Hi, hab ein problem, seit gestern erscheint bei mir, sobald ich den rechner starte eine meldung unten Links, dass der rechner runtergefahren wird... und eine zeit Läuft ab. Jedoch nicht wie üblich die 10 Sekunden, sondern nur 2... was kann ich tun? ist echt schwer in 2 sek. was zu machen...

#deaktiviere die Wiederherstellung
#mache die Internetverbindung aus.

dann, wenn du den Computer hochfaehrst, dann gehe in den abgesicherten Modus ...dazu drueckst du beim Hochfahren die Taste F8 und waehlst dann abgesicherter Modus\ohne Internetverbindung
\Das geht nicht, wenn du Win98 hast.....\

Falls der Comp. dennoch runterfahren will, gehe schnell, in
Start\Ausfuehren\ schreibe rein \cmd

und schreibe
shutdown -a

dann muesstest du ein bisschen Zeit haben, das RemovalTool anzuwenden.
Am besten du holst dir vorher das Entfernungstool vom Sasser auf eine Diskette von einem nicht infizierten Computer.

Download the FxSasser.exe file from: http://securityresponse.symantec.com/av ... Sasser.exe.

#und scanne danach mit deinem Virenscanner.


..........................................................................................................

Dann, nach dem Scannen\ohne Internetverbindung im abgesicherten Modus \ , versuche nun wieder mit Internetverbindung und im Normal modus das HijackThis zu laden , scanne, save und kopiere das Log ins Forum.
http://board.protecus.de/showtopic.php?threadid=9391

MfG
Nikita

Danke, ich denke ich hab es hinbekommen, bzw. ein bekannter, der mit deinem post mehr anfangen konnte als ich ... was ist eigentlich der unterschied zwischen 'shutdown -i' und 'shutdown -a'?

Hallo eckMcJack
lade das HijackThis , scanne, save und kopiere das Log ins Forum.
http://board.protecus.de/showtopic.php?threadid=9391

den Unterschied zwischen shutdown -i' und 'shutdown -a
kenne ich leider auch nicht...da reichen meine Kenntnisse von Informatik nicht aus,


Ich warte auf dein Log.
Vielleicht finde ich noch mehr Viren....
Gruss
Nikita

C:\>shutdown
Syntax: shutdown [-l | -s | -r | -a] [-f] [-m \\Computer] [-t xx]
[-c "Kommentar"] [-d up:xx:yy]

Keine Argumente Zeigt diese Meldung an (wie -?).
-i Zeigt eine grafische Benutzeroberfläche an (muss die erste
Option sein).
-l Abmelden (kann nicht mit der Option -m verwendet werden).
-s Fährt den Computer herunter.
-r Fährt den Computer herunter und startet ihn neu.
-a Bricht das Herunterfahren des Systems ab.
-m \\Computer Remotecomputer zum Herunterfahren/Neustarten/Abbrechen.
-t xx Zeitlimit für das Herunterfahren, in xx Sekunden.
-c "Kommentar" Kommentar für das Herunterfahren (maximal 127 Zeichen).
-f Erzwingt das Schließen ausgeführter Anwendungen ohne Warnung.
-d [u][p]:xx:yy Grund (Code) für das Herunterfahren:
u = Benutzercode
p = Code für geplantes Herunterfahren
xx = Hauptgrund (positive ganze Zahl kleiner als 256)
yy = Weiterer Grund (positive ganze Zahl kleiner als 65536)

Die Option -a ist in diesem Fall also die richtige.

Hallo...
Hier poste ich grad mal das Hijack this-log, worum du mich gebeten hattest... vielleicht findest du ja noch was... danke im Vorraus...

Logfile of HijackThis v1.98.0
Scan saved at 13:26:03, on 12.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
K:\ICQLite\ICQLite.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\Programme\ISTsvc\istsvc.exe
C:\programme\180solutions\msbb.exe
C:\WINDOWS\System32\mdttgf.exe
C:\Programme\Power Scan\powerscan.exe
C:\WINDOWS\vyd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Teledat\TelDat32.exe
C:\Programme\Teledat\TelFax32.exe
C:\Programme\Teledat\TelFon32.exe
C:\Programme\Teledat\IWatch.exe
C:\Program Files\Internet Optimizer\actalert.exe
L:\downloads\Hijack this\HijackThis.exe
K:\ICQLite\ICQLSRP.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page ... _id=136423
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page ... _id=136423
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=136423
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page ... _id=136423
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem300.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] K:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [pohvlfyzkgtn] C:\WINDOWS\System32\mdttgf.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [vyd] C:\WINDOWS\vyd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\RunOnce: [ICQ Lite] K:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Data.lnk = C:\Programme\Teledat\TelDat32.exe
O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: Fon.lnk = C:\Programme\Teledat\TelFon32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - K:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - K:\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7CAA2B6-0340-488E-BFB2-7B48674B1F7E}: NameServer = 192.168.121.252,192.168.121.253

eckMcJack

scanne mit dem HijackThis, dann hake an, was ich poste und dann druecke auf <fix<

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page ... _id=136423
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page ... _id=136423
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=136423
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page ... _id=136423

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll

O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem300.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll


O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [pohvlfyzkgtn] C:\WINDOWS\System32\mdttgf.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [vyd] C:\WINDOWS\vyd.exe

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll

O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab


neustarten!!!!!!!!!


#Installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Geh in den abgesicherten Modus...das ist wichtig !
http://www.bsi.de/av/texte/winsave.htm
und mache einen Vollscann mit dem Antivirus.


manuell loeschen:
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe" c:\programme\180solutions\msbb.exe
C:\WINDOWS\System32\mdttgf.exe
C:\Programme\Power Scan\powerscan.exe
C:\WINDOWS\alchem.exe
C:\WINDOWS\vyd.exe
C:\WINDOWS\System32\mdttgf.exe
..............................................................................................................

#normal neustarten


#Lade den Stinger
http://vil.nai.com/vil/stinger/

#Lade AdAware free...updaten vor dem Scannen !!!
http://www.lavasoft.de/support/download/
und Spybot von dieser Site
http://www.safer-networking.org/de/download/index.html


#lade Spysweeper free
http://www.spysweeper.com/

#Lade mwav.exe...scanne alle Dateien
http://www.mwti.net/antivirus/free_utilities.asp
poste dann, was die mwav.exe gefunden hat


Loesch mit ClearProg
http://www.clearprog.de/
# die TemporaryInternetFiles !!!

Nun duerfen bei einem erneuten Scann mit HijackThis, die geposteten Eintraege nicht mehr erscheinen.
MfG
Nikita

Danke Nikita...
ich habe jetzt erstmal alle progs runtergeladen, und beginne nun mit dem neistart... es gibt nur ein problem, der Link zu der Datei msav.exe, den du gepostet hast, funktioniert bei mir nicht. Hab auch so im internet keinen server gefunden, der diese Datei anbietet...

so, habe mal alles durchlaufen lassen, und ganz schön viele unerwünschte sachen gefunden
ich poste eben nochmal das hijackthis logfile, da die msav.exe nciht funktioniert hat...

Gruß, Sebastian

sry...hab das logfile vergessen

Logfile of HijackThis v1.98.0
Scan saved at 18:27:27, on 13.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Teledat\IWatch.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
K:\antivirus\AVWUPSRV.EXE
K:\antivirus\AVGUARD.EXE
K:\antivirus\AVGNT.EXE
C:\WINDOWS\explorer.exe
K:\Spy Sweeper\SpySweeper.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
L:\downloads\Hijack this\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - K:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] K:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "K:\antivirus\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - K:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - K:\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E89CC3C-7662-47B5-A5C7-4981F1F0FCF4}: NameServer = 195.93.64.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7CAA2B6-0340-488E-BFB2-7B48674B1F7E}: NameServer = 192.168.121.252,192.168.121.253