System32\lsass.exe ?? -->W32/Sasser.worm

#16

Zitat

raman postete
Die Dateien im Prefetch Ordner kannst du vergessen, du kannst alles in dem Ordner loeschen, wenn du willst. soweit ich weiss protokoliert Windows dort, welche Dateien wie oft gestartet werden um diese Dateien bei einer defragmention besser anzuordnen.
Die Dateien kannst du im abgesicherten Modus loeschen.

Aber woanders wird keine "avserve.exe"-Datei gefunden!

Wo muss die denn sich festgesetzt haben, um den Virus noch zu haben?

Noch etwas in meinem Taskmanager unter Prozesse gibt es keine Datei "avserve.exe"!!!

Versteht das einer noch?

#17 Du bist nicht mehr infiziert, dein Av-Programm scheint den VirusWurm geloescht zu haben. Du kannst diese avserve.exe Datei im Prefetch Ordner auch loeschen. Das ist nicht die "orginal" Wurmdatei, sie ist harmlos.
__________
MfG Ralf
SEO-Spam Hunter

#18 Danke Raman!

Da bin ich aber erleichtert, dass der Virus endlich weg ist!

Dann werde ich mal die beiden Dateien im abgesichreten Modus löschen, oder kann ich das auch einfach im Normalen?

Allen anderen wünsche ich auch viel Glück bei der Wurmbeseitigung und noch einen virenfreien Tag!

#19 @Seren.dipity

Du bist anscheinend infiziert, arbeite dich halt durch diesen Thread durch, damit solltest du dir selber helbfen koennen. Ansonsten im abgesicherten Modus starten, die Datei avserve.exe loeschen, Windowsxp firewall anschalten:
http://www.microsoft.com/germany/ms/security/windowsxp.mspx und danach bitte mittels www.windowsupdate.com dein System aktualisieren. Zuletzt noch ein akuelles AV-Programm nutzen, und sei es Antivir, welches die letzten Dateien, die zum Wurm gehoeren beseitigt.
__________
MfG Ralf
SEO-Spam Hunter

#20 @Futura

Versuche es, wenn es im "normalen" Modus nicht geht, nimmst du halt den abgesicherten!
Aber bitte Windows updaten, genauso wie dein AV-Programm!
__________
MfG Ralf
SEO-Spam Hunter

#21

Zitat

raman postete
@Futura

Versuche es, wenn es im "normalen" Modus nicht geht, nimmst du halt den abgesicherten!
Aber bitte Windows updaten, genauso wie dein AV-Programm!

Ja werde ich dann versuchen!

Habe mir die windowsupdate-Seite als Startseite eingerichtet! :-)
Nun kann ich es eigentlich nicht mehr vergessen!

AV wrd auch per live-update regelmässig upgedatet!

Danke Dir nochmal!

#22 oh man!
bei mir funzts net, hab alles gemacht wie befohlen aber nach ner gewissen zeit is wieder alles da, und ich find auch nur die prefetch dateien und noch welche im recycler, kann die aber net löschen und ich findse auch nur über suchen.
ich hab jetzt die avserve datei auf die ignorelist gesetzt aber der pc wird immernoch regelmäßig herruntergefahren :/.
ach, nochwas: wievile von diesen "xxxxx_up" dingern muss ich löschen, ich find nachdem se wieder da sind immer 1-3 davon :/.
ich brauche einen rat, was kann ich noch löschen???
maybe die isass.exe?

#23 Du musst dein Windows updaten!! Sonst kommt er immer wieder. Im Zweifelsfalle erst einmal die XP Firewall anschalten. http://www.microsoft.com/germany/ms/security/windowsxp.mspx
__________
MfG Ralf
SEO-Spam Hunter

#24 hm
thx
ich hasse updaten :/

#25 kein chance... habe keine avserve.exe datei,im taskmanager auch nichts und bevor ich das bulletin runter bekomme, shut down..was nun? norton findet keinen virus hat aber upgedatet

help

#26 Poste mal ein Hijackthis log(*), aktiviere die XP Firewall( wenn du XP hast) und update dein Windows

(*)= www.hjt.klaffke.de
__________
MfG Ralf
SEO-Spam Hunter

#27 Hallo!
Ich habe das gleiche Problem mit dem Sasser, obwohl mein System noch nicht mit dem Wum infiziert zu sein scheint (keine avserve.exe Datei usw...). Allerdings kann ich keine Updates oder Patches herunterladen, da mein Computer spätestens nach 5 Minuten Verbindung im Internet heruntergefahren wird. Auch der Befehl "shutdown -a" funktioniert nicht und kann nicht das Herunterfahren stoppen. Was kann ich noch tun?
Besten Dank!

#28 Hallo alle miteinander!
Zunaechst einmal schoenen Dank dafuer, dass es dieses Forum gibt. Ich bin neu hier und habe mich erstmal durch die verschiedenen interessanten Beitraege durchgearbeitet.
Dennoch schreibe ich diese Nachricht, weil ich mir leider noch nicht weiterhelfen konnte und mein Problem zwar aehnlich, aber eben doch ein bischen anders ist - zumindest in meinen unwissenden Augen.

Mein Problem ist das Folgende:
Seit heute faehrt sich der Rechner automatisch herunter, sobald ich mich mit dem Internet verbinde bzw. spaetestens, nachdem ich 5 Minuten verbunden bin. Dabei erscheint ein Pop-Up-Fenster mit der Nachricht, dass ein Fehler aufgetreten ist und sich der Rechner herunterfahren und neustarten wird (es laeuft eine Timer 59 Sekunden), weil die Datei C:\WINNT\System32\lsass.exe unerwarteterweise geschlossen wurde. Es wird der Fehler-Code 128 angegeben und noch hinzugefuegt, dass das Herunterfahren von "-\Autoritaet\System" veranlasst wurde.
Das interessante ist, dass der Rechner ohne jegliches Problem tagelang laeuft, sofern er nicht mit dem Internet verbunden wird. Ich habe das Antivir-Programm laufen lassen, ohne etwas zu finden. Antivir habe ich regelmaessig upgedatet, das letzte Mal allerdings vor knapp 2 Wochen. Ich verbinde mich ueber W-Lan in meiner Uni.
Ueber die lsass.exe habe ich ja jetzt viel gelesen und weiss, dass ich sie benoetige. Die verdaechtigen Mails habe ich nicht bekommen und demnach auch keine Anhaenge geoeffnet. Eine Datei, die sich "avserve.exe" nennt, habe ich nicht finden koennen.

??
Hat einer eine Idee, was ich noch machen koennte? Kann es sein, dass es am Netzwerk liegt? (Es war heute das erste Mal in einer anderen Fakultaet; allerdings wurde mir gesagt, dass im Normalfall keine besonderen Einstellungen vorzunehmen sind, das Netzwerk also frei zugaenglich ist.)

Ueber eine Antwort waere ich sehr dankbar,
schoenen Gruss
Jan

#29 @Djibba

Dich "greift" ein Sasser ähnlicher Wurm aus dem Internet an.
Dieser sendet auf dem RPC Port (139 Glaube ich) eine Anfrage, welche die lsass.exe zum Absturz bringt. Da die "lsass.exe" für das ganze User und Anmeldehandling verantwortlich ist , fährt sich der Rechner sur Sicherheit runter.

Du hast also wahrscheilich keine Virus im System sondern du wirst von außen angegriffen

2 Möglichkeiten.

1. Windowsupdate
Dann wird die lsass.exe upgedatet. Diese "Vulnerbility" wäre weg.

2. Installiere eine Firewall oder Aktiviere die von XP
http://www.dirks-computerecke.de/windows-xp-firewall.htm

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#30 @ paff
Danke fuer die Schnelle Antwort. Das wuerde mich ja freuen, wenn ich noch nicht infiziert waere...!
Eine Frage noch zu Firewall (ich nutze Windows 2000): gibt es da eine Empfehlung, welche Firewall gut zu Antivir passt? Oder eine ganz andere Kombination?
Gruss
Jan