Hilfe -.-

Hate Haxx0rs · 29.08.2007, 11:36

Halli Hallo Hallöle , ich hab da mal eine frage

naja .. als ich gestern abend schlafen ging ..
habe ich den pc angelassen , naja ..
heute morgen als ich an den pc wollte ..
wa mein hintergrund bild ein total komisches..
der internet explorer wurde 1XX xgeöffnet..
da kam eine fehlermeldung es würde ein übergriff
statt finden .. irgendwas mit spyware usw , dann waren da
viele mir komisch erscheinender "links" vonwegen spyware update und so
naja ich habe eben formatiert .. antivir installiert ..
firewall von zonealarm , ich hoffe..es reicht soweit
naja .. ich wollte euch mal fragen ob in der nacht irgend etwas "böses" passiert sein könnte bzw .. könnte mir da schaden zugefügt werden :/? .. bin nicht so erfahren

Psycot-X · 29.08.2007, 12:36

Da ist definitv etwas "böses" passiert. Du hast aber schon richtig reagiert.

Es sah so aus als hätte sich auf deinem PC jede Menge übles Zeug festgesetzt.

Man kann auch ohne "neuformatieren" etwas tun.

Man braucht Virenscanner (hast du), Firewall (hast du) und Zusatztools die alle Speziell entwickelt wurden und dir helfen gegen solche Schädlinge vorzugehen.

Ad-Aware (www.ad-aware.de)
Spybot Search&Destroy (www.spybot.de)

Das sind Virenscanner die es speziell auf Spyware abgesehen haben.
Dann solltest du dir auch noch HijackThis holen (www.hijackthis.de).
Das ist auch so ein "Killer".

Und außerdem rate ich dringend davon ab mit dem Internet Explorere zu surfen, der ist nämlich nicht so sicher.

Nimm lieber FireFox. (www.mozilla-europe.org)
(oder Operad (www.opera.com))

Das sind schon eher sichere Browser, doch du solltest dir auch bewusst sein, dass ein vorishctiges Surfverhalten wichtig ist.

Also nicht auf unseriöse Seiten gehen

Hast wohl über die Nacht was runtergeladen?

Hate Haxx0rs · 29.08.2007, 13:44

Naja , es ist so .. ich habe nichts herunter geladen
ich habe ja heute morgen erstmal formatiert..
nachdem ich zonealarm installiert habe wollte
eine "isass.exe und isgloh.exe" oder so aufs internet
zugreifen , ich habs erstmal verweigert...
ich habe mal gelesen dass isass.exe ein trojaner sein soll
es ist aber nun so dass ich erst nachdem ich antivir auf dem pc
hatte das internet "aktivierte" .. ich bin etwas verwirrt , gehört isass zu windoof und wird nur manchmal "böse"? .. naja , würde mich freun wenn mich jmd in icq addet , .. hab so meine schwierigkeiten mit foren..

243-547-307

Nein , ich habe nichts herunter geladen über die nacht .. es wa auch total merkwürdig.. ich konnte keine rechtemauste mehr auf meinem desktop klicken .. da wollte sich denn etwas öffnen , nun ist das alles weg , die warnungen und so .. nun verunsichern mich aber die "isass.exe und das andere teil" ..

..bitte..nochmal um hilfe ( ich habe schon antivir , spybot usw " durchlaufen lassen , soll nix drauf sein .. aber manchmal mecker zonealarm wegen der isass.exe

ReinMan · 29.08.2007, 13:46

Dann such nach der Datei im Taskmanager. STRG ALT ENTF guck bei Prozesse ob die Anwendung läuft. Poste mal ein Hijackthis Logfile hier ins Forum. Do a system scan und save a logfile.

Hate Haxx0rs · 29.08.2007, 13:49

Logfile of HijackThis v1.99.1
Scan saved at 14:44:31, on 29.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Ich hasse Hacker\Eigene Dateien\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\gilsoh.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BC659C0-7E59-49C1-AE3F-47DBA7CED32E}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4BC659C0-7E59-49C1-AE3F-47DBA7CED32E}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4BC659C0-7E59-49C1-AE3F-47DBA7CED32E}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

das meinste >.>?

ReinMan · 29.08.2007, 13:54

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

die kannst du erstmal fixxen. Ansonsten sieht das Logfile sauber aus.

Hate Haxx0rs · 29.08.2007, 13:57

Logfile Sauber = "alles ok ?"
und .. verzeih mir , aber wie fixxen :P?

Psycot-X · 29.08.2007, 15:56

Du musst bei Hijackthis, dass gewählte Problem auswählen, nachdem du gescannt hast und auf Fix checked o.ä. klicken.

lsass.exe heißt die oder? Die is ungefährlich, hab ich auch.
Die andere kenn ich net.

ReinMan · 29.08.2007, 16:15

Jap dein Logfile ist soweit sauber. Die gewählte Datei mit einem Häkchen markieren und dann auf " fixxed check" klicken. Was hat denn Spybot und Adaware ergeben..plus dein Antivirenprogramm komplett dein System durchgescannt ??

mfsto · 29.08.2007, 16:32

Autsch....
Da ist ja nicht ma Service Pack2 auf deinem Pc...Ohne das Pack ist dein Pc aber ma sowas von offen wie ein Scheunentor...Da spaziert Malware einfach rein ohne das du es merkst...

Zitat:

die kannst du erstmal fixxen. Ansonsten sieht das Logfile sauber aus.

Falsch ..da hast du eindeutig was übersehen.

Zitat:

Isass.exe heißt die oder? Die is ungefährlich, hab ich auch.
Die andere kenn ich net.

Die lsass.exe gehört zum System das ist richtig.
Aber vorsicht:

Zitat:

Achtung: Bitte verwechseln Sie die lsass.exe NICHT mit der isass.exe. Schreibt man den ersten Buchstaben bei letzterer Datei nämlich gross, sieht das Ganze so aus: Isass.exe - also optisch fast wie lsass.exe (kleines L im Windowsprozess LSASS.exe und grosses i bei der isass.exe)

Quelle

@Threadersteller:
Dich hat es hart erwischt.

Code:

C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\gilsoh.exe

Du hast dir da einen äußerst gefährlichen Wurm eingefangen. Wie der auf deinen Pc kam ist auch ganz einfach zu erklären

as fehlende Service Pack 2
Das hast du nun davon.Vor derm lssas.exe Wurm sind Service Pack2 Nutzer geschützt , weil eine Sicherheitslücke behoben wurde, aber die Infizierungen des Wurms auf Pcs ohne Pack2 ist ziemlich typisch für den Wurm.
Sorry aber du hilft nurnoch die Formatierung und anschließend alle Passwörter ändern , weil die geklaut werden konnten.Jemand hat wohl Zugriff auf deinen Pc...
Das Problem ist nicht das Trägerprogramm wieder vom Rechner runterzubekommen, sondern der Schaden der schon angerichtet wurde...
Dadurch konnten Datein manipuliert worden sein, sprich deaktivieren von Antimalwareprogrammen und Softwarefirewalls, Netzwerkfreigaben etc etc...
Das zu finden ist fast unmöglich

Die Software zum weiteren Malware download, fernsteuern des Rechners usw. findet man nicht mehr.
Feste steht,dass du keinerlei Kontrolle mehr über deinen Pc hast und somit die Formatierung die einzige sichere Lösung ist.
Falls du das nicht tust wird spätestens dein Provider dir deinen Internetzugang sperren , bis das Problem behoben wurde.
Dein Pc kann jetzt als Server für Kinderpornographie oder zur Geldwäsche verwendet werden,Durchführung von DOS-Attacken und und...
Über ihn werden Spam und mit Malware bestückte E-mails verschickt.
Formatierung=einziger Ausweg

Hinzu kommt das du noch ein anderen mir unbekannten Prozess auf deinem Rechner laufen hast , der auch auf nichts gutes hindeutet. Jegliche Säuberungsaktionen sind da sinnlos

Und achte darauf das du nach der Formatierung das Service Pack2 installierst , wenn nicht wirst du schnell wieder hier landen.

Mfg

Sie betrachten gerade: Hilfe -.-