sasser! datei netskyave.exe kann nicht gelöscht werden!!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von speedy-wn, 5. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. speedy-wn

    speedy-wn Byte

    Registriert seit:
    5. Mai 2004
    Beiträge:
    10
    hallo!

    ich hatte natürlich auch den sasser auf meinem rechner! jetzt hab ich ihn eigentlich wieder unten! das problem ist folgendes:
    in meinem system gibt es immer noch eine datei mit dem namen netskyave.exe !!! die datei ist bei jedem neustart da und lässt sich nicht löschen! weiß jemand einen rat? die datei führt immer zu einer cpu-auslastung von 100%. kein virenscanner zeigt mir mehr einen virus an und ich hab mittlerweile eigentlich auch die packs installiert die gegen sasser helfen sollen!

    bitte helft mir und sagt mir wie ich diese datei löschen kann!

    gruss
     
  2. speedy-wn

    speedy-wn Byte

    Registriert seit:
    5. Mai 2004
    Beiträge:
    10
  3. speedy-wn

    speedy-wn Byte

    Registriert seit:
    5. Mai 2004
    Beiträge:
    10
    sorry war gestern krank daher konnte ich mich hier nicht so beteiligen! es handelt sich laut norten um eine version von sasser c!!! die blöde datei konnte ich nun endlich nach dem 10 versuch löschen und sie scheint weg zu sein. kein virenprogramm zeigt mir noch einen virus oder so und auch mit adaware kommt keine meldung zu komischen dateien!

    jetzt kann ich wenigstens meine daten brennen und dann werde ich das wochenende nutzen und meinen rechner neu aufsetzen!

    man lernt ja nie aus!!! :-)))

    vielen dank an euch alle! waren echt gute tipps dabei!
     
  4. IljaBlu2

    IljaBlu2 Byte

    Registriert seit:
    7. April 2003
    Beiträge:
    16
    Habe das Problem gelöst! Es lag daran, dass das Tool woh lden DHCP-Client Dienst auf Manuell gestell hat. Nach einer Umstellung auf Automatisch, konnte er gestartet werden und alles funktioniert wieder! :D
     
  5. IljaBlu2

    IljaBlu2 Byte

    Registriert seit:
    7. April 2003
    Beiträge:
    16
  6. Univacs

    Univacs Kbyte

    Registriert seit:
    4. Juli 2002
    Beiträge:
    147
    Da scheint was dran zu sein, siehe bei Heise: Phatbot als blinder Passagier

    Neue Phatbot-Varianten verbreiten sich mit einem neuen Trick: Sie benutzen den Sasser-Wurm als Transportmittel, um neue Rechner zu infizieren
     
  7. Gast

    Gast Guest

    Mal abgesehen davon, dass deine Frage und dein Problem nichts mit dem Thread zu tun hat, in dem du es gepostet hast, hätte ich folgende Fragen:
    Mit welchem Parameter hast du das Script ausgeführt?
    Welche Datei wird als fehlend angemeckert? Etwa SC.EXE?
    Hast du die in der Checkliste als vom User manuell zu erledigenden Dinge bereits erledigt?
    Hast du den Abschnitt BEKANNTE PROBLEME gelesen?
     
  8. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    .
    XP neu aufsetzen und nicht das script verwenden .
     
  9. IljaBlu2

    IljaBlu2 Byte

    Registriert seit:
    7. April 2003
    Beiträge:
    16
    Hallo,

    Nach der neulichen Sasser Wurm Attacke, die von mir beseitigt wurde, habe ich das svc2kxp.cmd Tool installiert von der recht bekannten Seite: http://www.ntsvcfg.de/
    Ich habe schon immer ein kleines Netzwerk gehabt mit einer gemeinsamen Internetverbindung. Nun aber funktioniert sie nicht mehr, denn wenn man die Freigabe aktiviert nach...
    - Eigernschaften der DFÜ-Verbindung > Erweitert > Hacken bei Gemeinsame nutzung... > Lanverbindung gewählt (eine von 2 Netzwerkkarten) und dann OK.

    ...erscheint diese Fehlermeldung:

    "Gemeinsam genutzter Zugriff kann nicht aktiviert werden"
    Fehler 2: Das System kann die angegebene Datei nicht finden.

    Möglicherweise liegt es an irgendwelchen deaktivierten Diensten und ich habe schon machnce von deaktiviert/manuel auf automatsich umgestellt, doch hat dies nichts gebracht.
    Bitte helft mir, da ich wirklich nicht mehr weiß was man noch tun könnte! Vielen Dank im Voraus!
     
  10. Gast

    Gast Guest

  11. ManniBear

    ManniBear Megabyte

    Registriert seit:
    23. Februar 2002
    Beiträge:
    1.970
    Könnte sich auch um eine neue Netsky-Variante handeln. Wobei angeblich sogar ein Zusammenhang zwischen Netsky und Sasser vermutet wird:

    http://www.netzeitung.de/internet/viren/284830.html

    Ich würde die fragliche Datei auch mal an einen der Antivirenprogramm-Hersteller senden. Vielleicht können die dir was genaueres über die Datei sagen. Z.B. hier bei F-Prot:

    http://www.f-prot.com/virusinfo/submission_form.html

    Mfg Manni
     
  12. Gast

    Gast Guest

  13. Gast

    Gast Guest

    Eben drum.
     
  14. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Nicht so schnell aufgeben..! Sende erstmal den Schädling an Steele bevor du ihn vernichtest. Möglich dass da was NEUES mit Seltenheitswert unterwegs ist.

    Beschaffe dir mal von Sysinternals die Software "Autorun", die listet recht übersichtlich alle Autorun Einträge. Die Resultate in einer Textdatei speichern und hier posten. Unter View "Show all locations" aktivieren.

    http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

    Grüße
    Wolfgang
     
  15. PK --PCWELT--

    PK --PCWELT-- Redaktion

    Registriert seit:
    13. Juni 2000
    Beiträge:
    1.054
    Ich würds machen - natürlich nicht die Mails gleich danach öffnen, sondern warten, was bei dieser Variante (wenn es eine ist) herauskommt. Bei Sasser gehe ich mal davon aus, dass der Wurm nicht über eine Mail kam. Kann natürlich sein, dass gleich mehrere Würmer auf dem PC wüten.
     
  16. Gast

    Gast Guest

    Bisschen spät, sich JETZT Gedanken um Backups zu machen.
    Ein Backup sollte nur noch von Dateien gemacht werden, die NICHT ausführbar oder scriptfähig sind, also reine TXT-Dateien, Bilder, pdf- oder RTF-Dateien.
    EXE, COM, DOC, BAT, PIF, SCR, DLL, JS, VBS, SHS, CPL usw. sind tabu. Ebenso Mails, ZIP, RAR.

    Mich würde noch immer die fragliche Datei interessieren.
    Ich persönlich schätze, dass sich jemand den SASSER.D geschnappt und den Code geändert hat.

    Nachtrag:
    Ein Backup von Mails zum jetzigen Zeitpunkt wie von PK empfohlen, ist keine gute Idee.
    Die Schritte sind wie schon mal verlinkt, unter http://sasser.klaffke.de beschrieben und gelten auch in diesem Fall.
    Ausführlicher beschrieben sind sie hier:
    http://oschad.de/wiki/index.php/Kompromittierung
     
  17. PK --PCWELT--

    PK --PCWELT-- Redaktion

    Registriert seit:
    13. Juni 2000
    Beiträge:
    1.054
    Gehen Sie lieber auf Nummer sicher und machen Sie nur Backups von den wichtigsten Dokumenten/Linksammlung/Mails etc - da kann der Wurm nicht auf den Rohling gelangen. Wenn Sie die Festplatte komplett formatieren ist auch der Wurm platt.

    Gleich nach der Installation und vor der ersten Verbindung ins Internet die integrierte Firewall einschalten, dann kann Sasser erst gar nicht erneut auf ihren Rechner gelangen. Dann die ganzen Updates drauf.
     
  18. speedy-wn

    speedy-wn Byte

    Registriert seit:
    5. Mai 2004
    Beiträge:
    10
    ich glaub ich geb auf und mach den spass mit format!!! dann ist es wenigstens weg oder können noch rückstande bleiben?
    was mach ich mit meinen daten? brennen geht ja nicht oder da der wurm (wenn es einer ist) auch mitkommt oder?
     
  19. PK --PCWELT--

    PK --PCWELT-- Redaktion

    Registriert seit:
    13. Juni 2000
    Beiträge:
    1.054
    Jepp - sasser.d kann es nicht sein. Ich versuche auch grade rauszufinden, ob vielleicht eine neue Variante unterwegs ist. Eine Neuinstallation wäre durchaus empfehlenswert...
     
  20. Gast

    Gast Guest

    Das Löschen dort wird nichts nützen. Offenbar ist es nicht SASSER.D. Das bedeutet, dass man mit weiteren Kopien und Startoptionen sowie anderen Schadfunktionen rechnen muss. Der Rechner ist kompromittiert und sollte neu aufgesetzt und laut www.ntsvcfg.de abgesichert werden.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen