lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » LösungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
05.05.2004, 11:07
...neu hier
Beiträge: 1 |
||
|
||
05.05.2004, 11:44
Member
Beiträge: 22 |
#47
@Continental ..... Hast du Vorher ein Windows Sicherheitsupdate ausgeführt, denn ohne den funktioniert keines der Removal tools.
zum sicherheitsupdate : http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm Gruss Odin |
|
|
||
05.05.2004, 15:43
...neu hier
Beiträge: 2 |
#48
Unter windows 2000 Start Ausführen shutdown -a eingeben um das herunterfahren des system zu verhindern.
Danach würde ich nach Dateien suchen die ca 16KB gross sind, vorallem in System32 Ordner. MFG Guggler |
|
|
||
05.05.2004, 16:00
Member
Themenstarter Beiträge: 1122 |
#49
Nein, dass ist falsch, es muss heißen:
Start --> Ausführen --> shutdown -a Dann die Patches aufspielen und das wars. MFG DAFRA |
|
|
||
05.05.2004, 16:59
...neu hier
Beiträge: 4 |
#50
@ odin
merci für den tipp. Agobot hieß das vieh...genau. Werd jetzt mal den thread bei helpers verfolgen und hoffen das es hilft. Gruß aus der Versumpfung |
|
|
||
05.05.2004, 17:13
Member
Beiträge: 1095 |
#51
Noch ein kleiner Tip aus diesem Link
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm So kann vermieden werden das sich der Wurm auf dem eigenen Rechner festsetzt. Den Trick mit dem "dcpromo.log" find ich wirklich klasse Zitat Problemumgehungen für die LSASS-Sicherheitsanfälligkeit – CAN-2003-0533 __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 05.05.2004 um 17:14 Uhr von paff editiert.
|
|
|
||
05.05.2004, 17:25
...neu hier
Beiträge: 6 |
#52
Tach,
ich hab auch mal wieder nicht NEIN sagen können und den Sasser mit allen Extras bekommen. Nun hab ich ihn wohl FAST los, System läuft wieder, aber ich kann nur ins I-Net wenn ich vorher den Weg Norton Personal Firewall - Konfigurieren - Programme - avserve.exe blockieren gehe. Obwohl blockieren schon vorher eingestellt ist kann ich keine Seiten aufrufen. Merkwürdig. Ich finde sonst keine avserve.exe mehr auf dem PC nur das ist noch da :-) Kann mir einer von euch helfen, wie ich das auch noch los bekomme? Gruß aus Old Berlin |
|
|
||
05.05.2004, 19:28
...neu hier
Beiträge: 4 |
#53
such mal nach skynetave -- das ist die d variante - die nistet sich gerne in den norton registry einträgen ein
|
|
|
||
06.05.2004, 07:08
...neu hier
Beiträge: 2 |
#54
Hallo
Ich habe den Patch aufgespielt. Der Computer funktioniert wieder. Nur läuft jetzt ständig mit dem Mauszeiger die Eieruhr. Wie ist das möglich? Im Maus-menue ist alles richtig eingestellt. Kann mir jemand helfen? |
|
|
||
06.05.2004, 08:09
Member
Beiträge: 22 |
#55
#@ herswern... der patch alleine wird nur die anfälligkeit des pc´s verhindern... aber der wurm ist noch da... die eieruhr zeigt dir an das dein PCauf hochtouren läuft.. daher solltest du nun den wurm removen(entfernen).
Gruss Odin |
|
|
||
06.05.2004, 18:34
...neu hier
Beiträge: 6 |
#56
Hallo zusammen,
ich wollte mich an dieser Stelle für all die guten Tipps und Links zum killen von Sasser bedanken :-)) . Mein Rechner war derart verstopft, dass ich nicht mehr ins Internet konnte um mir Downloads zum reparieren zu holen. Mein Ausweg war, mir auf einem sauberen Rechner in der Firma alle erforderlichen Tools wie Stinger.exe, hijackthis 1.97, die Microsoft-Updates für XP und IE, ein AntiVir-Update, Spybot S&D 1.3 etc. und noch einige Anleitungen downzuloaden und dann auf CD-ROM zu brennen. Mit all diesen Werkzeugen habe ich den gestrigen Abend verbracht um meinen Rechner zu säubern. 23x fand ich Sasser.A unter jedesmal neuem Zufallsnamen in verschiedenen Verzeichnissen! Nachdem weder die Virenscanner auf CD bzw. Festplatte noch die Suchfunktion des Win-Explorer mehr irgendein Indiz für einen Virus fanden, stellt Spybot S&D noch einen Hijacker fest! Dummerweise habe ich den Namen nicht aufgeschrieben sondern den einfach gelöscht. Mein Rat: Checkt eure Systeme nochmals mit Spybot Search & Destroy 1.3! Die Deinstallation verlief nicht ganz ohne Probleme, so haben die Bildschirmeinstellungen im abgesicherten Modus nicht gepasst und ich kam nicht mehr auf den Start-Button. Nach einigem Nachdenken habe ich dann das Bild auf dem Monitor mit der Monitor-Einstellung soweit verschieben können, bis ich den Button wieder anklicken konnte. (Short-cuts müsste man beherrschen!) Jetzt läuft mein PC wieder, deshalb nochmals mein herzlicher Dank an Alle! Schöne Grüße und bis zum nächsten Virus/Worm. Microsoft wird es schon möglich machen. PZBBK1 |
|
|
||
07.05.2004, 18:04
...neu hier
Beiträge: 1 |
#57
Heul heul......... nun schlage ich mich schon 1 woche mit allen möglichen viren rum , (fast) kein ergebniss!
MEIN PROBLEM : 1.- hatte schon am 03.mai sasser auf meinem comp. , gemerkt hatte ich es erst als mein internet nichtmehr ging . Stand die typische fehlermeldung dort . 2.- am nächsten tag ging plötzlich das internet wieder -> hollte mir alles (windows update, stinger,bit defender....... ) 3.-durchjagen von stinger mit ERFOLG 74 DATEIEN DIE INFIZIERT waren hat er gefunden u. (gelöscht) 4.-Am nächsten tag ging das internet wieder nicht genauso wie jetzt. Hole mir von einem anderen comp. sehr viele programme finden bis auf anti vir nichts`mehrere dateien sind infiziert . infizierte Dateien werden nicht gelöscht ` (oder so ähnlich) 5.- im task manager befindet sich 1x Isass.exe 4-5x svchost.exe 1x avserve 6.- als ich svchost beendet habe hat sich mein comp. nach den berühmten 60 sek. wegen dem RPC runtergefahren Dies konnte ich im tiefsten Win. Dschungel aber ausschalten über Ausführen->system.sys \s (oder so ähnlich) 7.- WAS IST MIT MEINEM COMPUTER LOS ??????? ICH WÜRDE MICH RIIIIIEEEEEESSSSSIIGG FREUEN , WENN MIR JEMAND HELFEN WÜRDE !!!!! _________________________ tut mir leid wegen den massig rechtschreibfehlern! |
|
|
||
07.05.2004, 18:10
Member
Themenstarter Beiträge: 1122 |
#58
1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich ) 3,)Scanne deinen Rechner. 4.)Freuen. MFG DAFRA P.s. Wenn er dann immer noch da ist, poste mal ein Hijackthis Log. Unten stehts wies geht. |
|
|
||
07.05.2004, 18:18
...neu hier
Beiträge: 1 |
#59
Bisher bin ich bei all meinen Kunden den sasser mit dem einen oder anderen Tool, z. T. über Start-CD, abgesicherten Modus, etc. immer wieder losgeworden. Waren alles DSL-Nutzer.
Heute nun der erste mit ISDN, sasser erntfernt, Einwahl bei T-online problemlos, wird auch nicht mehr heruntergefahren. Aber der traffic ist extrem langsam. emails werden nach ewigen Zeiten noch geladen, über http kommen keine Daten mehr. T-online-software, capi, alles neu installiert, kein Erfolg. Hat jemand ähnliche Erfahrungen gemacht, dass analoge oder ISDN-Systeme nach Virenentfernung beschädigt sind, DSL jedoch keinen dauerhaften Schaden nimmt?. Dann kann man nämlich gleich auf Neuinstallation von XP gehen. gruss richtertheo |
|
|
||
08.05.2004, 13:34
...neu hier
Beiträge: 1 |
#60
Hallo ihr lieben,
nachdem ich seit gestern das selbe Problem hatte, habe ich bei Google diese Seite gefunden. Nachdem ich in diesem Thread nur die erste Seite gelesen habe, habe ich das Problem gelöst bekommen. Meine Verbindung funktioniert wieder einwandfrei. Gruß DieterB |
|
|
||
wir haben den Wurm wohl seit gestern auf der Hälfte unserer 6 Büro-PCs, allen, die mit Windows2000 laufen (die 3 "antiken" NT-User haben "Glück"...)
Als Systemadmin bin ich allerdings zurzeit echt ratlos: Habe sämtliche hier genannten Removal-Tools ausprobiert, alle sagen, es wäre kein Virus gefunden worden. Manuelles Suchen nach den genannten Dateien (avserve.exe usw.) und Registry-Einträgen blieb ebenfalls ergebnislos. Trotzdem schmieren hier seit gestern schön regelmäßig die 3 Windows2000-PCs mit Statuscode 128 in Systemprozess lsass.exe ab. HILFE!!!