Inet Problem Nach Sasser
#1
geschrieben 27. Februar 2006 - 09:20
Ich habe ein Problem mit sasser. Das ganze kam so: gestern versuchte ich mit einem Kollegen via msn ein bisschen meinen Pc zu säubern, zuerst brauchten wir spybot, wo dann auch alles behoben wurde, und danach noch nen Hijack, der mir ein paar gefährdetet dateien anzeigte, unter anderem auch dll dateien. Kann den log sonst morgen noch posten. Nun gab mir mein Kollege ein Prog (kann ich auch morgen sagen wie es heisst) welches gut fürs virenscannen sein sollte. Ich hatte schon norton drauf, aber der war eh abgelaufen. Soweit so gut, dieses Programm zeigte mir dann auch glatt die dll dateien an. Es wollte sie nun auch löschen, mir war zwar völlig klar, dass das eigentlich nur im abgesicherten modus funzen würde, aber ich versuchte es trotzdem. Villeicht würde es sie ja auch nur unter quarantäne stellen und es gibt ja ne seite wo man sich dlls runterladen kann. Als ich also eine dieser dateien löschen wollte, kam plötzlich eine sasser meldung. Ich wusste den Befehl grad nicht mehr und so wurde der Pc neu gestartet, aber als er wieder gestartet wurde, hatte ich kein inet mehr. Es kam nur die Meldung, das keine oder eingeschränkte Konnektivität herschte. Ich versuchte über meine 2te netzwerkkarte eine verbindung herzustellen. Leider ohne erfolg, auch das löschen und eine neue verbindung zu machen ging nicht mehr. Was soll ich nun tun? Das Problem ist, das ein weiterer Pc über mich konnektet um ins Internet zu kommen. Hoffe es war einigermassen vertändlich.
Anzeige
#2 _Breaker_
geschrieben 27. Februar 2006 - 09:26
Alles andere wäre Murks, und ob du alles beseitigen kannst ist mehr als fraglich.
Vergiss nicht deine selbsterstellten Daten-CD's, Back-Up's etc. auch auf einem nicht kompromittierten System auf Viren überprüfen zu lassen und ggf. zu vernichten.
#3
geschrieben 27. Februar 2006 - 09:30
#4 _Breaker_
geschrieben 27. Februar 2006 - 09:39
Die Auswirkungen davon können sein:
Jemand hat die Möglichkeit alle deine Passwörter abzufangen (inkl. Banking...)
Andere haben die Möglichkeit deinen Rechner als Server zu missbrauchen (z.b. für Kinderpornographie, und ja, den Fall gab es schon!), wenn das herauskommt musst du beweisen das du nichts damit zu tun hast, und das ist schwer.
Es könnten sich Mailserver auf deinem Rechner befinden, d.h. du bist mitschuld an der Verteilung von Spam.
Es gibt noch zig andere Auswirkungen, deswegen ist die vernüntigste Möglichkeit den Rechner neu aufzusetzen und danach vernünftig abzuschotten.
Selbst Microsoft rät im Falle eines Virenbefalles den Rechner neu aufzusetzen...
#5
geschrieben 27. Februar 2006 - 09:44
#6 _Breaker_
geschrieben 27. Februar 2006 - 09:48
Und ja, selbstverständlich wäre es intelligent das Log zu posten, evtl. hat ja dann einer noch einen anderen Ratschlag, obwohl es laut deiner Beschreibung sich schon stark nach Befall anhört.
Mein Tipp für's nächste Mal: Mach dir von deinem neuen System ein Backup und pflege dieses regelmässig. Wenn dann wieder so etwas vorkommt verlierst du nur die Sachen seit dem letzten Backup, und ausserdem ist ein Backup in 10 Minuten eingespielt.
#7 _MasterChiefDX_
geschrieben 27. Februar 2006 - 09:49
Zitat
Wieso das?
Um vom jetztigen System ein Daten Backup zu ziehen?
Dieser Beitrag wurde von MasterChiefDX bearbeitet: 27. Februar 2006 - 09:50
#8
geschrieben 27. Februar 2006 - 09:51
Zitat
Um vom jetztigen System ein Daten Backup zu ziehen?
um ein paar daten zu retten, hab etwa 120 GB an daten, villeicht möchte ich ja noch etwas behalten, aber keine angst, das werde ich auf viren überprüfen
Dieser Beitrag wurde von [thrawn] bearbeitet: 27. Februar 2006 - 09:52
#9
geschrieben 28. Februar 2006 - 09:08
Logfile of HijackThis v1.99.1
Scan saved at 00:51:45, on 03.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\SIERRA\Steam.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\David\Desktop\desktop_ordner_neu\frombabylon\proxys\old\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.ampmsearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ampmsearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.ampmsearch.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.ampmsearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 202.143.137.130:8080
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [nsvcin] C:\WINDOWS\system32\n20050308.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\yaowak.exe reg_run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Settings Sentry] C:\Programme\SpyBlocker Software\Settings Sentry\startss.exe
O4 - HKCU\..\Run: [Steam] C:\SIERRA\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Startup: Joint Operations Typhoon Rising Produktregistrierung.lnk = C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp\{F5FD8B62-0356-48AC-8BA9-627FDD707760}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - C:\WINDOWS\system32\wuauclt.dll
O9 - Extra 'Tools' menuitem: Java - {9E248641-0E24-4DDB-9A1F-705087832AD6} - C:\WINDOWS\system32\wuauclt.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zon...kr.cab31267.cab
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comne...iveSekurity.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.shar...ver/Install.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zon...ro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
zudem möchte ich anmerken, dass ja ein anderer PC ja über meine Netzwerkkarte connectet um ins inet zukommen, und bei ihm gehts, aber bei mir nicht :S
#10 _Breaker_
geschrieben 28. Februar 2006 - 09:24
Kurze Zusamenfassung:
dolsp.dll - Böse *10
Trojan-Downloader.Win32.Ieser.a - Richtig böse
NOVG.EXE - wahrscheinlich böse
pokapoka63.exe - böse
yaowak.exe reg_run - böse
ffisearch.exe - wahrscheinlich böse
C:\Programme\Norton AntiVirus - no Comment
Zitat
Wie gesagt, dafür würde sich evtl. auch eine andere Lösung finden lassen, aber das ist nicht dein Problem. Ich würde dir raten zu formatieren, sämtliche SP's und Updates an einem Rechner zu ziehen der nicht kompromittiert ist, neu aufzusetzen und dann den PC nach dieser Anleitung einzurichten.
Tut mir leid, ich hätte gerne bessere Nachrichten gehabt.
Evtl. finden sich ja noch andere, die etwas dazu zu sagen haben, aber...
Dieser Beitrag wurde von Breaker bearbeitet: 28. Februar 2006 - 09:26
#11
geschrieben 28. Februar 2006 - 09:42
Zitat (Breaker: 28.02.2006, 09:24)
Kurze Zusamenfassung:
dolsp.dll - Böse *10
Trojan-Downloader.Win32.Ieser.a - Richtig böse
NOVG.EXE - wahrscheinlich böse
pokapoka63.exe - böse
yaowak.exe reg_run - böse
ffisearch.exe - wahrscheinlich böse
pokapoka63 hab ich eigentlich mal gelöscht, aber anscheinend ist der ja immer noch hier, war damals über registry und abgesicherter modus. Also kann mir auch die Registry bzw. der abgesicherter Modus nicht mehr helfen? die dll dateien die ja böse sind, kann ich die nicht einfach löschen und sie dann neu drauftun?
sry für die Frage, aber ich will nur ganz sicher sein
#12 _Breaker_
geschrieben 28. Februar 2006 - 09:51
Allein schon der Trojan-downloader lädt momentan fleissig weitere Malware auf deinen Rechner, bei den anderen ist dieses genauso möglich, ich hab jetzt nur keine Lust zu googeln und nach der Schadensroutine zu suchen, kannst du gerne selbst nachholen.
Gegenfrage: Was hast du so interessantes auf deinem Rechner, das es wert ist dafür verhaftet zu werden?
Grund dafür habe ich dir weiter oben ja schonmal kurz umrissen...
#13
geschrieben 28. Februar 2006 - 09:54
also vielen dank nochmal für die schnelle hilfe, ich werde deinen Ratschlag befolgen
#14
geschrieben 28. Februar 2006 - 10:12
steck einmal das INTERNET/MODEM AB!!!! OHNE einer vernünftigen Viren und ANTI SPY WARE kein INTENRET/MODEM anschliessen!!
#15
geschrieben 28. Februar 2006 - 10:17