System32\lsass.exe ?? -->W32/Sasser.worm |
||
---|---|---|
#0
| ||
01.05.2004, 13:34
...neu hier
Beiträge: 4 |
||
|
||
01.05.2004, 13:36
Moderator
Beiträge: 7805 |
#17
Du bist nicht mehr infiziert, dein Av-Programm scheint den VirusWurm geloescht zu haben. Du kannst diese avserve.exe Datei im Prefetch Ordner auch loeschen. Das ist nicht die "orginal" Wurmdatei, sie ist harmlos.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.05.2004, 13:44
...neu hier
Beiträge: 4 |
#18
Danke Raman!
Da bin ich aber erleichtert, dass der Virus endlich weg ist! Dann werde ich mal die beiden Dateien im abgesichreten Modus löschen, oder kann ich das auch einfach im Normalen? Allen anderen wünsche ich auch viel Glück bei der Wurmbeseitigung und noch einen virenfreien Tag! |
|
|
||
01.05.2004, 13:45
Moderator
Beiträge: 7805 |
#19
@Seren.dipity
Du bist anscheinend infiziert, arbeite dich halt durch diesen Thread durch, damit solltest du dir selber helbfen koennen. Ansonsten im abgesicherten Modus starten, die Datei avserve.exe loeschen, Windowsxp firewall anschalten: http://www.microsoft.com/germany/ms/security/windowsxp.mspx und danach bitte mittels www.windowsupdate.com dein System aktualisieren. Zuletzt noch ein akuelles AV-Programm nutzen, und sei es Antivir, welches die letzten Dateien, die zum Wurm gehoeren beseitigt. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.05.2004, 13:46
Moderator
Beiträge: 7805 |
#20
@Futura
Versuche es, wenn es im "normalen" Modus nicht geht, nimmst du halt den abgesicherten! Aber bitte Windows updaten, genauso wie dein AV-Programm! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.05.2004, 13:57
...neu hier
Beiträge: 4 |
#21
Zitat raman posteteJa werde ich dann versuchen! Habe mir die windowsupdate-Seite als Startseite eingerichtet! :-) Nun kann ich es eigentlich nicht mehr vergessen! AV wrd auch per live-update regelmässig upgedatet! Danke Dir nochmal! |
|
|
||
01.05.2004, 14:41
...neu hier
Beiträge: 3 |
#22
oh man!
bei mir funzts net, hab alles gemacht wie befohlen aber nach ner gewissen zeit is wieder alles da, und ich find auch nur die prefetch dateien und noch welche im recycler, kann die aber net löschen und ich findse auch nur über suchen. ich hab jetzt die avserve datei auf die ignorelist gesetzt aber der pc wird immernoch regelmäßig herruntergefahren :/. ach, nochwas: wievile von diesen "xxxxx_up" dingern muss ich löschen, ich find nachdem se wieder da sind immer 1-3 davon :/. ich brauche einen rat, was kann ich noch löschen??? maybe die isass.exe? Dieser Beitrag wurde am 01.05.2004 um 14:48 Uhr von sieben editiert.
|
|
|
||
01.05.2004, 14:51
Moderator
Beiträge: 7805 |
#23
Du musst dein Windows updaten!! Sonst kommt er immer wieder. Im Zweifelsfalle erst einmal die XP Firewall anschalten. http://www.microsoft.com/germany/ms/security/windowsxp.mspx
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.05.2004, 14:57
...neu hier
Beiträge: 3 |
||
|
||
01.05.2004, 16:00
...neu hier
Themenstarter Beiträge: 2 |
#25
kein chance... habe keine avserve.exe datei,im taskmanager auch nichts und bevor ich das bulletin runter bekomme, shut down..was nun? norton findet keinen virus hat aber upgedatet
help |
|
|
||
01.05.2004, 16:10
Moderator
Beiträge: 7805 |
#26
Poste mal ein Hijackthis log(*), aktiviere die XP Firewall( wenn du XP hast) und update dein Windows
(*)= www.hjt.klaffke.de __________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.05.2004, 22:31
...neu hier
Beiträge: 1 |
#27
Hallo!
Ich habe das gleiche Problem mit dem Sasser, obwohl mein System noch nicht mit dem Wum infiziert zu sein scheint (keine avserve.exe Datei usw...). Allerdings kann ich keine Updates oder Patches herunterladen, da mein Computer spätestens nach 5 Minuten Verbindung im Internet heruntergefahren wird. Auch der Befehl "shutdown -a" funktioniert nicht und kann nicht das Herunterfahren stoppen. Was kann ich noch tun? Besten Dank! |
|
|
||
11.08.2004, 04:32
...neu hier
Beiträge: 2 |
#28
Hallo alle miteinander!
Zunaechst einmal schoenen Dank dafuer, dass es dieses Forum gibt. Ich bin neu hier und habe mich erstmal durch die verschiedenen interessanten Beitraege durchgearbeitet. Dennoch schreibe ich diese Nachricht, weil ich mir leider noch nicht weiterhelfen konnte und mein Problem zwar aehnlich, aber eben doch ein bischen anders ist - zumindest in meinen unwissenden Augen. Mein Problem ist das Folgende: Seit heute faehrt sich der Rechner automatisch herunter, sobald ich mich mit dem Internet verbinde bzw. spaetestens, nachdem ich 5 Minuten verbunden bin. Dabei erscheint ein Pop-Up-Fenster mit der Nachricht, dass ein Fehler aufgetreten ist und sich der Rechner herunterfahren und neustarten wird (es laeuft eine Timer 59 Sekunden), weil die Datei C:\WINNT\System32\lsass.exe unerwarteterweise geschlossen wurde. Es wird der Fehler-Code 128 angegeben und noch hinzugefuegt, dass das Herunterfahren von "-\Autoritaet\System" veranlasst wurde. Das interessante ist, dass der Rechner ohne jegliches Problem tagelang laeuft, sofern er nicht mit dem Internet verbunden wird. Ich habe das Antivir-Programm laufen lassen, ohne etwas zu finden. Antivir habe ich regelmaessig upgedatet, das letzte Mal allerdings vor knapp 2 Wochen. Ich verbinde mich ueber W-Lan in meiner Uni. Ueber die lsass.exe habe ich ja jetzt viel gelesen und weiss, dass ich sie benoetige. Die verdaechtigen Mails habe ich nicht bekommen und demnach auch keine Anhaenge geoeffnet. Eine Datei, die sich "avserve.exe" nennt, habe ich nicht finden koennen. ?? Hat einer eine Idee, was ich noch machen koennte? Kann es sein, dass es am Netzwerk liegt? (Es war heute das erste Mal in einer anderen Fakultaet; allerdings wurde mir gesagt, dass im Normalfall keine besonderen Einstellungen vorzunehmen sind, das Netzwerk also frei zugaenglich ist.) Ueber eine Antwort waere ich sehr dankbar, schoenen Gruss Jan |
|
|
||
11.08.2004, 12:18
Member
Beiträge: 1095 |
#29
@Djibba
Dich "greift" ein Sasser ähnlicher Wurm aus dem Internet an. Dieser sendet auf dem RPC Port (139 Glaube ich) eine Anfrage, welche die lsass.exe zum Absturz bringt. Da die "lsass.exe" für das ganze User und Anmeldehandling verantwortlich ist , fährt sich der Rechner sur Sicherheit runter. Du hast also wahrscheilich keine Virus im System sondern du wirst von außen angegriffen 2 Möglichkeiten. 1. Windowsupdate Dann wird die lsass.exe upgedatet. Diese "Vulnerbility" wäre weg. 2. Installiere eine Firewall oder Aktiviere die von XP http://www.dirks-computerecke.de/windows-xp-firewall.htm Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
12.08.2004, 04:45
...neu hier
Beiträge: 2 |
#30
@ paff
Danke fuer die Schnelle Antwort. Das wuerde mich ja freuen, wenn ich noch nicht infiziert waere...! Eine Frage noch zu Firewall (ich nutze Windows 2000): gibt es da eine Empfehlung, welche Firewall gut zu Antivir passt? Oder eine ganz andere Kombination? Gruss Jan |
|
|
||
Zitat
Aber woanders wird keine "avserve.exe"-Datei gefunden!Wo muss die denn sich festgesetzt haben, um den Virus noch zu haben?
Noch etwas in meinem Taskmanager unter Prozesse gibt es keine Datei "avserve.exe"!!!
Versteht das einer noch?