Ich bin nun wirklich am Rande meiner Kräfte! Ich habe Stinger laufen lassen: Sasser gefunden und entfernt. Ich habe Fix Blast laufen lassen: Nix gefunden. Ich habe mein AntiVir XP laufen lassen: In drei Dateien Sasser gefunden und gelöscht, einen Trojaner (irgendwas mit Q…) gefunden und auch gelöscht. Aber: Wenn ich boote kommt jedes mal ein schwarzes Fenster und da steht dass sich irgendwer mit dem Internet verbinden will. In etwa so:
Craeting new socket
Connection to „horseaft.alt-bin.com:12000“ failed (Gottseidank)
Flushed DNS Cache!
Trying to connect
Das geht dann munter so weiter und wenn ich nach ner Minute nicht das Fenster geschlossen habe, hängt alles und ich muss rebooten. Schließe ich das Fenster läuft alles scheinbar normal. Im Netz kann ich auch surfen. Das Problem mit der runterzählenden Uhr hatte ich und ist wohl durch das Entfernen des Wurms behoben. Nur wie krieg ich jetzt den Trojaner weg???
Übrigens kann ich mir sämtliche Windows Sicherheits Updates nicht downloaden, wahrscheinlich liegts am Virus *heul*
Helft mir!!!
Anna
Hallo Anna,
eventuell hast Du ja schon alle Viren und Würmer entfernt.
Dann kommt immer noch ein Dialer in Frage, der sich beim Start einwählen will. Was sagt Spybot dazu?
Schon mal nicht schlecht der Tipp: Spybot hat in 90 Sek. 17 Probleme gefunden und repariert :o)
Und an alle:
Allerdings war das schwarze Fenster beim rebooten wieder da :o(
Oben steht übrigens C:\Windows\System32\svchost.exe
Das ist ja der Sitzungsmanager so viel ich weiß. Versteckt sich vielleicht da irgendwo ein Virus oder Würmchen??? Wie könnte die Datei heißen, die das Fenster beim Start öffnet? Und wieso chechkt das Programm, ob es „AOL spammen“ kann? Ich hab ja gar nicht AOL…
LG, Anna
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo Anna,
wenn Du Sebastians Rat folgst und die Platte platt machst, ist es egal, welchen Wurm Du damit vernichtet hast.
Bedenke, daß der Wurm, welcher auch immer, bereits Schäden angerichtet haben kann, die nicht zu reparieren sind.
Hier wird oft vor Onlinescan gewarnt, ich möchte aber trotzdem noch einmal an diese Möglichkeit erinnern.
Also die Festplatte putzen möchte ich nur ungern, denn mein Dell ist erst ein halbes Jahr alt. Ein Backup der wichtigesten Dateien wäre sehr zeitaufwendig für mich (bin mitten im Studium - tausend wichtige Dateien).
Eben hab ich nochmal einen Virenscan gemacht. Raus kam:
A0026224.exe
[FUND!] Enthält Signatur des Wurmes Worm/Sasser.B
WURDE GELÖSCHT!
Das geht dann bis
A0026233.exe so weiter, es waren also mehrere Dateien.
Und dann kommt noch:
C:\WINDOWS\SYSTEM32\CONFIG
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Was hat das nu wieder zu bedeuten?
2489 Verzeichnisse wurden durchsucht
43580 Dateien wurden geprüft
10 Warnungen wurden ausgegeben
11 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
11 Viren bzw. unerwünschte Programme wurden gefunden
Anscheinend hab ich den Wurm noch drauf gehabt. Mein System ist nicht verlangsamt, das einzige was noch ist, ist halt dieses schwarze svchost- Fenster beim booten… Wenn das aber keinen Schaden anrichtet, möchte ich eigentlich nicht neu formatieren, sondern versuchen, das zu blockieren!
Wenn jemand noch n Tipp hat: immer gerne!
Anna
Online-Scans (s. Rainer’ Tipp) kann man machen und:
a) Torjaner
bevor Stinger, etc. gelaufen sind… hast du die „automatische Wiederherstellung“ deaktiviert?
(Systemsteuerung->System->Systemwiederherstellung)
…ansonsten grüßt täglich das Murmeltier…
Für Sasser-Remover gilt… es muss auch die Version D des Schlingels erkannt und gekillt werden können.
b) Auto-Start Programme
Verbindungsversuche nach Systemstart kommen aus einer Run bzw. RunOnce Sektion der Registry, die ein „normaler“ User so visualisieren kann:
Programme->Zubehör->Systemprogramme->Systeminformationen
und dort unter Softwareumgebung->Autostart-Programme
Ist ein prima Tweak-Tool für die Win-Betriebssysteme. AutoRun-Einträge findet man dort unter:
Startup/Shutdown->[betriebssystem]->AutoRun Part 1 … oder Part 2
Dort hast du die Möglichkeit den Lümmel zu löschen oder dir suspekt vorkommende Einträge zumindest zu deaktivieren.
Prüfe auch mal welche Dienste gestartet sind…
Systemsteuerung->Verwaltung->Dienste
c) umgelenkte URL
„Umgelenkte“ URL’s können auch lokale Ursachen haben. Öffne mal:
c:\Windows\System32\Drivers\etc\hosts
mit dem normalen Windows Editor.
Dort sollte, neben den „#“ Kommentar-Zeilen, in der Regel nur
127.0.0.1 localhost
stehen.
Anscheinend hab ich den Wurm noch drauf gehabt. Mein System
ist nicht verlangsamt, das einzige was noch ist, ist halt
dieses schwarze svchost- Fenster beim booten… Wenn das aber
keinen Schaden anrichtet, möchte ich eigentlich nicht neu
formatieren, sondern versuchen, das zu blockieren!
Klar richtet das keinen Schaden an. Svchost.exe ist bloss ein zentraler Systemdienst, wenn du den blockst kannst du wieder ganz normal damit arbeiten. Wenn deine ausschliessliche Arbeit im Solitair spielen besteht. Ohne Maus, versteht sich.
Mensch, du hast dein System offenbar derart massakriert, dass du froh sein kannst, wenn du deine wichtigsten Daten überhaupt noch sichern kannst.
Dass dafür allerhöchste Zeit ist, sollte dir langsam selber schon klar geworden sein.
Also, ihr habt alle tolle Tipps gegeben! Aber ich glaube noch immer nicht, dass es um meinen PC so schlimm steht. Denn eigentlich macht er ja keine Probleme. Ich habe schon öfter gelesen, dass Sasser eigentlich keinen großen Schaden anrichtet, sondern einfach nur nervt… Ich habe die XP Firewall aktiviert und ein Anti Virus Programm. Sämtliche Datei-Sharing Programme sind gelöscht und eigentlich kann nix mehr passieren! Ich müsste nur noch das „Fenster“ wegbekommen. Hawkys Tipps werde ich mal befolgen und mal ein bisschen rumstöbern was ich so an „überflüssigen“ Dateien finde. Etwas beunruhigen tut mich die Meldung vom Murmeltier das täglich grüßt. Aber wie kann es sein, dass Sasser, wenn einmal aus der Registry entfernt, immer wieder kommt??? Denn wie gesagt, ich habe ihn schon mehrmals mit Stinger und AntiVir entfernt. Es handelt sich um SasserB und er wurde jedes mal gelöscht…
So long,
Anna
Hawkys Tipps werde ich mal befolgen und mal ein bisschen
rumstöbern was ich so an „überflüssigen“ Dateien finde. Etwas
beunruhigen tut mich die Meldung vom Murmeltier das täglich
grüßt. Aber wie kann es sein, dass Sasser, wenn einmal aus
Registry entfernt, immer wieder kommt???
Also, ihr habt alle tolle Tipps gegeben! Aber ich glaube noch
immer nicht, dass es um meinen PC so schlimm steht.
Ich müsste nur noch das „Fenster“ wegbekommen.
Hawkys Tipps werde ich mal befolgen und mal ein bisschen
rumstöbern was ich so an „überflüssigen“ Dateien finde. Etwas
beunruhigen tut mich die Meldung vom Murmeltier das täglich
grüßt. Aber wie kann es sein, dass Sasser, wenn einmal aus der
Registry entfernt, immer wieder kommt???
Formatiere jetztz *bitte* die Festplatte nach Sicherung der Daten und spiel das System inklusive aller Patches von Grund auf neu auf.
Rechner, die so grundlegend verkeimt sind, sind nicht nur für den Anwender nervtötend: Es sind Quellen, von denen sich Viren und auch Spam ausbreitet und multipliziert. Nimm den Rechner aus dem Internet oder setze ihn ganz gründlich neu auf. Das Internet bringt es mit sich, daß man gemeinsam in einem Netzwerk ist und auch gegenseitige Rücksichtsnahme und Fairneß angebracht ist.
Hier wird oft vor Onlinescan gewarnt, ich möchte aber trotzdem
noch einmal an diese Möglichkeit erinnern.
Warum wird davor gewarnt?? Ich mache ihn des öfteren. Kriegt
man dadurch Trojaner??
Nein, aber damit das klappt, mußt Du Active X aktivieren, das auf weniger wohlegsonnenen Seiten leicht zum Einfallstor für Dialer, Trojaner und andere Malware werden kann.
Abhilfe: IE mit aktiviertem ActiveX nur für Windows-Update und Online-Scans, alternativer Browser zum normalen surfen.
