lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

Thema ist geschlossen!
Thema ist geschlossen!
#0
01.05.2004, 16:10
Member
Avatar Dafra

Beiträge: 1122
#1 Achtung! lsass.exe / avserve.exe Problem -> Virus: W32/Sasser.a

Problem:
viele user beklagen sich ->
- das ihr Pc herunter fährt, sobald sie ins Internet gehen
- das die lsass.exe bzw. Isass.exe abgestürzt ist

Grund / Lösung
Der Grund dafür ist, dass der Virus / Wurm Sasser sich über eine Sicherheitslücke im Betriebsystem Windows verbreitet. Der Wurm kann mit folgendem Removal Tool entfernt werden.

Um die Sicherheitslücke zu stopfen, ist es nötig den neusten Patch von Microsoft zu installieren:

Windows 2000 Patch
Windows XP Patch

generell empfehlenswert: (Windowsupdate)

Wenn oder bevor man den Patch einspielen kann ein Fenster kommt, wie:



dann bitte die Eingabeaufforderung öffnen: (Start -> Ausführen )
und dort im Eingabefenster: shutdown -a eingeben! (deaktiviert das herunterfahren)

Den Wurm Sasser wird von eigentlich jedem gängigen Antivirenprogramm erkannt und kann einfach entfernt werden. Wer kein Anti -Vir hat, kann sich hier ein relativ gutes kostenlos runter laden. Hier gehts zum AV - ansonsten bitte neue Signaturen downloaden.

- Symantec Sasser Removal Tool oder
- zur manuellen Virus Entfernung

Man sollte auch, wenn man keine Firewall hat die Windows integrierte Firewall aktivieren: http://www.microsoft.com/germany/ms/security/windowsxp.mspx

mehr Infos:
Wurm Sasser dringt über Windows-Sicherheitslücke ein
Microsoft Infos zum Sasser Wurm
Sasser.klaffke.de Virus manuell entfernen
Symantec Tutorital W32.Sasser.Worm
McAfee Tutorital W32/Sasser.worm
Trendmicro Sasser Entfernung
Microsoft Security Bulletin MS04-011
Sasser Virus Info (heise.de)
Sasser Programmierer gefasst

MFG
DAFRA
Dieser Beitrag wurde am 08.05.2004 um 13:36 Uhr von Dafra editiert.
Seitenanfang Seitenende
01.05.2004, 16:44
...neu hier

Beiträge: 1
Seitenanfang Seitenende
01.05.2004, 20:24
...neu hier

Beiträge: 3
#3 Hallo,

ich habe genau das gleiche Problem. Aber leider funktioniert bei mir das nicht mit shutdown -a
da kommt dann immer der Hinweis, dass das Programm shutdown nicht gefunden werden konnte, daher habe ich jetzt ,wenn das lsass Fenster kommt die Systemuhr um ein paar Stunden zurück gestellt, dann dauert es noch etwas, bis der PC wieder heruntergefahren wird.

Mein eigentliches Problem ist aber, und das finde ich irgendwie seltsam, dass alle Virenscanner den Virus einfach nicht finden! Ich habe die neuste Version vom 1.5. von Anti Vir heruntergeladen und habe auch diverse andere Scanner benutzt, keins findet den Virus bei mir!
Und auch die manuelle Entfernung funktioniert nicht, da sich 1. kein win.log in C: befindet, 2. kein avserve.exe und in der registry steht auch nix davon!
Aber das lsass Fenster erscheint trotzdem ständig!
Ich habe Win2000 und das neuste Win Patch jetzt auch installiert. Trotzdem erscheint weiterhin das lsass Fenster obwohl ich angeblich kein Virus drauf habe!
Dieser Beitrag wurde am 01.05.2004 um 20:25 Uhr von conmad editiert.
Seitenanfang Seitenende
01.05.2004, 21:26
...neu hier

Beiträge: 1
#4 mir geht es genauso... ;)
Seitenanfang Seitenende
01.05.2004, 21:39
...neu hier

Beiträge: 2
#5 Hallo!

Mir gehts ähnlich wie meinen Vorgängern!

Hab nun auch mit Norton und Antvir meine Platte gescannt und hab auch keinen Virus drauf, jedoch wird mein Pc dennoch runtergefahren mit der oben gezeigten Meldung!
(c:\windows\system32\lsass.exe verursacht den Fehler)

Wollte nun ein Windows update machen nur da kommt die Fehlernachricht auf der MS Homepage
Windows Update hat einen Fehler festgestellt. Möglicherweise liegt ein Problem mit der Zeiteinstellung Ihres Computers vor.
und desshalb kann ich auch kein update draufspielen!

Hab dann mal in der regedit nachgeschaut und da hab ich auch eine avserve2.exe gefunden und auch unter c:\ wurde eine textdatei mit Namen win2 erstellt die eine IP adresse beinhaltet, es deutet also alles auf den Virus hin, kann mir wer helfen?

DAnke Sebastian
Seitenanfang Seitenende
02.05.2004, 02:16
...neu hier

Beiträge: 8
#6 Wie lösche ich diese Dateien?

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG

Wo muß ich das eingeben? Bei Suchen oder bei Ausführen?
Seitenanfang Seitenende
02.05.2004, 05:26
Member

Beiträge: 20
Seitenanfang Seitenende
02.05.2004, 09:51
...neu hier

Beiträge: 1
#8 Hallo....

Ich bin glaube ich ein ganz schlechtes Bediener...

Ich habe seit gesten abend mehrere male meinen Rechner neu gemacht und bekommen trotz toller Programme gegen vieren imemmer wieder diese lsass Schei... und bin langsam am platzen.

Was kann ich tun, das mir dieses Schei... von rechner nicht immer Ausgeschaltet wird???????????
Seitenanfang Seitenende
02.05.2004, 09:55
Moderator

Beiträge: 7795
#9 Lese dir diesen Thread gut gut durch und den Artikel von mmk hast du ja auch bestimmt gelesen? ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.05.2004, 12:26
...neu hier

Beiträge: 1
#10 Das Symantec Tool findet leider nichts. Woran könnte das denn liegen?

(Manuell entfernen bekomm' ich nicht hin) ;)
Seitenanfang Seitenende
02.05.2004, 12:31
...neu hier

Beiträge: 1
#11 hier meine Lösung:

Nachdem der rechner wieder neu hochgefahren ist, nicht ins internet gehen sondern sofort mit den task-manager aufrufen und unter Prozesse die datei aveserve.exe beenden.
danach über start und ausführen "msconfig" eingeben und enter drücken.

Die karteikarte systemstart auswählen und das häkchen bei aveserve.exe wegmachen.
Neu starten...
Danach unter auf c:\windows gehen und datei aveserve löschen.

FERTIG.
danach alle updates installieren und scanner rüberlaufen lassen.

---bei mir hats geklappt, hoffe bei euch auch.----
Seitenanfang Seitenende
02.05.2004, 12:34
Member
Themenstarter
Avatar Dafra

Beiträge: 1122
#12 Ej nochmal, ihr müsst den Virus nicht haben, damit euer System abstürtzt. Das System stürzt ab, wenn er sich verbreiten zu versucht.
MFG
DAFRA
Seitenanfang Seitenende
02.05.2004, 15:44
...neu hier

Beiträge: 1
#13 Hallo,

auch mich hat es erwischt.

Nachdem ich nun durch Eingabe von "shutdown -a" und des Aufspielens des Patches wieder alles im Lot habe, geht leider die Sanduhr nicht mehr weg. Aber trotzdem laufen alle Funktionen.

Kann mir vielleicht jemand mal einen Tip geben, wie ich die Sanduhr wieder in den normalen Modus bekomme.

Vielen Dank im voraus.

Beste Grüße

der Checker
Seitenanfang Seitenende
02.05.2004, 15:46
...neu hier

Beiträge: 3
#14 Ich hatte den Trojaner auch gerade. Ist jetzt weg. Als das Fenster zum ersten mal kam, dachte ich es wäre der MS Blast!
Seitenanfang Seitenende
02.05.2004, 17:13
Member

Beiträge: 17
#15 Mein PC ist auch, trotz Kerio Personal Firewall, von diesem Wurm befallen. w32.blaster ist es nicht, wie ich durch das Symantec w32.blaster Worm Fix Tool herausgefunden habe.

Allerdings werde ich den Sasser wurm nicht los, denn Antivir (neueste Upgrades geladen) findet nichts! Auch die genannten Dateien (win.log, avserve.exe, _up.exe) sind nicht auf meinem PC. Es kann aber doch nur der blaster oder sasser sein?! Meine Firewall meldet mir auch immer, dass LSA Shell (Export Version) ins Internet will (woraufhin ich blockiere).
Dieser Beitrag wurde am 02.05.2004 um 17:18 Uhr von bumbklaatt editiert.
Seitenanfang Seitenende