attake auf lsass.exe -> sasser nicht gefunden [Archiv]

Archiv verlassen und diese Seite im Standarddesign anzeigen : attake auf lsass.exe -> sasser nicht gefunden

Henrik

2004-05-04, 19:10:50

ich hab ein merkwürdiges problem:
weder eines der removaltools (symantec, microsoft, stinger) noch ich per hand über registry kann irgendwelche spuren von sasser finden, weder in version a,b,c noch d.
ich hab echt keinen plan was hier los ist ???

Lokadamus

2004-05-04, 19:42:19

mmm...

Was sagt hijackthis ? mach mal ein Log damit, dann können wir besser suchen ;D ... Link dazu in meiner Signatur ...

Henrik

2004-05-05, 18:33:34

so, dann wollen wir mal

Logfile of HijackThis v1.97.7
Scan saved at 17:13:05, on 05.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\g3Onlinetimer\g3OnlineTimer.exe
C:\PROGRA~1\Buhl\PCFIRE~1.0\sfw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\GetRight\GETRIGHT.EXE
C:\Programme\GetRight\GETRIGHT.EXE
C:\Dokumente und Einstellungen\ITEV Arnulf\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [SFirewall] C:\Programme\Buhl\PC Firewall 2.0\sfw.exe /waitservice
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - Startup: g3Onlinetimer.lnk = C:\Programme\g3Onlinetimer\g3OnlineTimer.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)

Henrik

2004-05-05, 18:34:03

StartupList report, 05.05.2004, 17:11:25
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\ITEV Arnulf\Eigene Dateien\Downloads\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\g3Onlinetimer\g3OnlineTimer.exe
C:\PROGRA~1\Buhl\PCFIRE~1.0\sfw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\GetRight\GETRIGHT.EXE
C:\Programme\GetRight\GETRIGHT.EXE
C:\Dokumente und Einstellungen\ITEV Arnulf\Eigene Dateien\Downloads\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\ITEV Arnulf\Startmenü\Programme\Autostart]
g3Onlinetimer.lnk = C:\Programme\g3Onlinetimer\g3OnlineTimer.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ccApp = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
ccRegVfy = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
SFirewall = C:\Programme\Buhl\PC Firewall 2.0\sfw.exe /waitservice
ISDN SpeedManager = "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 3.921 bytes
Report generated in 0,250 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Lokadamus

2004-05-05, 18:44:03

mmm...

So sieht dein System sauber aus, du solltest vielleicht mal einen Portscan drüberlaufen lassen, diesen hier (http://www.hackerwatch.org/probe/) (hab ich noch nicht getestet) oder hier (http://www.dslreports.com/scan), gibt auch noch bessere. Port 445 sollte dicht sein, eventuell ist der Wurm reingekommen, konnte sich aber nicht installieren, hat das System aber trotzdem heruntergerissen ...

Black-Scorpion

2004-05-05, 19:19:03

Hier kannst du auch testen.
http://check.lfd.niedersachsen.de/start.php

Henrik

2004-05-05, 21:33:47

ich lasse grade den portscan drüberlaufen.
ist das normal, das das 35min dauern soll??
hab gewählt, das alle 65 536 ports überprüft werden sollen.
gibts dafür nicht auch das tool gfi lan guard?

Lokadamus

2004-05-05, 21:36:54

mmm...

Es gibt einige Portscanner, nur sollten diese auf einem anderen Rechner laufen ... nmap ist unter Linux/*BSD zu empfehlen und bei Windows kennen ich spontan keinen ...

Henrik

2004-05-06, 20:05:14

weiss sonst jemand welches tool ich da einsetzen könnte?
der onlineport scan brach irgendwann bei port 12000 ab.

Lokadamus

2004-05-06, 20:33:02

mmm...

Das ist eigentlich ok, Port 445 und einer irgendwo bei 5500 ist für Sasser interessant, wenn diese geblockt sind, sollte eigentlich nichts passieren ... hab beim googlen (http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=portscanner+windows+download&btnG=Suche) diesen Portscanner (http://www.pctip.ch/library/downloads/dl.asp?id=1346) gefunden. Keine Ahnung ob er gut ist, must du mal testen. 7th Sphere Portscan (http://www.zone-h.org/download/file=3982/) auf der Seite von Zone-H (http://www.zone-h.org/en/download/category=71/) scheint nicht schlecht zu sein, klein, simple Gui, keine Installation. Wenn es das eigene System scannt, werden aber einige Ports als offen deklariert, wobei ich nicht weiss, ob es daran liegt, das ich bei Zonealarm 2 Zonen (Internet und Sichere) eingestellt habe ... nmap selber gibt es auch als Windowsvariante, aber dazu muss noch etwas anderes installiert werden und es lief nicht stabil, darum mag ich die Windowsversion davon nicht ...