lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

#16 again...

also nochmal: ich meine dass wenn diese Meldung erscheint, ihr den Virus nicht haben müsst. DANN WIRD AUCH EUER SCANNER NIX FINDEN !!!
MFG
DAFRA

#17 Servus,

hatte genau das gleiche Problem seit 1.5.

Sobald ich ins Netz gegangen bin kam diese Meldung das mein PC in 60 sek. neu gestartet wird. Das seltsame war, daß dies nur der Fall war wenn ich mich über Smartsurfer oder den Discount Surfer von Teltarif ins Netz eingewählt habe. Hab dann versucht, eine Dialup Connection einzurichten. Eingewählt und .... keine Meldung, kein Neustart.

Habe mir dann die aktuellen Patches runtergeladen und Antivir aktualisiert. Zwar findet Antivir noch immer nichts, aber (auch wenn ich mich über Smartsurfer oder dergleichen einwähle) die Meldung das der PC heruntergefahren wird erscheint nicht mehr.

Bin mir nicht sicher ob dies die optimale Lösung ist, scheint aber geklappt zu haben.

Liebe Grüße

#18 Hallo...

Ich hatte auf meinem PC auch das Problem das er sobald ich eine Internetverbindung aufgebaut hatte, er sich nach kurzer Zeit mit der Typischen LSASS Meldung verabschiedet hat. Meine Virenscanner hatten auch keinen Virus gefunden und da ich meinen PC mit WINXP erst gestern neu aufgesetzt hatte, habe ich auch keinen Virus vermutet. Das Windowsupdate funktionierte bei mir auch nicht wegen der Meldung "Möglicherweise liegt ein Problem mit der Zeiteinstellung Ihres Computers vor". Ich denke das liegt daran weil ich shutdown -a eigegeben hatte und der hat etwas im System deaktiviert weil ich konnte danach keinen Benutzer wechseln, konnte keine neuen Benutzer Konten anlegen und der Virusremover funktionierte auch nicht weil ich angeblich keine Administrator rechte habe.
Ich habe danach mit diesem Link http://download.microsoft.com/download/4/c/d/4cda48a2-28e8-46fb-b332-2dcc618e6b0b/WindowsXP-KB835732-x86-DEU.EXE
das Windosupdate aufgespielt und jetzt funktioniert mein Rechner schon seit einigen Stunden wieder.

Gruß Andi
__________
Heute schon einen Computer zerstörrt?

#19 Hallo, wer kann mir helfen. Mich hat auch das Virus erwischt. Da mein Computer relativ lange für die Internetverbindung braucht, kann ich das Microsoft-Update nicht runterladen. Er stürzt vorher ab. Reicht es aus, das Update zu installieren? Mein Bekannter würde es mir runterladen. Für eine Hilfe wäre ich sehr dankbar.
Gruß
herswern

#20 Ja, es reicht das, eine Update zu installieren.

Pass aber auf das er das passende zu deinen Betriebssystem also (XP oder Windows 2000 oder Windows98 usw.) runterlädt.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#21 Seit 2 tagen habe ich auch dieses Problem mit einer Sasser/art.
Und lese hier und anderswo, immer das gleiche.
Demnach habe ich keinen Wurm auf mein Rechner.

Der patch von Microsoft, lässt wenigstens nicht mehr mein rechner runterfahren,
jedoch diese fehlermeldung habe ich immer noch.

Die lieg jetzt ständig auf mein Desktop, weil sie sich nicht wegklicken lässt

Habe firewall und vierenscanner laufen
und die anweisungen den ich folgen soll,
um den Wurm per Hand zu entsorgen, führen auch ins leere.

Jetzt etwas was ich noch nicht gelesen habe.
Meine Firewall Blockt schon öfter die normale EXPLORER.EXE
und sie arbeiten im Taskmanager mit 25% leistung (bei 2.8g) im hintergrund.
Darum haben viele hier bestimmt ihren Rechner jetzt deutlich langsammer.

Desweiteren fällt mir Jetzt die VMNAT.EXE auf,
sie wird auch ständig geblockt.
Glaube aber das die vmnat zu VMWARE gehört.
http://www.surfingpartner.net/schule/zone.jpg

Vieleich weiss ja einer was ich jetzt mit der fehlermeldung machen soll und wie die Explorer.exe wieder normal arbeitet.
Ich glaube hier Wumrt noch ein anderer rum der nicht SASSER heiss.

Hier noch mein Hijack
Logfile of HijackThis v1.97.7
Scan saved at 11:24:59, on 03.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\Antivirus-Profi-Paket\AVKService.exe
d:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\anvshell.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE
D:\Programme\tools\KlipFolio\KlipFolio.exe
D:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE
d:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Directory Opus\dopus.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\FreeMem Professional\Fmempro.exe
D:\Programme\Tools\TVgenial\TVgenial.exe
C:\WINDOWS\System32\dwwin.exe
C:\WINDOWS\System32\WISPTIS.EXE
D:\Programme\Tools\Daemon-Tools\daemon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\PROGRA~2\ZONELA~1\ZONEAL~1\zapro.exe
D:\games\steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\Tools\WS_FTP\WS_FTP95.exe
D:\Programme\Adobe\photo\Photoshop.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\mspaint.exe
D:\Programme\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\reader\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\reader\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\reader\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE /m
O4 - HKLM\..\Run: [KlipFolio] "d:\Programme\tools\KlipFolio\KlipFolio.exe" /BOOT
O4 - HKLM\..\Run: [AVK Mail Checker] "D:\Programme\Antivirus-Profi-Paket\AVKPOP.EXE"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~2\ZONELA~1\ZoneAlarm\zapro.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DOpus] D:\Programme\Directory Opus\dopus.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [FreeMem Pro] "D:\Programme\FreeMem Professional\Fmempro.exe" autostart
O4 - HKCU\..\Run: [TVgenial] D:\Programme\Tools\TVgenial\TVgenial.exe -d
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.2828009259
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7096CF2F-1F5F-4F8F-9156-7E28E0D85048}: NameServer = 217.237.151.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{7096CF2F-1F5F-4F8F-9156-7E28E0D85048}: NameServer = 217.237.151.33 194.25.2.129

#22 shutdown -a ist die Lösung. Ihr dürft es aber erst unter "Start", "Ausführen" mit "Ok" starten, wenn das Fenster mit der Meldung auf ist. Sonst bekommt ihr die Meldung "Shutdown kann nicht gefunden werden" o.ä. Eventuell auch erst ein paar Sek nachdem das Fenster erschienen ist starten... Dann ganz in Ruhe den Patch saugen und ausführen (http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3)
dann das Tool (http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe) saugen und ausführen. Sollte alles wieder laufen

#23 tach ers ma,

hatte das sasser/a prob auch hatt mich zimlich geärgert ^^
naja ich find das is´n zimlich billiger abklatsch vom blaster...

zimlich leicht zu entfernen.
für die die es mit einem prog gemacht haben (was ich auch gemacht hab) oder wollen empfele ich antivir (weil freeware).
ich hab es trotzdem noch einmal manuel überprüft um wirklich sicher zu gehen was ich für alle betroffenen empfele!

ihr findet folgende dateien in folgenden ordnern.

c:\win.log
c:\windows\avserve.exe
c:\windows\system32\"xxxx_up.exe" (xxxx = vierstellige Zufallszahl)

und in der reg:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe

wollt das nur mal kunttun :-)

erst DANACH sollte man das sicherheitsupdate draufziehen weil sonst bringst ma voll nix ^^

als viel spaß mit einem hoffentlich laufenden rechner

achso eine sache hab ich vergessen und zwar..
der wurm hällt sich für verdammt witzig.
wenn diese meldung bekommen sit von wegen shutdown in 60sec.
sollte man nicht shutdown -a machen.
weil der wurm versucht einen kleinen effekt der nicht sonderlich nett ist er nimmt einem sämtliche rechte.
man kann nicht einmal mehr den rechner ausschalten oder gar neu starten das ist auch die antwort darauf warum ihr/du keinen neuen benutzer anlegen konntest ^^.......

#24 Ich hatte aber keinen Wurm drauf, keine der typischen Dateien und Eintrag in der Registry gefunden und auch kein Virenscanner hat was gefunden, und hatte aber das Problem mit dem Shutdown.Ich vermute da was anderes.
In dem Fenster steht doch das der "Systemprozess LSASS unerwarteterweise mit dem Statuscode 128 beendet wurde". Der Computer wird neu gestartet fals der Dienst fehlschlägt..... Nachzulesen unter Systemsteuerung/Dienste unter dem Dienst "Sicherheitskontenverwaltung" bei Eigenschaften-Wiederherstellen.
Nachdem der Dienst die Richtlinien für User steuert, ich aber den Shutdown mit "Shutdown -a" verhindert habe und der Dienst dadurch nicht mehr aktiv ist habe ich natürlich keine Administratorrechte und auch das neu Anmelden funktioniert nicht mehr.

Lg Andi
__________
Heute schon einen Computer zerstörrt?

#25 Hallo!
Ich habe da volgendes Problem , und zwar ist der PC meiner Schwester mit dem Virus Sasser infiziert da Sie sich nicht so gut mit dem Hintergrund eines PC´s auskennt habe Ich versucht per Telefon zu helfen . Kommen wir zum eigentlichen Problem : Wir haben eigentlich alles gemacht was hier steht aber funktionieren tut es trotzdem nicht . Sie hat das Windows Update und das Removel Tool herunter geladen das Update geht aber der Tool nicht . Da bekommt Sie die Fehlermeldung das ihr andere Updates fehlen . Also hat Sie alle austehenden Updates herunter geladen . Da kam dann die Nachricht Download erfolgreich Installation fehlgeschlagen . Da Ihre Zeit einstellung falsch sein soll . Dann hat Sie es mit dem Tool von Symantec ausprobiert der sagt das kein Virus gefunden wurde . Sie fliegt aber immer wieder raus also muss er ja noch da sein oder? Wie bekommt Sie die gedownloadeten Updates Installiert ? Warum hat Sie keine Administrator rechte ? Warum kann Sie im System die Automatischen Downloads von Windows nicht aktivieren ?

Für eine Antwort schon mal Vielen Dank

#26 Also ich musste mich kürzlich mit der neusten Sasser Variante D, die seit 3.5. mittags herumgeistert, herumkloppen.

Die Symptome auf meinem Rechner:
-Ich durfte meinen Rechner nicht mehr herunterfahren.
-die Rechnerleistung wurde erheblich gesenkt. Der Grund hierfür war dass der Wurm mehrfach den Prozess avserve2.exe startete, nach einiger Zeit 30mal bevor ich schließlich abgebrochen habe. Der 2. Prozess (der wurm selbst) nannte sich Skynetave.exe. Ich beobachtete kurz das Prozessfenster, wo ich feststellte dass Skynetave.exe avserve2.exe sich ständig öffneten und schlossen. Dies war noch bevor ich die avserve2.exe datei im Windows ordner gelöscht habe. Danach kam obiges mit 30mal öffnen.
-Programme die ich laufen hatte/gestartet habe wurden verändert/infiziert.
-Ich kam nicht mehr ins Internet.

Auf den Seiten von Symantec schließlich fand ich zwar ein Tool welches Sasser.B und vorherige entfernte, aber Sasser.D war noch nicht inbegriffen. Trotzdem, gab es bereits eine Anleitung wie man diese neuste Variante per Hand wegbekommt, die Schäden natürlich nicht.
Hier der Link dazu: http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.d.html
vermutlich wird im Laufe des heutigen Tages das Sasser Tool auf die D-Variante aktualisiert sowie eine deutsche Anleitung herausgegeben.

Ich kann nur sagen, dieser Wurm ist ärgerlich

Edit: falls der D-Wurm auf dem Rechner ist hilft das aktuelle Tool für die B-Variante trotzdem. Auch wenn man die letzten schritte (Registryeintrag: skynetave.exe) per Hand durchführen muss.

#27 Schritt für schritt anleitung für sasser.a und sasser.b

http://streamxtreme.funpic.de/security/sasser.htm

bei nichtgefallen einfach löschen wie den anderen thread.

Gruss Odin

#28 Naja, was erwartest du, wenn jemand empfieht, Systemdateien zu loeschen, wenn man die Situation des einzelnen Users nicht kennt. Ich moechte nicht wissen, was passiert, wenn ein User in einer Firma mal so zur Vorbeugung die Datei loescht und auf einmal Firmennetztechnisch etwas nicht mehr funktioniert?
__________
MfG Ralf
SEO-Spam Hunter

#29

Zitat

bumbklaatt postete
Mein PC ist auch, trotz Kerio Personal Firewall, von diesem Wurm befallen. w32.blaster ist es nicht, wie ich durch das Symantec w32.blaster Worm Fix Tool herausgefunden habe.

Allerdings werde ich den Sasser wurm nicht los, denn Antivir (neueste Upgrades geladen) findet nichts! Auch die genannten Dateien (win.log, avserve.exe, _up.exe) sind nicht auf meinem PC. Es kann aber doch nur der blaster oder sasser sein?! Meine Firewall meldet mir auch immer, dass LSA Shell (Export Version) ins Internet will (woraufhin ich blockiere).

#30 Danke Diane dass du die "Nachricht" von bumbklaatt nochmals gepostet hast. Auch ich habe leider seit 01.05. jenes Problem und noch keine Antwort auf jene Konstellation gefunden. Auch mein AntiVir XP kann trotz Update nix finden Meine Problemlösung wäre nun radikal das sys neu aufzusetzen... Ist jedoch Zeitaufwendig und verschont mich nicht vor evtl. neuen "Angriffen"...

so, what the F*** else can I/We do?


MfG und dank im voraus