lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » LösungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
02.05.2004, 17:16
Member
Themenstarter Beiträge: 1122 |
||
|
||
02.05.2004, 20:38
...neu hier
Beiträge: 1 |
#17
Servus,
hatte genau das gleiche Problem seit 1.5. Sobald ich ins Netz gegangen bin kam diese Meldung das mein PC in 60 sek. neu gestartet wird. Das seltsame war, daß dies nur der Fall war wenn ich mich über Smartsurfer oder den Discount Surfer von Teltarif ins Netz eingewählt habe. Hab dann versucht, eine Dialup Connection einzurichten. Eingewählt und .... keine Meldung, kein Neustart. Habe mir dann die aktuellen Patches runtergeladen und Antivir aktualisiert. Zwar findet Antivir noch immer nichts, aber (auch wenn ich mich über Smartsurfer oder dergleichen einwähle) die Meldung das der PC heruntergefahren wird erscheint nicht mehr. Bin mir nicht sicher ob dies die optimale Lösung ist, scheint aber geklappt zu haben. Liebe Grüße |
|
|
||
02.05.2004, 20:44
...neu hier
Beiträge: 6 |
#18
Hallo...
Ich hatte auf meinem PC auch das Problem das er sobald ich eine Internetverbindung aufgebaut hatte, er sich nach kurzer Zeit mit der Typischen LSASS Meldung verabschiedet hat. Meine Virenscanner hatten auch keinen Virus gefunden und da ich meinen PC mit WINXP erst gestern neu aufgesetzt hatte, habe ich auch keinen Virus vermutet. Das Windowsupdate funktionierte bei mir auch nicht wegen der Meldung "Möglicherweise liegt ein Problem mit der Zeiteinstellung Ihres Computers vor". Ich denke das liegt daran weil ich shutdown -a eigegeben hatte und der hat etwas im System deaktiviert weil ich konnte danach keinen Benutzer wechseln, konnte keine neuen Benutzer Konten anlegen und der Virusremover funktionierte auch nicht weil ich angeblich keine Administrator rechte habe. Ich habe danach mit diesem Link http://download.microsoft.com/download/4/c/d/4cda48a2-28e8-46fb-b332-2dcc618e6b0b/WindowsXP-KB835732-x86-DEU.EXE das Windosupdate aufgespielt und jetzt funktioniert mein Rechner schon seit einigen Stunden wieder. Gruß Andi __________ Heute schon einen Computer zerstörrt? |
|
|
||
03.05.2004, 09:22
...neu hier
Beiträge: 2 |
#19
Hallo, wer kann mir helfen. Mich hat auch das Virus erwischt. Da mein Computer relativ lange für die Internetverbindung braucht, kann ich das Microsoft-Update nicht runterladen. Er stürzt vorher ab. Reicht es aus, das Update zu installieren? Mein Bekannter würde es mir runterladen. Für eine Hilfe wäre ich sehr dankbar.
Gruß herswern |
|
|
||
03.05.2004, 09:25
Member
Beiträge: 1095 |
#20
Ja, es reicht das, eine Update zu installieren.
Pass aber auf das er das passende zu deinen Betriebssystem also (XP oder Windows 2000 oder Windows98 usw.) runterlädt. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
03.05.2004, 11:28
...neu hier
Beiträge: 1 |
#21
Seit 2 tagen habe ich auch dieses Problem mit einer Sasser/art.
Und lese hier und anderswo, immer das gleiche. Demnach habe ich keinen Wurm auf mein Rechner. Der patch von Microsoft, lässt wenigstens nicht mehr mein rechner runterfahren, jedoch diese fehlermeldung habe ich immer noch. Die lieg jetzt ständig auf mein Desktop, weil sie sich nicht wegklicken lässt Habe firewall und vierenscanner laufen und die anweisungen den ich folgen soll, um den Wurm per Hand zu entsorgen, führen auch ins leere. Jetzt etwas was ich noch nicht gelesen habe. Meine Firewall Blockt schon öfter die normale EXPLORER.EXE und sie arbeiten im Taskmanager mit 25% leistung (bei 2.8g) im hintergrund. Darum haben viele hier bestimmt ihren Rechner jetzt deutlich langsammer. Desweiteren fällt mir Jetzt die VMNAT.EXE auf, sie wird auch ständig geblockt. Glaube aber das die vmnat zu VMWARE gehört. http://www.surfingpartner.net/schule/zone.jpg Vieleich weiss ja einer was ich jetzt mit der fehlermeldung machen soll und wie die Explorer.exe wieder normal arbeitet. Ich glaube hier Wumrt noch ein anderer rum der nicht SASSER heiss. Hier noch mein Hijack Logfile of HijackThis v1.97.7 Scan saved at 11:24:59, on 03.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe d:\Programme\Antivirus-Profi-Paket\AVKService.exe d:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe d:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\oodag.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe D:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\System32\vmnat.exe C:\WINDOWS\System32\vmnetdhcp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\anvshell.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe D:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE D:\Programme\tools\KlipFolio\KlipFolio.exe D:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE d:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\Directory Opus\dopus.exe C:\Programme\MSN Messenger\MsnMsgr.Exe D:\Programme\FreeMem Professional\Fmempro.exe D:\Programme\Tools\TVgenial\TVgenial.exe C:\WINDOWS\System32\dwwin.exe C:\WINDOWS\System32\WISPTIS.EXE D:\Programme\Tools\Daemon-Tools\daemon.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\PROGRA~2\ZONELA~1\ZONEAL~1\zapro.exe D:\games\steam\Steam.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\svchost.exe D:\Programme\Tools\WS_FTP\WS_FTP95.exe D:\Programme\Adobe\photo\Photoshop.exe C:\WINDOWS\System32\taskmgr.exe C:\WINDOWS\system32\mspaint.exe D:\Programme\Tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\reader\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\reader\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\reader\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE /m O4 - HKLM\..\Run: [KlipFolio] "d:\Programme\tools\KlipFolio\KlipFolio.exe" /BOOT O4 - HKLM\..\Run: [AVK Mail Checker] "D:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~2\ZONELA~1\ZoneAlarm\zapro.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [DOpus] D:\Programme\Directory Opus\dopus.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [FreeMem Pro] "D:\Programme\FreeMem Professional\Fmempro.exe" autostart O4 - HKCU\..\Run: [TVgenial] D:\Programme\Tools\TVgenial\TVgenial.exe -d O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: WebSpeech (HKLM) O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.2828009259 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7096CF2F-1F5F-4F8F-9156-7E28E0D85048}: NameServer = 217.237.151.33 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{7096CF2F-1F5F-4F8F-9156-7E28E0D85048}: NameServer = 217.237.151.33 194.25.2.129 Dieser Beitrag wurde am 03.05.2004 um 11:34 Uhr von Picasso1 editiert.
|
|
|
||
03.05.2004, 15:48
...neu hier
Beiträge: 1 |
#22
shutdown -a ist die Lösung. Ihr dürft es aber erst unter "Start", "Ausführen" mit "Ok" starten, wenn das Fenster mit der Meldung auf ist. Sonst bekommt ihr die Meldung "Shutdown kann nicht gefunden werden" o.ä. Eventuell auch erst ein paar Sek nachdem das Fenster erschienen ist starten... Dann ganz in Ruhe den Patch saugen und ausführen (http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3)
dann das Tool (http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe) saugen und ausführen. Sollte alles wieder laufen |
|
|
||
03.05.2004, 17:24
...neu hier
Beiträge: 1 |
#23
tach ers ma,
hatte das sasser/a prob auch hatt mich zimlich geärgert ^^ naja ich find das is´n zimlich billiger abklatsch vom blaster... zimlich leicht zu entfernen. für die die es mit einem prog gemacht haben (was ich auch gemacht hab) oder wollen empfele ich antivir (weil freeware). ich hab es trotzdem noch einmal manuel überprüft um wirklich sicher zu gehen was ich für alle betroffenen empfele! ihr findet folgende dateien in folgenden ordnern. c:\win.log c:\windows\avserve.exe c:\windows\system32\"xxxx_up.exe" (xxxx = vierstellige Zufallszahl) und in der reg: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe wollt das nur mal kunttun :-) erst DANACH sollte man das sicherheitsupdate draufziehen weil sonst bringst ma voll nix ^^ als viel spaß mit einem hoffentlich laufenden rechner achso eine sache hab ich vergessen und zwar.. der wurm hällt sich für verdammt witzig. wenn diese meldung bekommen sit von wegen shutdown in 60sec. sollte man nicht shutdown -a machen. weil der wurm versucht einen kleinen effekt der nicht sonderlich nett ist er nimmt einem sämtliche rechte. man kann nicht einmal mehr den rechner ausschalten oder gar neu starten das ist auch die antwort darauf warum ihr/du keinen neuen benutzer anlegen konntest ^^....... Dieser Beitrag wurde am 03.05.2004 um 17:28 Uhr von hennes84 editiert.
|
|
|
||
03.05.2004, 21:50
...neu hier
Beiträge: 6 |
#24
Ich hatte aber keinen Wurm drauf, keine der typischen Dateien und Eintrag in der Registry gefunden und auch kein Virenscanner hat was gefunden, und hatte aber das Problem mit dem Shutdown.Ich vermute da was anderes.
In dem Fenster steht doch das der "Systemprozess LSASS unerwarteterweise mit dem Statuscode 128 beendet wurde". Der Computer wird neu gestartet fals der Dienst fehlschlägt..... Nachzulesen unter Systemsteuerung/Dienste unter dem Dienst "Sicherheitskontenverwaltung" bei Eigenschaften-Wiederherstellen. Nachdem der Dienst die Richtlinien für User steuert, ich aber den Shutdown mit "Shutdown -a" verhindert habe und der Dienst dadurch nicht mehr aktiv ist habe ich natürlich keine Administratorrechte und auch das neu Anmelden funktioniert nicht mehr. Lg Andi __________ Heute schon einen Computer zerstörrt? |
|
|
||
04.05.2004, 00:15
...neu hier
Beiträge: 1 |
#25
Hallo!
Ich habe da volgendes Problem , und zwar ist der PC meiner Schwester mit dem Virus Sasser infiziert da Sie sich nicht so gut mit dem Hintergrund eines PC´s auskennt habe Ich versucht per Telefon zu helfen . Kommen wir zum eigentlichen Problem : Wir haben eigentlich alles gemacht was hier steht aber funktionieren tut es trotzdem nicht . Sie hat das Windows Update und das Removel Tool herunter geladen das Update geht aber der Tool nicht . Da bekommt Sie die Fehlermeldung das ihr andere Updates fehlen . Also hat Sie alle austehenden Updates herunter geladen . Da kam dann die Nachricht Download erfolgreich Installation fehlgeschlagen . Da Ihre Zeit einstellung falsch sein soll . Dann hat Sie es mit dem Tool von Symantec ausprobiert der sagt das kein Virus gefunden wurde . Sie fliegt aber immer wieder raus also muss er ja noch da sein oder? Wie bekommt Sie die gedownloadeten Updates Installiert ? Warum hat Sie keine Administrator rechte ? Warum kann Sie im System die Automatischen Downloads von Windows nicht aktivieren ? Für eine Antwort schon mal Vielen Dank |
|
|
||
04.05.2004, 01:38
...neu hier
Beiträge: 1 |
#26
Also ich musste mich kürzlich mit der neusten Sasser Variante D, die seit 3.5. mittags herumgeistert, herumkloppen.
Die Symptome auf meinem Rechner: -Ich durfte meinen Rechner nicht mehr herunterfahren. -die Rechnerleistung wurde erheblich gesenkt. Der Grund hierfür war dass der Wurm mehrfach den Prozess avserve2.exe startete, nach einiger Zeit 30mal bevor ich schließlich abgebrochen habe. Der 2. Prozess (der wurm selbst) nannte sich Skynetave.exe. Ich beobachtete kurz das Prozessfenster, wo ich feststellte dass Skynetave.exe avserve2.exe sich ständig öffneten und schlossen. Dies war noch bevor ich die avserve2.exe datei im Windows ordner gelöscht habe. Danach kam obiges mit 30mal öffnen. -Programme die ich laufen hatte/gestartet habe wurden verändert/infiziert. -Ich kam nicht mehr ins Internet. Auf den Seiten von Symantec schließlich fand ich zwar ein Tool welches Sasser.B und vorherige entfernte, aber Sasser.D war noch nicht inbegriffen. Trotzdem, gab es bereits eine Anleitung wie man diese neuste Variante per Hand wegbekommt, die Schäden natürlich nicht. Hier der Link dazu: http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.d.html vermutlich wird im Laufe des heutigen Tages das Sasser Tool auf die D-Variante aktualisiert sowie eine deutsche Anleitung herausgegeben. Ich kann nur sagen, dieser Wurm ist ärgerlich Edit: falls der D-Wurm auf dem Rechner ist hilft das aktuelle Tool für die B-Variante trotzdem. Auch wenn man die letzten schritte (Registryeintrag: skynetave.exe) per Hand durchführen muss. Dieser Beitrag wurde am 04.05.2004 um 01:40 Uhr von Sasseropfer editiert.
|
|
|
||
04.05.2004, 01:50
Member
Beiträge: 22 |
#27
Schritt für schritt anleitung für sasser.a und sasser.b
http://streamxtreme.funpic.de/security/sasser.htm bei nichtgefallen einfach löschen wie den anderen thread. Gruss Odin |
|
|
||
04.05.2004, 06:00
Moderator
Beiträge: 7805 |
#28
Naja, was erwartest du, wenn jemand empfieht, Systemdateien zu loeschen, wenn man die Situation des einzelnen Users nicht kennt. Ich moechte nicht wissen, was passiert, wenn ein User in einer Firma mal so zur Vorbeugung die Datei loescht und auf einmal Firmennetztechnisch etwas nicht mehr funktioniert?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.05.2004, 11:00
...neu hier
Beiträge: 1 |
#29
Zitat bumbklaatt postete |
|
|
||
04.05.2004, 14:54
...neu hier
Beiträge: 1 |
#30
Danke Diane dass du die "Nachricht" von bumbklaatt nochmals gepostet hast. Auch ich habe leider seit 01.05. jenes Problem und noch keine Antwort auf jene Konstellation gefunden. Auch mein AntiVir XP kann trotz Update nix finden Meine Problemlösung wäre nun radikal das sys neu aufzusetzen... Ist jedoch Zeitaufwendig und verschont mich nicht vor evtl. neuen "Angriffen"...
so, what the F*** else can I/We do? MfG und dank im voraus |
|
|
||
also nochmal: ich meine dass wenn diese Meldung erscheint, ihr den Virus nicht haben müsst. DANN WIRD AUCH EUER SCANNER NIX FINDEN !!!
MFG
DAFRA