lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

#31 @raman.. ich habe nirgendwo etwas von löschen geschrieben gehabt nur von umbenennen!! da das löschen (durch einen von dir beschriebenen umbedarften user) garnicht möglich ist.. daher wäre das zurückbenennen der files kein problem gewesen.. im endefeckt hat sich die sasser.b variante dann aber auch so durchgestezt (LSASS.EXE neu erstellt) von daher war es gut den thread zu löschen .. hab mich ja auch nicht beschwehrt(sollte also kein sarkassmuss sein)...


des weiteren noch viel spass

Gruss Odin

PS:
dafür funzt die anleitung die ich erstellt habe dafür nun auch wirklich... auch wenn ich dort beschrieben habe die system datei unter schritt 1 umzubenennen (was jedoch nötig ist um dem user die zeit zu geben auch das update und das removal tool runter zu laden.. und da durch das update die lsass.exe eh ersetzt wird..dürfte alles kein prob sein)
Symantec, Antivir und avast hatte ich auch getestet, und die haben da garnix gefixt oder gar erkannt ausser ner ganzen menge andere sachen(wie insgesammt 9 verschiedene produkte). und das removal tool das ich drauf hab war zum zeitpunkt des erstellens der anleitung gerade mal 8 stunden alt...

#32 Das das "Patch" die lsass wieder neu erzeugt, wusste ich nicht mal. Mich wunderte nur, das das umbenennen der Datei ohne Neustart ueberhaupt wirkt, da die Datei ja schon aktiv im Speicher arbeitet.
__________
MfG Ralf
SEO-Spam Hunter

#33 hallo!

wie fast alle habe ich seit samstag auch das sasser problem. aber ich bitte euch bei folgendem um Hilfe:

ich habe den virus versucht mit dem aktuellsten norton antivrus und stinger probiert. sie haben beide nix gefunden, obwohl die probleme noch da sind!und auch der patch von microsoft hat nix geholfen!habe dann versucht das teil manuell zu löschen und die avserve.exe datei zu finden, aber die gibt es bei mir nirgends!jetzt hab ich keine ahnung was ich machen soll! ich kann ja nicht immer die kurzlösung über ausführen-cmd-shutdown -a anwenden. der virus muss doch irgendwie zu beseitigen sein!ich bitte 1000fach um hilfe!hab den rechner nagelneu und samstag erst angeschlossen. deshalb bin ich um so mehr verärgert! hab übrigens windows xp!

vielen dank
gruss chrissi24

#34 Also wenn der Virus nicht drauf ist, dann ist er nicht drauf...
Wenn weiterhin diese Meldungen kommen mit "60,59,58..." dann hast du den Patch noch nicht aufgespielt, oder dieser Funktoniert net.
Aktiviere auch mal die Xp -Firewall (goolge hilft)
MFG
DAFRA

#35 @dafra: der patch ist doch das download von microsoft, oder? und wie mache ich das mit der xp firewall?
angeblich hat das gestern ein bekannnter von mir gemacht. sonst muss ich das eben noch mal versuchen!bin aber nicht gerade ein profi wenns um solche dinge geht. deshalb wäre es nett, wenn du mir hilfst!

vielen dank und liebe grüße

#36 http://www.qsl.net/vk2jtp/xpfirewall.htm
MFG
DAFRA

#37 @ raman..
a) es funktioniert ... warum wieso weshalb... ist das wichtig?

b) ich würd sagen... die "datei"(iss aber ein dienst ne, der eine bzw mehrere dateien anspricht) mag aktiv sein aber mit neu gestarteter software(egal ob legale remote software(bei normaler internet conection ohne irgendwelche software stört sich nämlich keine LSass.exe dran.. (erst wenn du sagen wir mal E m u l e startest ..oder ähnliches) oder "illegaler" wurm) sprichst du wohl kaum irgendeine im speicher aktive datei (iss noch immer ein dienst der wohl aus mehreren dateien besteht) an nach dem motto (such mal im speicher nach der und der datei(da wird ja dann der dienst angesprochen der aus mehreren Dateien besteht die untereinander kummunizieren) und steure die dann ab adresse so und so an.. du wirst eher die datei(eine der zum dienst gehörenden) auf der festplatte so ansprechen... des weiteren dürften selbst auf ersterem weg übermittelte daten ins leere laufen das sie irgendwo in der regestry(da die dateien die zum dienst gehören ja numa irgendwie miteinander kommunizieren müssen) verschütt gehen,
sag ich jetzt einfach mal so,

aber wenns dich stört kann ich gern meine beiträge hier löschen, ich hab da kein problem mit, ich hab ja auch kein sasser ,(dafür aber auch noch was anderes zu tun) ich hab nur 9 verschiedene virenprogramme getestet die es allesammt nicht entfernen konnten! und einen weg gefunden der funktioniert zumindest bei sasser.a und sasser.b ... sasser.c dürfte evtl auch noch gehen da dieser von den technichen details her keine sooo gravierenden unterschiede hat(nur das von microsoft entwickelte und funktionierende removal tool ist nunmal nur mit sasser.a und sasser.b beschrieben und ich werd den teufel tun und was dazu erfinden)

aber wie gesagt wenns dich stört sag bescheid ich lösch meine beiträge dann hier mir machen W32 würmer nix aus mein windoof98se ist unempfindlich dagegen!

und c) siehe a)

Gruss Odin

ps . hier eine auflistung der programme die zumindest sonntag nicht gefunzt haben (Antivir, Norton, Stinger , Avast, Bit defender, Kasparsky, Sophos, MCAffee pro, Antivir removal tool....)

#38 tachschön,

ich hab die selbigen Probleme wie wohl der Rest der Welt. Zuerst hat sich immer der Comp. nach 1 minütigen I-Net selbst runtergefahren und dann läuft die Kiste immer mit 100% CPU Auslastung. Nach intensiven Studium der zahlreichen Threads hier hab ich mir alle möglichen Removel tools, Virenscanner, Windows Updates gesaugt. Ins I-Net komm ich momentan sorglos rein, doch die Kiste läuft imme noch auf vollen touren.
lsass, XXXX-Up.exe, win.log usw. Datein hab ich manuell gelöscht. Kein Erfolg.
Die lsass Datei reproduziert sich mit irgendwelchen dubiosen Zahlenanhängsel.
Hat jmd. n`Tipp wie ich weiter verfahren kann?

Greetz
marfl

#39 Poste mal ein Hijackthis Log.
unten steht wies geht.
MFG
DAFRA

#40 alles klar, werd's aber erst in einer halben Stunde schaffen, da ich eben vom UNI-Rechner aus poste. Da geht wenigstens noch alles und die Kiste macht nicht so einen wahnsinnigen lärm (100% Auslastung - Lüftergeräusch...)
Bis denne.


hey hier hijackthis log:
übrigens hab ich auch die heutige version von AntiVir. Das hat auch nix gefunden, nur einen anderen Wurm - glaub der hatte irgendwas mit ...bot in der bezeichnung.

Logfile of HijackThis v1.97.7
Scan saved at 20:53:39, on 04.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\ESB.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\freeCommander\freeCommander.exe
C:\DOKUME~1\Meister\LOKALE~1\Temp\freeCommander\2\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

thanx

#41 Ich seh da nix.
MFG
DAFRA

#42 Trotzdem schön dank. Dann muss ich wohl weiterhin mit Oropax arbeiten :-)

#43 Auszug aus der SYMANTEC Homepage:

W32.Sasser.B.Worm kann auch auf Windows 95/98/Me-Computern ausgeführt werden (ohne diese jedoch zu infizieren). Obwohl diese Betriebssysteme nicht infiziert werden können, so können sie jedoch zur Weiterverbreitung des Wurms auf damit verbundene, anfällige Systeme verwendet werden. In diesem Fall verbraucht der Wurm sehr viele Ressourcen. Dadurch können Programme, so auch unser Entfernungsprogramm, nicht mehr richtig ausgeführt werden. (Auf Windows 95/98/Me-Computern sollte das Programm im abgesicherten Modus ausgeführt werden.)


könnte nicht das das problem der meisten User hier sein das sie den Virus nicht wegbekommen, bzw. das sie den Virus nicht finden obwohl er anscheinend da ist.

Ist es ausserdem nicht so das die meisten Computer deswegen das Shutdown problem haben weil der Wurm hereinwill und dadurch der Dienst LSASS abstürtzt,was wiederum den Automatischen SHUTDOWN nach sich zieht(siehe mein letztes Posting).
Ich hatte keinen Wurm, aber das Windows Update hat geholfen.
__________
Heute schon einen Computer zerstörrt?

#44 @ Marfl du hast nen wurm namens...bot erwähnt ja

http://www.helpers.de/forum/message.php?forum_id=11&mess_id=240216&act=on

agobot.b wäre der name und das was deinen PCverlangsamt dürfte die smss.exe sein.. lies mal den artikel oben unter der URL...

derAgobot hat übrigens eine ähnlich charackteristik wie der Sasser.B

EDIT// http://www.helpers.de/forum/message.php?forum_id=11&mess_id=240010&act=on
(Hier beginnt der artikel)



@ Andi... hmm komisch ich hab gestern noch auf ner anderen page gelesen das er weder win 9x+ME systeme befällt noch sich dort einnistet ... und selbst wenn dann müsste der PC im netwerk mit NT systemen hängen oder ein datenaustausch per ICQp2P stattfinden


Gruss Odin

#45 Guten Tag zusammen

Nun ich komme aus der Schweiz und habe mir am Samstag den Wurm auch eingefangen alerdings nur auf meinem 2 Rechner, da dieser nicht up to Date war, und über keine Firewall verfühgte.

Ich habe allerdings verschiedene Varianten des Sassers Endekt, um genau zu sein ca.28

Die eine die wir denke ich mal alle kennen ist die Datei Avserve.exe und/oder Avserve2.exe die das system erheblich belastet.

Als ich merkte wie langsam meine kiste wurde installierte ich die gute alt ATGOUARD Firewall. Windof macht im "gesunden" zustand ca 15-22 Verbindungen permantent ins Internet.

Doch nache dem Start des infizierten Systems hatte ich zwischen 75-86 Verbindungen!

Nun gut, das entfernen des Viruses ist simpel. Ich habe es wie folgt gemacht.

1. Taskliste die Resourc fressenden Task beendet
2. regedit nach der Datei gesucht. Ordner gelöscht. Alles mit avserve entfernt
3. Datei Manuel gesucht und gefunden. 1x exe und eine pif ( Norton hat dabei leicht durchgedreht)

4. System gepatcht

5. In C:\Windows\System 32 haben sich ca +/- 25 Dateien die immer 16 KB gross waren und eine Zahl wie z.b. 468_up.exe oder 1580_up.exe versucht zu löschen. das leider nicht auf anhib ging ( ACHTUNG NORTEN BEIM OEFFNEN DER SYSTEM32 DEAKTIVIEREN der dreht sonst durch und nervt nur weil er nix machen kann.

6. Abgesicherter Modus und dateien manuel löschen.

DAs war mein weg. Es gibt sicherlich einfachere


Gruss Guggler
4.