Sasser und die Folgen / Teil 2 (Petition)

Logfile of HijackThis v1.97.7
Scan saved at 17:23:39, on 20.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TSIRCSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\TSI32\tsircusr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\OPLIMIT\ocrawr32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\eins\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metager.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F1 - win.ini: load=C:\OPLIMIT\OCRAWARE.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TSI32\tsircusr.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Programme\Common Files\LapLink\Scheduler\LLSCHED.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O4 - Global Startup: Digital Line Detect.lnk = ?
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1083756684253
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.1303935185
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4362/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02DABF4F-C87E-46F2-BF22-39F5FF5B7356}: NameServer = 192.168.122.253,192.168.122.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{02DABF4F-C87E-46F2-BF22-39F5FF5B7356}: NameServer = 192.168.122.253,192.168.122.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{02DABF4F-C87E-46F2-BF22-39F5FF5B7356}: NameServer = 192.168.122.253,192.168.122.252

Antworten zu Sasser und die Folgen / Teil 2:

Nighty
Gast

Re: Sasser und die Folgen / Teil 2

« Antwort #1 am: 20.06.04, 17:38:42 »

Also erstmal solltest dir nen aktuellen Virenscanner zulegen.
Der aktuelle Norten is schon nicht das tolle und NAV2003 schon garnicht.

Ansonsten sieht dein LOG in Ordnung aus.

Prüfen kannst mal das hier ausser du weisst was es ist:

C:\WINDOWS\TSI32\tsircusr.exe

Schau mal im Hijackthis-Thread hier ganz oben im Sicherheits-Forum.

Da gibst ein Link zur Kaspersky-Trial.
Die Installieren->unter Einstellungen->Updates->Internet-Updates->erweiterte datenbanken aktivieren und dann updaten.

Danach damit den Rechner scannen.

Wennst nicht wechseln willst, kannste dort auch Sysclean+Pattern runterladen und den Rechner im abgesicherten-Modus scannen damit.

Und es reicht wenn du 1. Beitrag aufmachtst, sonst wirds unübnersichtlich...

Gruß

Moderator informieren

Petition
Gast

Re: Sasser und die Folgen / Teil 2

« Antwort #2 am: 27.06.04, 17:12:42 »

Hey, danke!

Das war es gewesen - massenhaft Viren unter Kaspersky gefunden und ein zerschossenes Norton AV 2003 deinstalliert und die Machine läuft wieder wie geölt.

Mille Gracie!

PS. Das von die monierte Programm gehört zu LapLink 11

Moderator informieren

Sasser und die Folgen / Teil 2

Antworten zu Sasser und die Folgen / Teil 2:

Re: Sasser und die Folgen / Teil 2

Mehr zu Sasser und die Folgen / Teil 2