Sasser? Da krieg ich Brechreiz!

Hallo,

als erstes msconfig das Ding aus der Autostart.Dann sollte es schonmal unterbunden sein das er die Systemprozesse schiesst und die runterfährt.

Systemwiederherstellung deaktivieren abgesicherter
Modus mal Symantec Removal-Tool versuchen bzw mal nen Virescann laufen lassen.

Wenn das nicht funzt das Kind muss nen Namen und einen Pfad haben. mal versuchen das Teil manuell zu löschen.

Wenns dann nicht geht meld dich nochmal dann schau ich nochmal genau nach.

mfg
TFO

Und gegen das runterfahren hilft ja start / ausführen / shutdown -a

Hallo,

vielen Dank für die schnellen Antworten.

Das Problem ist, dass ich nicht weiss was ich löschen soll, denn es sind keine der gängigen Namen von Sasser auf meinem System zu finden. msconfig hilft mir da auch nicht wirklich weiter.

...noch 'ne dumme Frage.

Wie starte ich XP im abgesicherten Modus? Die Systemwiederherstellung kann ich nicht deaktivieren. Nach dem versuch diese zu deaktivieren erhalte ich folgende Fehlermeldung:

"Beim Aktivieren bzw. Deaktivieren der Laufwerke wurde ein Fehler ermittelt. Starten Sie den Computer neu, und wiederholen Sie den Vorgang."

Bin eibisschen ratlos.

Grüsse 666

Gleich mal angemeldet....  

Mach ein Hijackthis Logfile und poste den Inhalt hier, dann können wir mitgucken

http://www.computerhilfen.de/magazin_spyware.php3

So, hab also dieses File erstellt und hoffe ihr werdet daraus schlauer als ich:

Logfile of HijackThis v1.99.0
Scan saved at 03:25:47, on 30.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\System32\GEARSec.exe
E:\Panda\PaSSrv.exe
E:\Panda\Firewall\PavFires.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
E:\Panda\pavsrv51.exe
E:\Panda\PsImSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
E:\Panda\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
E:\Panda\APVXDWIN.EXE
E:\OmniPage\opware32.exe
E:\Mozilla\Mozilla.exe
E:\Panda\SRVLOAD.EXE
E:\Panda\WebProxy.exe
C:\WINDOWS\system32\rundll32.exe
H:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\AcrobatReader\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [SCANINICIO] "E:\Panda\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "E:\Panda\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "E:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] E:\OmniPage\opware32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "E:\Panda\PasSrv.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "e:\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101377252640
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Panda Antispam Server Service - Unknown - E:\Panda\PaSSrv.exe
O23 - Service: Panda Firewall Service - Unknown - E:\Panda\Firewall\PavFires.exe
O23 - Service: Panda Process Protection Service - Unknown - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service - Panda Software - E:\Panda\pavsrv51.exe
O23 - Service: Panda IManager Service - Panda Software Internacional - E:\Panda\PsImSvc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7.0\Agent\PQV2iSvc.exe

Hallo, die R1,R0 Einträge fixen.
Dann noch für den folgenden Eintrag die englische Anleitung beachten: (Dazu meine Vorsorge Tipps)

O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing  
Nasty   This entry should not be fixed! Your best bet to repair it is to try the LSPFix from Cexx.org or Spybot S&D from Kolla.de.

(also nicht fixen, sondern mit Spybot reparieren)

Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich benützen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.
Natürlich innerhalb beider Programme die Immunisierung durchführen.

3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php
http://www.dialerhilfe.de/start/start.php

Danke für deine ausführliche Anleitung. Leider brachte das alles nicht den gewünschten Erfolg - Alles ist noch beim Alten...

Vielleicht sonst noch jemand eine Idee?

Grüsse 666

Hallo, hast du Spybot auch suchen lassen?
Wenn dein Virenscanner aktuell ist, starte in den abgesicherten Modus und scanne was das Zeug hält.

Start in den abgesicherten Modus:
http://www.tu-berlin.de/www/software/virus/savemode.shtml
http://www.bsi.de/av/texte/wiederher_xp.htm

Hallo Zusammen

An dieser Stelle allen ein gutes Neues Jahr.

Meins beginnt schon mal gut...

Ich fand's etwas seltsam, dass meine Security-Lösung (Panda Platinum Internet Security) nicht mehr bedienbar war. Beim Versuch das System zu Scanen blieb die Kiste hängen oder spuckte Fehlermeldungen aus.

Nun gut, dann habe ich mal die Software von meinem System geschmissen (deinstalliert) und voilà, seither gibt's keine Sasser-Sympthome oder sonstige Fehlermeldungen mehr. Irgendwas war da nicht ganz kosher!

Nun habe ich die Software neu installiert, geupdated und diverse Removal-Tools und Scaner laufen lassen (Spybot, Stinger, SasserFix und Panda selbst). Ergebnis: Keinerlei Infektionen.

Ich weiss nicht genau was da los ist bzw. war. Vielleicht jemand eine Idee? Was haltet ihr generell von Panda Platinum Internet Security? Die Software hat für mich seit dem Vorfall etwas an Vertrauen eingebüsst. Bisher war ich eigentlich ganz zufrieden damit...

Nochmals vielen Dank für die Unterstützung.

Grüsse 666

Hallo, ich habe Panda auch am laufen und damit bisher keine Probleme gehabt.
Hast du eigentlich den Windows Firewall eingeschaltet oder den Panda-Firewall?
Ich denke nur einer ist sinnvoll.

Jetzt würde ich in jedem Fall sicherheitshalber noch ein LOG mit HijackThis machen, dann kopier es auf der automatischen Auswertungsseite in das Auswertungsfeld.
Darnach auf 'Analyze' klicken und alle roten Einträge nach einem erneuten Scan mit HijackThis fixen.
(die gelben mit Überlegung) http://www.wintotal.de/Tipps/Eintrag.php?TID=873
Automatische Auswertung: http://www.hijackthis.de/

Und gegen das runterfahren hilft ja start / ausführen / shutdown -a