System32\lsass.exe ?? -->W32/Sasser.worm

#1 Hi all.. bin neu aber habe Probs. Mit dieser Angabe bekomme ich einen 58 Sek. rückwärtszählenden System Shutdown wie damals bei Lovesan oder W32 Bluster. Northon findet nichts, Bluster Patch ist installiert... weiss jemand Rat?? Help!

Danke Stella

#2 Poste mal ein HijackthisLog (unten stehts wies geht) und updaet mal dein Windows mit allen Patchen.
MFG
DAFRA

#3 Das koennte der W32/Sasser.worm sein. Ist relativ neu und verbreitet sich ueber eine Sicherheitsluecke, die MS mit dem Aprillpatches geschlossen hat. Im Hijackthis log sollte man einen Eintrag mit Namen avserve.exe finden koennen.
__________
MfG Ralf
SEO-Spam Hunter

#4 Hallo :-)

habe mich hier mal registriert weil mir brennt was unter den Nägeln :-)

habe auch seit heute Morgen um 2 uhr probleme mit besagter datei avserve.exe und auch die gleiche meldung,
Habe jetzt mal alle Updates draufgespielt, wie soll ich weiter machen ?
ist es richtig das der computer sich durch den patch nicht aufhängt aber der Virus immer noch vorhanden ist ?

mfg Koka

#5 Ich denke schon, poste du auch mal bitte ein Hijackthis Log (unten stehts wies geht)
MFG
DAFRA

#6 ja ok mache ich gerade, hatte eben schon wieder das problem das ich net aufs internet zugreifen konnte dann habe ich die avserve.exe beendet und jetzt gehts ?!?

Logfile of HijackThis v1.97.7
Scan saved at 12:13:48, on 01.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN\MSNCoreFiles\MSN6.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Till\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AOL 7.0 (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Chat 1.3 - http://jcs.chat.dcn.yahoo.com/c174/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.pussyharem.com/stream/mmp.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38051.0188888889
O16 - DPF: {B2C5C996-F1B2-4373-9823-74D9072615E6} (Privat-X Client) - http://download.privat-x.com/px_client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E302F157-A890-4B6F-A421-839D25055D6D} (NLSysInfo Control) - https://www.novaworld.com/NWCommunities/beta/NLSysInfo.ocx
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6DF700E-9785-4F57-9124-8EB1B89A7086}: NameServer = 217.237.149.161 194.25.2.129

#7 Nimm bitte diesen Eintrag heraus und starte neu:

O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe

Loesche dann diese Datei und in deinem Szstem32 Ordner muessen noch ein paar Dateien die ungefaehr so aussehen>

[fuenf Zahlen]_up.exe z.B. 12345_up.exe

loesche diese ebenfalls. Waere nett, wenn du die ganzen Dateien vorher an virus@protecus.de oder an die Adresse aus meinem Profil.

Infos zum Virus: http://vil.nai.com/vil/content/v_125007.htm
__________
MfG Ralf
SEO-Spam Hunter

#8 ja klar mache ich gerne,
aber wie kann ich den am einfachsten rausnehmen ?
und soll ich die Dateien einfach mal packen und dann an dich und oder rokop schicken ?

#9 Ja, bitte und herausnehmen, tust du indem du den Eintrag anhakst und auf fix checked drueckst. Nach dem Neustart kannst du die Dateien alle packen/verschieben/loeschen.

Update mal dein Antivir und schaue, ob der alle diese Dateien als Wurm identifiziert.
__________
MfG Ralf
SEO-Spam Hunter

#10 AntiVir hat gerade nen patch rausgebracht womit er gelöscht wird, ansonnsten evtl mit der Hand machen wenn man noch Jäger und Sammler gene hat :-)

- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.

#11 und wenn man das von hand und nich im abgesicherten modus macht?
is das n problem?

#12 Nur wenn du vorher nicht die avserve.exe mit Hilfe des Taskmanagers beendest. Sonst funktioniert es nicht.
__________
MfG Ralf
SEO-Spam Hunter

#13 Habe auch den Sasser.worm!

NAV2004 hat ihn erkannt und auch ad-ware 6.0!

Nachdem ich alle infizierten Dateien gelöscht habe und ad-ware nochmal prüfen gelassen habe, ist nichts mehr gefunden worden!

Habe auch alle Microsoft-Patches downgeloadet, aber habe unter der "Suche"

auch diese Datei "avserve.exe" unter windows/prefetch gefunden!

Antivir kann ich nicht benutzen,da sich NAV2004 auf dem rechner befindet! Antivir erkennt den als "Virus" an und es wird gewarnt 2 resistente Programme gleichzeitig auf dem PC zu haben!


Die Störungen sind behoben, aber die eine Date ist noch da, habe auch nicht alle Datein von unten aufgeführten? Die fettgedruckten habe ich seit 3:00 Uhr nochwas letzte Nacht!


\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG

Was würden mir die Experten nun raten, zu machen?

Vielen Dank!

Futura

#14 Die Dateien im Prefetch Ordner kannst du vergessen, du kannst alles in dem Ordner loeschen, wenn du willst. soweit ich weiss protokoliert Windows dort, welche Dateien wie oft gestartet werden um diese Dateien bei einer defragmention besser anzuordnen.

Die Dateien kannst du im abgesicherten Modus loeschen.
__________
MfG Ralf
SEO-Spam Hunter

#15 Hallo!

Ich habe seit heute ein ähnliches Problem und hoffe mir kann jemand weiterhelfen.

Ich starte mein Notebook, nach ein paar Minuten erscheint eine Fehlermeldung eines Programmes namens LSA Shell (Export Version) mit der Meldung, dass der PC heruntergefahren werden muss.

Kurz darauf erscheint ein neues Fenster mit der Nachricht, dass lsass.exe mit dem Statuscode -1073741818 unerwartet das Programm beeendet hat und in 45 Sekunden den PC neu starten wird.

Wenn ich dann versuche selbst über START - AUSSCHALTEN herunterzufahren geht das nicht, ich muss dann per Knopf den PC ausschalten.

Ich denke ich habe den Virus über mein GMX Postfach bekommen, habe aber nichts geöffnet. Oder ist es eventuell ein anderes Problem? Wie kann ich es beheben, dass mein Notebook alle paar Minuten heruntergefahren wird?

Dazu kommt dass ich Norton Antivirus nicht mehr öffnen kann, was eventuell auch etwas damit zu tun hat.

Gruß,
Serendipity

P.S.: Ich habe nach lsass auf dem Notebook gesucht und 2 Dateien gefunden: Eine heißt lsass und ist in WINDOWS\system32, die andere heißt lsass.exe.mdmp