Probiere von McAfee den Stinger 2.2.7 scanner, er wird wahrscheinlich den Sasser D wurm finden!!

Mfg Chris

also ich habe auch das gleiche Problem.
habe jetzt den ms ...732 patch deinstalliert, jetzt läuft der pc. aber jetzt ist das tor für den wurm auf.
was meint nighty mit tcp ports zu machen. wie und wo geht das? bin ich dann vor dem wurm geschützt?
ist das ein mist, ohne den patch gehts nicht, mit auch nicht wirklich. da muß doch ms was gegen machen!
und noch ein problem, da öffnet sich bei mir immer ein fenster, da will ein jemand oder ein programm eine verbindung herstellen. z.b. smtp.t-online.de oder www.ixxx9.biz oder so ähnlich, immer verschiedene namen. aber nur wenn ich halt nicht online bin. wie bekomm ich das weg?
thx schonmal

Die ports schließt du in deiner (hoffentlich vorhandenen) Firewall.

Zu deinen Seiten, da musst du dir mal die ersten 3 Thread hier angucken insbesondere zu Startseiten usw. Kann viel möglcih sein. Und steig beizeiten auch um vom alten Internetexplorer auf einen aktuellen Browser wie Opera oder http://www.firefox-browser.de damit hast du wesentlich geringere Gefahren dir was einzuhandeln.

Was haste denn fürne Firewall?

Und ports dicht machen is ja nur ne Notlösung, eigentlich gehören die Löcher gepatcht, was ja in dem Fall nicht geht.

Die beste Variante wäre natürlich die Dienste zu beenden, die di ports offen halten.

Dienste beenden unter Windows XP Professional

Vor dem beenden von Diensten unbedingt ein Backup der Installation machen, weil die Anleitung allgeimn gehalten ist, sprich nicht für jede Konfig geignet ist.

Und dann kanns passieren das was nicht mehr geht oder der Rechner nicht mehr hochfährt.

Wenn dann was schiefgeht kann man das Backup zurückspülen.

Gruß

also das mit den diensten ist ja schon gefährlich.
wie funzt denn das backup?
da muß es doch ne andere lösung geben, das der wurm nicht kommt, aber der pc trotzdem läuft.

Hast du denn überhaupt ne Firewall installiert? Denn die schützt ja schon ziemlich.

bin gerade dabei die Firefox zu installieren.
komisch ist, im task ist ein lsass.exe als prozess. beenden kann ich den nicht.
nioch eine idee bezüglich des fensters mit der nachricht "sie oder ein programm haben infos von (da steht öfters was anderes) z.b. smtp.online.de oder 9xxx.biz oder so, angefordert, welche verbindung nehmen? ......"
die will ich weg haben! die kommt aber nur, wenn internet nicht aktiv.

das klingt ja wie ein Dialer, musst mal 0190-Warner oder http://www.yaw.at laden damit kann man die auch entfernen. Oder mal mit Hijackthis ein Scan machen (Links oben in den drei Threads). Dann nachgucken wo da evtl was geladen wird. Wenn du es nicht rausbekommst, poste dann das log in einem neuen Thread.

denke auch das das ein dialer ist, aber er kann eh nix machen, weil mein anbieter 0190er sperrt.
ich finde da kein dialerschutz der kostenlos ist, bin ich blind?
und ist die zonealarm firewall kostenlos?

Den Link hab ich ja geschrieben und das a² in dem jetzt yaw integriert ist, hat den Dialerschutz kostenlos. Zonealarm ist in der normalen Version kostenlos ja.

habe jetzt beides drauf,
a2 ist am prüfen. aber das fenster ist glaube ich kein dialer.

hier das log von hijackthis.
und die datei im task (lsass.exe) macht mir auch noch sorgen! und dieses blöde netzwerkverbindugsfenster!


Logfile of HijackThis v1.97.7
Scan saved at 18:04:02, on 06.06.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\cFosNT\cFosDNT.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Analog Devices\USB ADSL LAN Adapter \dslmon.exe
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\a2 free\a2start.exe
C:\Programme\a2 free\a2scan.exe
C:\download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ford-escort.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [scvhost] scvhost.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [scvhost] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4S2_32\WATCH.exe
O4 - Startup: Event Minder Reminders.lnk = C:\HALLMARK\EMREMIND.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38142.2325694444
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DD467C9-CBC2-41CE-8110-8849C12C7523}: NameServer = 212.95.97.66 212.95.108.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DD467C9-CBC2-41CE-8110-8849C12C7523}: NameServer = 212.95.97.66 212.95.108.3

Prüfen:

C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\scvhost.exe (<-Virus)
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\sp.exe
C:\WINDOWS\twain_32\A4S2_32\WATCH.exe
C:\HALLMARK\EMREMIND.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE

Fixen:
O4 - HKLM\..\Run: [scvhost] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost] scvhost.exe


Und jenachdem was beim prüfen rauskam auch die zu den Dateien gehörenden Einträge ab O4 fixen + die dazugehörigen Datein nach dem fixen(eventuell erst nach neustart)

Dann nochmal ein Log machen.

Und unbedingt Windows-Update ausführen, deine Versionen sind veraltet kein XP-Sp1 und kein IE6-SP1 vorhanden.

Gruß

dann helf mir doch mal auf die Sprünge, weil ich anfänger!
wie geht das prüfen, wie das fixen?

Prüfen:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Fixen:
machste in Hijackthis, vor die Einträge ein Häkchen machen und ->Fix checked

Und Windows-Update ausführen nicht vergessen, sonst bringt das alles nix weilst dir gleich wieder was einfängst

Gruß