Wurm problem!

[Anonymus]

hallo,

und zwar...habe ich ein problem mit einem wurm, der wurm wird nicht gefunden von antivir, stinger, spyware doctor jedoch habe ich 3 mal ein shutdown fenster zu gesicht bekommen (der pc wird in 59 sekunden heruntergefahren) und es ging von der lsass.exe aus. nebenbei, schliessen sich programme wie der firefox, icq, msn, winamp etc. bluescreens ohne ankündigung mit darauffolgenden neustarts kommen auch mal vor. wäre euch dankbar wenn mir jemannd helfen könnte wie ich den wurm besiege! hab mal mit hijackthis einen system scan gemacht, viell. hilft das ja!

wäre euch sehr sehr dankbar, gruss

Logfile of HijackThis v1.99.1
Scan saved at 16:20:43, on 09.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\DisplayManager\DisplayManager .exe
C:\Programme\Winamp\winampa.exe
C:\Programme\****** Tools\******.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSche d.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lukas\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.bku.int:8080
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager .exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [****** Tools] "C:\Programme\****** Tools\******.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSch ed.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1165675835593
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab47946.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

[64-Bit Monster]

Für mich hört es sich so an als wäre es der W32./Blaster.

Beschreibung & Beseitigung des W32./Blaster Im link wird beschrieben was der W32./Blaster macht und wie man ihn beseitigen kann.Im link siehst du ja ein Bildchen mit der Fehlermeldung des W32./Blasters wenn diese Bild ds gleiche ist wie bei dir dann 100% W32./Blaster.

Weiter unten auf der Seite kannste ne Hotfix herunterladen das die Funktion des W32./Blaster unterbindet.Achja solltest du noch kein SP2 draufhaben solltest du es schleunigst tun. MFG hoffe konnte dir bei deinem Problem helfen.

[tele]

Schön, dass du das Log hier postest, sinnvoller wäre es dieses direkt hier einzufügen und dir die Resultate anzuschauen.

[64-Bit Monster]

Hi tele wie gesagt ich vermute das es der Blaster ist da schon paar merkmale für ihn sprechen.


MFG

[Splatter]

Wie soll das der Blaster sein wenn in der Taskliste keine "blaster.exe" auftaucht und sowieso SP2 installiert ist, in dem der Hotfix für diesen Virus enthalten ist?

Wenn die Shutdowns von der lsass.exe ausgehen "kann" es vielleicht sein das der alte Kollege "Sasser" auf dem Rechner ist. Da würden sich aber normalerweise auch noch ein paar andere Prozesse in der Taskliste bemerkbar machen. Darüber hinaus würden sich aber die Anti-Viren-Programme schon lange gemeldet haben, denn Blaster und Sasser sind längst alte Bekannte.

@Anonymus
Versuch mal http://www.symantec.com/region/de/te...oval.tool.html dieses removal tool von Symantec, speziell gegen Sasser. Sollte dies auch nichts finden, dann geh auch mal von einem Softwareproblem aus. Nicht jedes ungewollte herunterfahren muss auch mit einem Virus zu tun haben

[sofl]

alternativ zu allen Antworten kannst du dir auch auf dem Desktop eine bat datei anlegen mit dem inhalt

Code:

shutdown -a

Diese musst du während des Countdowns ausführen und der Vorgang wird abgebrochen.

mfg

sofl

[swatcher1]

So spontan sehe ich "nur" den Spyware-Doctor.

Ich empfehle den EInsatz von 1-2 weiteren Ad-/Spyware-Scannern, nicht als Dauereinsatz sondern nur für einen 1x-Scan.

Spybot Search´n´destroy und AdAware Personal edition laden, updaten und einmal laufen lassen.

Desweiteren einmal nen Laufzeit-AV drüberlaufen lassen, sprich ein Antivirenprogramm, dass nicht dauerhaft läuft sondern nur für einen Scan; dass "Stinger" nix findet verwundert mich etwas... aktuellste Version am Start?

btw finde ich den von DIr genannten Avira AntiVir nirgendwo; hast DU Ihn wieder deinstalliert oder warum läuft der ned in den Tasks? *grübelt*

FALLS Du den inzwischen deinstalliert hast versuch doch mal den AV von Avast Home, ebenfalls kostenlos und "Spartipp" in der aktuellen PCGH.

Viel Glück

[64-Bit Monster]

Ambesten BitDefender 10 Internet Security kaufen dann ist man auf der sicheren Seite.