |
#6
Noch ne Idee zum Ausfindigmachen. Schau erstmal nach, ob Du die Datei manuell findest - unter c:\Windows oder C:\Windows\System32
Ansonsten aktiviere bei der Suche unter "Weitere Optionen" auch folgende Optionen und führe die Suche erneut durch: Systemordner durchsuchen Versteckte Elemente durchsuchen Unterordner durchsuchen (das ist evtl. schon aktiviert) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
06.08.2005, 01:14
Ehrenmitglied
Beiträge: 29434 |
#7
shiro
wenn du mir alle diese Daten postest, kann ich dir helfen: Start--> Ausfuehren--> cmd (reinschreiben)--> ein schwarzes Fenster wird sich oeffnen einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit nun oeffnet sich automatisch der Editor...kopiere c. 30 Tage von den Daten raus (ist per Datum geordnet) cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2005, 15:00
Member
Beiträge: 50 |
#8
hallo erstmal!
ich hab seit ca. 1 woche auch denk ich mal, den sasser-virus auf meinem pc! ich hab meinen pc 3-4 mal neu formatiert und hat alles nix gebracht... hab mir jz euer forum durchgelesen und hab mir das » Symantec: Download FxSasser.exe gedowngloadet und installiert aba ich kann das programm nicht benutzen weil wenn ich das programm starten möchte steht dann "you do not have administrator rights to run the tool." obwohl ich das an meinem Heim-Pc mach!?!? hab auch das problem dass sich der pc manchmal nach 1minute selbst herunterfährt wobei ich das mit dem befehl shutdown -a schon unterdrücke! hab mir vor kurzem AtiVirenKit2006 gekauft und das findet auch nix auch sämtl. online-scans habn nix gefunden! nur komisch is, bei vielen usern hier im forum schaltet sich der pc nach 1min aus, sobald sie im i-net sind, aba bei MIR is das eig. nicht so! ich kann eig. "normal" im i-net herumsurfn und MANCHMAL kommt dann halt die meldung das sich der pc von selbst herunterfährt... wäre nett wenn IHR mir helfen könntet! DANKE, mfg kontor |
|
|
||
09.10.2005, 15:02
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@kontor
das ist wahrscheinlich nicht der Sasser, sondern ein anderer Virus, und du musst im abgesicherten Modus scannen, denn dort hast du Administratorenrechte. Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above --> just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2005, 15:09
Member
Beiträge: 50 |
#10
Logfile of HijackThis v1.99.1
Scan saved at 15:08:24, on 09.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.deu.chello.at/ssi/welcome/welcome.php?url=search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.deu.chello.at/ssi/welcome/welcome.php?url=landing R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v. O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128781034749 |
|
|
||
09.10.2005, 15:20
Ehrenmitglied
Beiträge: 29434 |
#11
ist das log komplett ?? oder fehlt da was?
Du hast kein SP2 geladen, also keine Windowsupdates. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2005, 15:23
Member
Beiträge: 50 |
#12
das log is komplett...wieso?!
|
|
|
||
09.10.2005, 15:27
Ehrenmitglied
Beiträge: 29434 |
#13
na, weil normalerweise auch die Dienste unter 017 angezeigt werden, aber du hast keine aktiv.
gehe in den abgesicherten modus, F8 druecken, wenn der PC hochfaehrt und melde dich als Administrator an, dann scanne und berichte und mache die Windowsupdates ...alle.... SP2 + http://virus-protect.org/windsdoorcleaner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2005, 15:29
Member
Beiträge: 50 |
#14
wie komm ich in den abgesicherten modus?? einfach nur vorm booten F8 drücken?!
|
|
|
||
09.10.2005, 15:33
Ehrenmitglied
Beiträge: 29434 |
#15
ja, wenn das booten beginnt, drueckst du F8 , dann erscheint ein schwarzes Fenster...waehle abgesicherter Modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
kurze warnung vorweg: ich bin absoluter laie was pc anbetrifft!!!
mein problem ist wie bei den vielen anderen auch, die meldung mit minutencountdown - und einem problembericht der datei LSA Shell (Export Version)
was habe ich gemacht? nach erfolglosem scannen mit AntiVir und einem removal tool erstmal fleißig bei euch im forum gelesen.
habe dann das patch bei windows "gedownloaded" und installiert. danach wieder gescannt mit AntiVir, Symantec und avast. kein fund.
das gleiche nochmal im abgesicherten modus. auch wieder nichts.
so. und nu?
das hier ist übrigens meine log file (oder wie auch immer das heißt). ich werde da null schlau draus. könnt ihr mir weiterhelfen?
Danke!!!!
Logfile of HijackThis v1.99.1
Scan saved at 18:34:44, on 04.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\ping1w.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\BT500\BTTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\BT500\BTStackServer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Olli\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.8.2:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Ping1w] C:\WINDOWS\ping1w.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Windows] exlporer.exe
O4 - HKLM\..\RunServices: [Microsoft Windows] exlporer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Adaware Bootup] C:\Programme\Lavasoft Ad-Aware\Ad-aware.exe /Auto /Log "C:\Programme\Lavasoft Ad-Aware\"
O4 - HKCU\..\Run: [Microsoft Windows] exlporer.exe
O4 - HKCU\..\RunServices: [Microsoft Windows] exlporer.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe