lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

#46 Moinsen,

wir haben den Wurm wohl seit gestern auf der Hälfte unserer 6 Büro-PCs, allen, die mit Windows2000 laufen (die 3 "antiken" NT-User haben "Glück"...)

Als Systemadmin bin ich allerdings zurzeit echt ratlos: Habe sämtliche hier genannten Removal-Tools ausprobiert, alle sagen, es wäre kein Virus gefunden worden. Manuelles Suchen nach den genannten Dateien (avserve.exe usw.) und Registry-Einträgen blieb ebenfalls ergebnislos. Trotzdem schmieren hier seit gestern schön regelmäßig die 3 Windows2000-PCs mit Statuscode 128 in Systemprozess lsass.exe ab. HILFE!!!

#47 @Continental ..... Hast du Vorher ein Windows Sicherheitsupdate ausgeführt, denn ohne den funktioniert keines der Removal tools.

zum sicherheitsupdate :

http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm


Gruss Odin

#48 Unter windows 2000 Start Ausführen shutdown -a eingeben um das herunterfahren des system zu verhindern.

Danach würde ich nach Dateien suchen die ca 16KB gross sind, vorallem in System32 Ordner.


MFG Guggler

#49 Nein, dass ist falsch, es muss heißen:

Start --> Ausführen --> shutdown -a

Dann die Patches aufspielen und das wars.
MFG
DAFRA

#50 @ odin

merci für den tipp. Agobot hieß das vieh...genau. Werd jetzt mal den thread bei helpers verfolgen und hoffen das es hilft.

Gruß aus der Versumpfung

#51 Noch ein kleiner Tip aus diesem Link
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm
So kann vermieden werden das sich der Wurm auf dem eigenen Rechner festsetzt.
Den Trick mit dem "dcpromo.log" find ich wirklich klasse

Zitat

Problemumgehungen für die LSASS-Sicherheitsanfälligkeit – CAN-2003-0533

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, wird diese Einschränkung im Folgenden genannt.
Erstellen Sie eine Datei namens %systemroot%\debug\dcpromo.log und setzen Sie diese in den Eigenschaften auf schreibgeschützt (read-only). Um dies zu tun, geben Sie folgenden Befehl in die Kommandozeile ein:

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

Hinweis: Dies ist die effektivste Möglichkeit, die Verwundbarkeit abzuschwächen, da es den verwundbaren Code veranlasst, nie ausgeführt zu werden. Diese Problemumgehung funktioniert für Pakete, die an jeden verwundbaren Port geschickt werden.


Verwenden Sie eine persönliche Firewall, z. B. die Internetverbindungsfirewall, die zum Lieferumfang von Windows XP und Windows Server 2003 gehört.

Wenn Sie die Internetverbindungsfirewall in Windows XP oder Windows Server 2003 zum Schutz Ihrer Internetverbindung verwenden, wird unerwünschter eingehender Datenverkehr standardmäßig blockiert. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall mit dem Netzwerkinstallations-Assistenten zu aktivieren:


Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.
Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Heimnetzwerk bzw. kleines Büronetzwerk einrichten oder ändern. Die Funktion Internetverbindungsfirewall wird aktiviert, wenn Sie im Netzwerkinstallations-Assistenten eine Konfiguration auswählen, die angibt, dass Ihr System direkt mit dem Internet verbunden ist.

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall manuell für eine Verbindung zu konfigurieren:

Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.
Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen.
Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internetverbindungsfirewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Erweitert.
Aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird, und klicken Sie dann auf OK.

Hinweis: Wenn Sie die Verwendung einiger Programme und Dienste über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte Erweitert auf Einstellungen. Wählen Sie dann die benötigten Programme, Protokolle und Dienste aus.

Blockieren Sie die folgenden Ports an der Firewall:
UDP-Ports 135, 137, 138 und 445 sowie TCP-Ports 135, 139, 445 und 593.
Den unerwünschten eingehenden Datenverkehr mit Ports > 1024.
Alle weiteren speziell konfigurierten RPC-Ports.

Diese Ports dienen dazu, eine Verbindung mit RPC zu initiieren. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass auch alle weiteren speziell konfigurierten RPC-Ports auf dem Remotesystem blockiert sind. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu den von RPC verwendeten Ports finden Sie auf dieser Website (englischsprachig).

Aktivieren Sie erweiterte TCP/IP-Filter auf Systemen, die diese Funktion unterstützen.

Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.


Blockieren Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen.

Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec sowie zur Anwendung von Filtern finden Sie in den Microsoft Knowledge Base-Artikeln 313190 und 813878.

__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#52 Tach,

ich hab auch mal wieder nicht NEIN sagen können und den Sasser mit allen Extras bekommen.

Nun hab ich ihn wohl FAST los, System läuft wieder, aber ich kann nur ins I-Net wenn ich vorher den Weg Norton Personal Firewall - Konfigurieren - Programme - avserve.exe blockieren gehe. Obwohl blockieren schon vorher eingestellt ist kann ich keine Seiten aufrufen. Merkwürdig. Ich finde sonst keine avserve.exe mehr auf dem PC nur das ist noch da :-)

Kann mir einer von euch helfen, wie ich das auch noch los bekomme?

Gruß aus Old Berlin

#53 such mal nach skynetave -- das ist die d variante - die nistet sich gerne in den norton registry einträgen ein

#54 Hallo
Ich habe den Patch aufgespielt. Der Computer funktioniert wieder. Nur läuft
jetzt ständig mit dem Mauszeiger die Eieruhr. Wie ist das möglich? Im Maus-menue ist alles richtig eingestellt.
Kann mir jemand helfen?

#55 #@ herswern... der patch alleine wird nur die anfälligkeit des pc´s verhindern... aber der wurm ist noch da... die eieruhr zeigt dir an das dein PCauf hochtouren läuft.. daher solltest du nun den wurm removen(entfernen).

Gruss Odin

#56 Hallo zusammen,

ich wollte mich an dieser Stelle für all die guten Tipps und Links zum killen von Sasser bedanken :-)) . Mein Rechner war derart verstopft, dass ich nicht mehr ins Internet konnte um mir Downloads zum reparieren zu holen.

Mein Ausweg war, mir auf einem sauberen Rechner in der Firma alle erforderlichen Tools wie Stinger.exe, hijackthis 1.97, die Microsoft-Updates für XP und IE, ein AntiVir-Update, Spybot S&D 1.3 etc. und noch einige Anleitungen downzuloaden und dann auf CD-ROM zu brennen. Mit all diesen Werkzeugen habe ich den gestrigen Abend verbracht um meinen Rechner zu säubern. 23x fand ich Sasser.A unter jedesmal neuem Zufallsnamen in verschiedenen Verzeichnissen!

Nachdem weder die Virenscanner auf CD bzw. Festplatte noch die Suchfunktion des Win-Explorer mehr irgendein Indiz für einen Virus fanden, stellt Spybot S&D noch einen Hijacker fest! Dummerweise habe ich den Namen nicht aufgeschrieben sondern den einfach gelöscht. Mein Rat: Checkt eure Systeme nochmals mit Spybot Search & Destroy 1.3!

Die Deinstallation verlief nicht ganz ohne Probleme, so haben die Bildschirmeinstellungen im abgesicherten Modus nicht gepasst und ich kam nicht mehr auf den Start-Button. Nach einigem Nachdenken habe ich dann das Bild auf dem Monitor mit der Monitor-Einstellung soweit verschieben können, bis ich den Button wieder anklicken konnte. (Short-cuts müsste man beherrschen!)

Jetzt läuft mein PC wieder, deshalb nochmals mein herzlicher Dank an Alle!

Schöne Grüße und bis zum nächsten Virus/Worm. Microsoft wird es schon möglich machen.

PZBBK1

#57 Heul heul......... nun schlage ich mich schon 1 woche mit allen möglichen viren rum , (fast) kein ergebniss!

MEIN PROBLEM :
1.- hatte schon am 03.mai sasser auf meinem comp. , gemerkt hatte ich es erst als mein internet nichtmehr ging . Stand die typische fehlermeldung dort .
2.- am nächsten tag ging plötzlich das internet wieder -> hollte mir alles (windows update, stinger,bit defender....... )
3.-durchjagen von stinger mit ERFOLG 74 DATEIEN DIE INFIZIERT waren hat er gefunden u. (gelöscht)
4.-Am nächsten tag ging das internet wieder nicht genauso wie jetzt. Hole mir von einem anderen comp. sehr viele programme finden bis auf anti vir nichts`mehrere dateien sind infiziert . infizierte Dateien werden nicht gelöscht ` (oder so ähnlich)
5.- im task manager befindet sich 1x Isass.exe
4-5x svchost.exe
1x avserve
6.- als ich svchost beendet habe hat sich mein comp. nach den berühmten 60 sek. wegen dem RPC runtergefahren
Dies konnte ich im tiefsten Win. Dschungel aber ausschalten über
Ausführen->system.sys \s (oder so ähnlich)

7.- WAS IST MIT MEINEM COMPUTER LOS ???????
ICH WÜRDE MICH RIIIIIEEEEEESSSSSIIGG FREUEN , WENN MIR JEMAND HELFEN WÜRDE !!!!!

_________________________
tut mir leid wegen den massig rechtschreibfehlern!

#58 1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner.
4.)Freuen.

MFG
DAFRA


P.s.
Wenn er dann immer noch da ist, poste mal ein Hijackthis Log.
Unten stehts wies geht.

#59 Bisher bin ich bei all meinen Kunden den sasser mit dem einen oder anderen Tool, z. T. über Start-CD, abgesicherten Modus, etc. immer wieder losgeworden. Waren alles DSL-Nutzer.
Heute nun der erste mit ISDN, sasser erntfernt, Einwahl bei T-online problemlos, wird auch nicht mehr heruntergefahren. Aber der traffic ist extrem langsam. emails werden nach ewigen Zeiten noch geladen, über http kommen keine Daten mehr. T-online-software, capi, alles neu installiert, kein Erfolg.
Hat jemand ähnliche Erfahrungen gemacht, dass analoge oder ISDN-Systeme nach Virenentfernung beschädigt sind, DSL jedoch keinen dauerhaften Schaden nimmt?.
Dann kann man nämlich gleich auf Neuinstallation von XP gehen.

gruss
richtertheo

#60 Hallo ihr lieben,

nachdem ich seit gestern das selbe Problem hatte, habe ich bei Google diese Seite gefunden.

Nachdem ich in diesem Thread nur die erste Seite gelesen habe, habe ich das Problem gelöst bekommen.

Meine Verbindung funktioniert wieder einwandfrei.


Gruß

DieterB