System32\lsass.exe ?? -->W32/Sasser.worm |
||
---|---|---|
#0
| ||
01.05.2004, 09:32
...neu hier
Beiträge: 2 |
||
|
||
01.05.2004, 10:08
Member
Beiträge: 1122 |
#2
Poste mal ein HijackthisLog (unten stehts wies geht) und updaet mal dein Windows mit allen Patchen.
MFG DAFRA |
|
|
||
01.05.2004, 11:53
Moderator
Beiträge: 7805 |
#3
Das koennte der W32/Sasser.worm sein. Ist relativ neu und verbreitet sich ueber eine Sicherheitsluecke, die MS mit dem Aprillpatches geschlossen hat. Im Hijackthis log sollte man einen Eintrag mit Namen avserve.exe finden koennen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.05.2004, 12:06
...neu hier
Beiträge: 4 |
#4
Hallo :-)
habe mich hier mal registriert weil mir brennt was unter den Nägeln :-) habe auch seit heute Morgen um 2 uhr probleme mit besagter datei avserve.exe und auch die gleiche meldung, Habe jetzt mal alle Updates draufgespielt, wie soll ich weiter machen ? ist es richtig das der computer sich durch den patch nicht aufhängt aber der Virus immer noch vorhanden ist ? mfg Koka Dieser Beitrag wurde am 01.05.2004 um 12:06 Uhr von Kokainu editiert.
|
|
|
||
01.05.2004, 12:08
Member
Beiträge: 1122 |
||
|
||
01.05.2004, 12:12
...neu hier
Beiträge: 4 |
#6
ja ok mache ich gerade, hatte eben schon wieder das problem das ich net aufs internet zugreifen konnte dann habe ich die avserve.exe beendet und jetzt gehts ?!?
Logfile of HijackThis v1.97.7 Scan saved at 12:13:48, on 01.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN\MSNCoreFiles\MSN6.EXE C:\WINDOWS\System32\taskmgr.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Till\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: AOL 7.0 (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: Yahoo! Chat 1.3 - http://jcs.chat.dcn.yahoo.com/c174/chat.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.pussyharem.com/stream/mmp.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38051.0188888889 O16 - DPF: {B2C5C996-F1B2-4373-9823-74D9072615E6} (Privat-X Client) - http://download.privat-x.com/px_client.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E302F157-A890-4B6F-A421-839D25055D6D} (NLSysInfo Control) - https://www.novaworld.com/NWCommunities/beta/NLSysInfo.ocx O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A6DF700E-9785-4F57-9124-8EB1B89A7086}: NameServer = 217.237.149.161 194.25.2.129 Dieser Beitrag wurde am 01.05.2004 um 12:16 Uhr von Kokainu editiert.
|
|
|
||
01.05.2004, 12:21
Moderator
Beiträge: 7805 |
#7
Nimm bitte diesen Eintrag heraus und starte neu:
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe Loesche dann diese Datei und in deinem Szstem32 Ordner muessen noch ein paar Dateien die ungefaehr so aussehen> [fuenf Zahlen]_up.exe z.B. 12345_up.exe loesche diese ebenfalls. Waere nett, wenn du die ganzen Dateien vorher an virus@protecus.de oder an die Adresse aus meinem Profil. Infos zum Virus: http://vil.nai.com/vil/content/v_125007.htm __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 01.05.2004 um 12:22 Uhr von raman editiert.
|
|
|
||
01.05.2004, 12:23
...neu hier
Beiträge: 4 |
#8
ja klar mache ich gerne,
aber wie kann ich den am einfachsten rausnehmen ? und soll ich die Dateien einfach mal packen und dann an dich und oder rokop schicken ? |
|
|
||
01.05.2004, 12:36
Moderator
Beiträge: 7805 |
#9
Ja, bitte und herausnehmen, tust du indem du den Eintrag anhakst und auf fix checked drueckst. Nach dem Neustart kannst du die Dateien alle packen/verschieben/loeschen.
Update mal dein Antivir und schaue, ob der alle diese Dateien als Wurm identifiziert. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.05.2004, 12:39
...neu hier
Beiträge: 4 |
#10
AntiVir hat gerade nen patch rausgebracht womit er gelöscht wird, ansonnsten evtl mit der Hand machen wenn man noch Jäger und Sammler gene hat :-)
- Mit AntiVir: Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien. - Manuell bei Windows 2000/ XP: Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien: \%WinDir%\AVSERVE.EXE \%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe C:\WIN.LOG Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] "avserve.exe"="C:\\%WinDir%\\avserve.exe" Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir. Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls. |
|
|
||
01.05.2004, 13:04
...neu hier
Beiträge: 3 |
#11
und wenn man das von hand und nich im abgesicherten modus macht?
is das n problem? |
|
|
||
01.05.2004, 13:21
Moderator
Beiträge: 7805 |
#12
Nur wenn du vorher nicht die avserve.exe mit Hilfe des Taskmanagers beendest. Sonst funktioniert es nicht.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.05.2004, 13:25
...neu hier
Beiträge: 4 |
#13
Habe auch den Sasser.worm!
NAV2004 hat ihn erkannt und auch ad-ware 6.0! Nachdem ich alle infizierten Dateien gelöscht habe und ad-ware nochmal prüfen gelassen habe, ist nichts mehr gefunden worden! Habe auch alle Microsoft-Patches downgeloadet, aber habe unter der "Suche" auch diese Datei "avserve.exe" unter windows/prefetch gefunden! Antivir kann ich nicht benutzen,da sich NAV2004 auf dem rechner befindet! Antivir erkennt den als "Virus" an und es wird gewarnt 2 resistente Programme gleichzeitig auf dem PC zu haben! Die Störungen sind behoben, aber die eine Date ist noch da, habe auch nicht alle Datein von unten aufgeführten? Die fettgedruckten habe ich seit 3:00 Uhr nochwas letzte Nacht! \%WinDir%\AVSERVE.EXE \%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe C:\WIN.LOG Was würden mir die Experten nun raten, zu machen? Vielen Dank! Futura |
|
|
||
01.05.2004, 13:31
Moderator
Beiträge: 7805 |
#14
Die Dateien im Prefetch Ordner kannst du vergessen, du kannst alles in dem Ordner loeschen, wenn du willst. soweit ich weiss protokoliert Windows dort, welche Dateien wie oft gestartet werden um diese Dateien bei einer defragmention besser anzuordnen.
Die Dateien kannst du im abgesicherten Modus loeschen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.05.2004, 13:34
...neu hier
Beiträge: 1 |
#15
Hallo!
Ich habe seit heute ein ähnliches Problem und hoffe mir kann jemand weiterhelfen. Ich starte mein Notebook, nach ein paar Minuten erscheint eine Fehlermeldung eines Programmes namens LSA Shell (Export Version) mit der Meldung, dass der PC heruntergefahren werden muss. Kurz darauf erscheint ein neues Fenster mit der Nachricht, dass lsass.exe mit dem Statuscode -1073741818 unerwartet das Programm beeendet hat und in 45 Sekunden den PC neu starten wird. Wenn ich dann versuche selbst über START - AUSSCHALTEN herunterzufahren geht das nicht, ich muss dann per Knopf den PC ausschalten. Ich denke ich habe den Virus über mein GMX Postfach bekommen, habe aber nichts geöffnet. Oder ist es eventuell ein anderes Problem? Wie kann ich es beheben, dass mein Notebook alle paar Minuten heruntergefahren wird? Dazu kommt dass ich Norton Antivirus nicht mehr öffnen kann, was eventuell auch etwas damit zu tun hat. Gruß, Serendipity P.S.: Ich habe nach lsass auf dem Notebook gesucht und 2 Dateien gefunden: Eine heißt lsass und ist in WINDOWS\system32, die andere heißt lsass.exe.mdmp Dieser Beitrag wurde am 01.05.2004 um 13:38 Uhr von Seren.dipity editiert.
|
|
|
||
Danke Stella