Sasser weg es geht aber kein DFÜ

[zinn2003]

Hallo!
Mich hat es Samstag mit dem Sasser erwischt. Die üblichen Symptome und zusätzlich dass das DFÜ nicht mehr ging. Im Netzwerk wurden keine Verbindungen angezeigt. Weiterhin waren alle Wiederherstellungspunkte verschwunden.
Über meine Schwester habe ich mir Spybot und den aktuellen Antivir gezogen. Unter F8 abgesichterter Modus drübergebügelt und alles löschen lassen was gefunden wurde (unter anderem Sasser).
Danach war immer noch nix mit DFÜ auch keine Anzeige unter Netzverbindungen. Danach habe ich XP (home) drübergezogen. Danach waren zwar die Netzwerkverbindungen wieder da, es konnte aber kein RAS Dienst gestartet werden. Nun noch SP1 drübergezogen und siehe da die Netzverbindungen lassen sich öffnen und auch anwählen (ISDN Modem). Es wird auch ein Traffic angezeigt von 200-30000. Aber ich kann keine Sites öffnen. Weder mit Opera noch IE6 noch Netscape. Fehler: DNS kann nicht aufgelöst werden.
TCP-Protokoll steht unter IP und DNS zuweisen.
Weder FXsasser noch Stinger noch Antivir (Download Samstag Mittag) finden etwas.
Ich habe das Toll von www.ntsvcfg.de/ drüberlaufen lassen. Weiterhin habe ich unter x:\windows\system32\ netsh interface ip reset ausgeführt.
Leider funzt es immer noch nicht.

Hier mein Logfile von Hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 22:16:23, on 03.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\ImageMate CompactFlash USB\SandIcon.Exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\wincmd\WINCMD32.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\netsh.exe
C:\DOKUME~1\Silke\LOKALE~1\Temp\$wc\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [SandIcon] C:\ImageMate CompactFlash USB\SandIcon.Exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1104.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37871.4499421296
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?310


Kann mir jemand helfen?
Bitte ernsthafte Hilfe und keinen klugen Sprüche. Ich bin kein Poweruser sondern gehe mit ISDN eher selten ins Internet. Ziehe dort auch regelmäßig die Updates war aber die letzten 3 Wochen nicht online. Würde jetzt erstmal gern mein System wirklich sauber bekommen damit ich eine sauber Sicherung der Daten bekomme. Dann will ich neu aufsetzen. Leider kann man ohne Internet keine Antispyware wie Ad-Aware und Spybot oder Antiviren-Programme aktualisieren.

[linux-luder]

-die meisten Virendef-Dateien erkennen die Variante b und folgende erst ab dem 02.05.04
-daher tippe ich mal ins BLAUE, Du hast immernoch nen Wurm drauf...muss aber net sein
-der stinger kann es auch erst ab Version vom 02.05.04 http://vil.nai.com/vil/stinger

[kurtrichter]

C:\DOKUME~1\Silke\LOKALE~1\Temp\$wc\HIJACK~1.EXE

ich glaub du hast noch mehr ungeziefer
versuch mal msconfig --alles raus dann neuen user erstellen sich mit dem anmelden und dann die spywaretools downloaden

kurt

[zinn2003]

Vielen Dank
da werde ich mal heute abend wieder loslegen. den aktuellen Spybot, Antivirus, FXSasser und Stinger auf dem USB Stick

[zinn2003]

Hat leider nix genützt
geht immer noch nicht Antivir und Spybot (download von gestern) und Stinger haben nix gefunden. Und es werden immer wieder beim öffnen der Verbindung Bytes übertragen (nach 30 Sekunden 3000 in beide Richtungen) obwohl ich keine Seite öffnen kann. Auch nicht mit direkter IP-Adresse