Sasser-Wurm: System-Neustarts ala Blaster-Attacke

Jo, wenn der PC eh grad neu aufgesetzt war, dann geb ich dir jetzt folgenden rat:

Zieh dir alle Updates von M$ und die neuesten Signaturen von deinem Antiviren-Prog.

Brenne den ganzen Scheiß auf CD.

Schieß dein "Brandneues" System mit Format C: ab und:

Installiere es neu.

Spiele alle Patches auf, installiere deine Antivirensoft, aktiviere die Firewall.

Erst dann hast du ein "Sauberes" System, aber auch nicht zu 100%....

 

Kopfschüttel!

Warum hast du 5 Stunden damit verbracht, den Sasser wieder loszuwerden anstatt deinen funkelnagelneuen PC neu aufzusetzen?

Das wäre in einem Bruchteil der Zeit erledigt gewesen und du hättest die Gewissheit, an einem wirklich sauberen System zu sitzen (diese Gewissheit hast du jetzt trotz 5 Stunden Arbeit nicht).

 

tja harmlos............ symatec sagt 4 von 5 Gerfährlichkeitsstufen....

 

Hallo lib,

kleiner Tip, verwende statt AntiVir lieber AVAST! (deckt auch diverse andere Schwachstellen wie Messanger/FileSharing... ab).

Und nicht zu vergessen eine Firewall (ZoneAlarm oder ähnliches).

René

PS: oder auf Linux umsteigen (*sagt einer der selbst noch Windoof verwendet)

 

Hallo Lib,

der perfekte Virenjäger bist du noch nicht, bei 5 Stunden und dem doch recht harmlosen SASSER, aber das wird noch. Übung macht den Meist.

Grüße
Wolfgang

 

1) deine FW ist offenbar Mist. Die hätte eigentlich verhindern sollen, dass du den Sasser kriegst.

2) Als Admin kannst du dir Zugriff auf SysVolInf verschaffen.

 

Hallo Leute,
bei mir lässt sich der wurm nicht entfernen weil er laut Antivierenprog im Ordner "System Volume Information" eingenistet ist (SasserB). Auf diesen Ordner hat leider kein Programm und ich selbst natürlich auch keinen Zugriff, da er NTFS-Informationen über die jeweilige Festplatte verwaltet. Deshalb bekomme ich regelmässig aller ca, 20 minuten einen Hinweis meines AV-Programmes.
Zum Glück arbeitet meine FW korrekt und meine System fährt nicht mehr ständig nach 3 Minuten runter.

Gruss F S

 

Okok, wenn sich schon jemand so über meinen post freut, dann will ich ihn auch nicht enttäuschen *g*.

1) ein Image ist ein GENAUES Abbild einer gesamten Festplatte bzw. Partition (allgemein: ein Laufwerksbuchstabe, eine Partition, mal salop formuliert), hargenau Byte für Byte (so werden z.B. auch Fehler auf der Festplatte genau mitkopiert). Eine Sicherungskopie ist das "zusammenpacken" ausgewählter Daten in eine einzige Datei.
Um zum Beispiel dein gesamtes System zu sichern brauchst du ein genaues Image, da das einfache Kopieren der Dateien (was eine normale Datensicherung normalerweise ist, nur dass es halt in einer Datei landet) meist scheitert (da Windows zum Beispiel den Zugriff auf grade verwendete Systemdateien, so wie auch die Auslagerungsdatei verhindert).

2a) Ich persönlich benutze Partition Magic von Powerquest, das gab es auch mal in einer PC Welt als Vollversion (in der zwar alten, aber gut funktionierenden 4er Version, aktuell ist 8), vielleicht findet man das noch irgendwo als download. Norton Ghost wurde mir auch schon viel gutes von berichtet, ist meines erachtens letztendlich Geschmackssache.

b) *grübel* doch, dürfte es auch schon bei 98 gegeben haben ... wenn es installiert ist. Wenn nicht: Start -> Einstellungen -> Systemsteuerung -> Software -> Windows-Setup -> Systemprogramme -> Backup [leichte Abweichung sind möglich].
Wenn installiert, findet man es unter Start -> Programme -> Zubehör -> Systemprogramme -> Sicherung (win2k, kann unter 98 anders heißen)
Dort lassen sich dann die zu sichernden Daten markieren, indem man einen Haken vor den jeweiligen Ordner setzt. Anschließend gibt man noch einen Ort an, wo das "Sicherungsarchiv" gespeichert werden soll. Dies sollte gar eine andere Festplatte sein (weil Sicherungen macht man für den schlimmsten Fall, nämlich dass die Festplatte mal kaputt ist). Wenn man nur eine hat, speichert man sie halt dort, sollte sie aber anschließend auf CD brennen (aus dem genannten Grund).
Bei dem erstellen eines Images ist eine zweite Partition notwendig (zumindest bei Partition Magic 4 unter DOS -> also per Startdiskette und dann starten, glaube, diese Start- und Programmdiskette kann man von dem Programm erstellen lassen, bei den aktuellen Imaging-Programmen geht das oft auch auf die gleiche Partition (wenn ich mich nicht irre)).

c) eine zweite Partition sollte erstellt sein, bevor man sein System installiert, dies geht unter DOS mit dem Befehl fdisk. Aber man sollte vorsicht walten lassen: Ohne wirklich Ahnung von der Sache zu haben, sollten man die Finger davon lassen. Ansonsten läßt sich die Aufteilung der Festplatte in Partitionen noch nachträglich mit Programmen wie Power Quest Partition Magic ändern. Aber auch hier gilt: nicht ahnungslos rumklicken.

Mein Tipp an dich, ttennis: such dir in deinem Bekanntenkreis jemanden, der von der ganzen Sache etwas mehr Ahnung hat. Ich hab hier alles recht oberflächlich beschrieben, und viele Details weggelassen, dazu kommen noch unvorhergesehene Probleme, die auftreten können.
Leider ist es (meiner Ansicht nach) immernoch alles viel zu kompliziert und riskant für Otto-Normal-User. Von daher ist der Spruch "Leute, macht Images" einfacher gesagt als getan. okok, sowas kann gut gehen, und ich will es auch nicht negativ sehen, aber die IT-Branche ist halt eine etwas verzwickte und manchmal auch komplizierte ....

 

Fazit:

KEINEN STROM DEN WÜRMERN!!!

Dreht den Würmern den Strom ab!!!

Muhar....

P.S.: SORRY

chrisxs <--- Spam, ich weiß.......

Sorry...

 

Danke, AlFayed!
Passiert ja leider nicht oft, dass einem mehrere Fragen tatsächlich beantwortet werden! Die meisten werfen sich ja gleich auf EINe davon, und die anderen sind ihnen völlig egal.
Und, nein, Deine Mühe hat sich gelohnt. Keiner ist Dir zuvorgekommen, nur weil Du etwas mehr geschrieben hast!:-)!

zu 1. noch: Dann ist ein Image also auch das Gleiche wie eine Sicherungskopie, oder!?
Nur halt nicht von einer oder einigen Dateien, sondern vom gesamten PC-Software-Inhalt, inkl. Betriebssystem!?
zu 2.: a) Welches Programm dafür am besten ist - und ob als evtl. sogar als Freeware erhältlich -, muss ich dann wohl mal auf den verschiedenen Download-Seiten nachschauen, gell!?
Wobei mir die eigenen Dateien ja klar das Wichtigste sind.
b) Und zu deren Sicherung ist bei Windows - auch 98? - ein BackupProg eingebaut? Wo ist/Wie heißt das denn?
Oder muss man es sich bei Windows downloaden?
Man schiebt damit "regelmäßig die vorher festgelegten Daten auf eine andere Partition"?
c) Und wenn man gar keine 2 oder mehr Partitionen hat? Sollte man sich die auf jeden Fall einrichten?
d) Wie?

Thanks again!

 

Hallo AlFayed,

Ja genauso, wir haben in der Firma einen Rechner bei dem das ungefähr einmal im Vierteljahr vorkommt.

 

Dynamischer Speicher braucht regelmäßigen Refresh im Abstand von 6 - 20 mS, ansonsten verliert er seine Information. Ist der Strom für kurze Zeit weg, ist auch der Speicherinhalt unbrauchbar.

Beim Wiederhochfahren des Rechners (Warmstart) wird der Speicher vom Bios im Schnelltest überprüft, dabei wird in der Regel EIN Bitmuster ins Ram geschrieben und danach der Wert 0. Damit ist die vorherige Information im Ram absolut sicher gelöscht.
Insofern ist die Aussage von goto2 (wie so einige seiner Geistesblitze) ziemlich daneben.

 

Klar, dass Kondesatoren eine Zeit lang noch Energie speichert, aber dies hat nichts mit dem RAM zu tun.
Netzwerkkarte - halte ich für mehr einen verzweifelten Tipp eines Technikers, der keine andere Lösung mehr wusste *g*, aber mag für das Problem ja auch geholfen haben. Aber kein Virus legt sich in irgendeinen Speicher einer Netzwerkkarte !!

Was meinst du damit ?! Bezogen jetzt auf ein Netzwerkproblem also soll es helfen ? Hm, ok, lass ich mal so stehen, aber zurück zum aktuellen Thema.
Das ein Virus im RAM bleibt halt ich immernoch für ausgeschlossen. Das sowas mal unter DOS vor 15 Jahren passiert ist, kann ich mir noch vorstellen, weil damals war das noch SRAM, welcher tatsächlich die im RAM befindlichen Daten einige Sekunden gehalten hat (aufgrund dessen, dass der Speicher damals total anders aufgebaut war als heute).

 

@AlFayed

Das gabs es mal beim Oracle-Support, weil ein SQL-Net-Treiber in Novell-Netzen mit IPX so rumgesponnen hat und nur durch das Entladen der Netzkarte auf diese Weise wieder neu gestartet werden konnte.

 

Hallo,
die Technik mit dem Rechner vom Netz nehmen (Stecker oder Schalter am Netzteil) kann was helfen wenn das System z.B. Netzverbindungen verliert oder das Netz nach einem "Neustart" nicht wieder gefunden wird.

Da nicht alle Bauteile (Kondensatoren) wie z.B. auf der Netzkarte sicht sofort entladen, wenn die Kiste nur "vorne" mal kurz abgeschaltet wird.

Die Info, dass noch Reste im RAM verbleiben können ist insofern korrekt, dass es das Problem vor etlichen Jahren unter DOS gab, wenn man einen Warmstart ausführte.

 

Ich will ja wirklich nicht unhöflich erscheinen, aber das Käse.
Der Speicher behält keine Daten, sobald Strom weg, ist weg. Ansonsten bräuchte man den Rechner ja nicht hoch- und runterfahren, wenn die Daten im RAM blieben.
Die Swap-File liegt auf der Festplatte, und um dort einen Virus, der sich "einnistet" loszuwerden, hilft nur das bereinigen durch entsprechende Progs oder das automatische Löschen der Datei beim Rechner runterfahren.
Aber Strom ausmachen ... hab ich noch nie von gehört (und ich befasse mich schon "ein wenig" länger mit PCs und dergleichen). Vielleicht bin ich ja auch jetzt zu unaufgeschlossen, etwas neues zu lernen, aber das glaube ich erst, wenn du mir eine glaubwürdige Quelle nennen kannst, wo das nachzulesen ist

 

Das ist eine "Allgemeine Vorgehensweise",
wenn man hinterher die HDD z.b. platt macht,
und wieder neu formatiert
oder ganz alles überschreibt mit einem Backup Inmage.

Der ein oder andere Virus z.b. nistet sich im Speicher, swp.file und wo auch immer ein,
das ist vom Typ her immer etwas verschieden !

 

LOOOOOOOOOOOOL !!!!
Die Idee des vom Strom nehmen, damit der Wurm ausm Speicher wirklich gelöscht wird, is genial *totrofl*.

Um mal kurz die Fragen zu beantworten:
1) Ist es, ein Image ist ein Abbild sämtlicher Daten auf einer Festplatte / einer Partition, was in einer oder mehreren Dateien gespeichert wird.
2) Dafür sind spezielle Programme, wie Norton Ghost oder Power Quest Drive Image notwendig.
3) Ist nicht verkehrt, kann man täglich machen wenn man paranoid ist. Ansonsten wäre "alle paar Wochen" nicht schlecht, so hat man nur die Programme nachzuinstallieren, die seit dem dazugekommen sind. Das erstellen eines Images dauert je nach Umfang der Daten zwischen 10 min und einer Stunde (mal so grobe Daumenpeilung), wenn man ALLES sichert. Was man genau sichern sollte ... dazu gibt es doch sicher einen PCWelt-Bericht, oder @Redaktion ??

Eigene Dateien wie Briefe, Bilder usw sollten regelmäßig gesichert werden, dazu reicht schon Das BackupProg von Windows, womit man regelmäßig die vorher festgelegten Daten auf eine andere Partition schiebt oder alternativ die Daten regelmäßig brennt.

4) Totaler Schwachsinn
5) Wenn Rechner aus, dann aus. DRAM verliert seine Daten schon nach wenigen Milisekunden. Die Rede ist vom Arbeitsspeicher. Speicher kann sich daher dort nicht einnisten.
Allerdings ist man den Virus nur deswegen nicht los. Er ist immernoch auf der Festplatte abgelegt und wird (wenn man nichts tut) beim nächsten Start wieder aktiv. Daher
1) AntiViren-Programm auf den neusten Stand bringen
2) Die exe-Datei wie beschrieben löschen
3) Den Patch runterladen und installieren, um eine erneute Infizierung zu verhindern
Genaue Anleitung dazu findest du ja in dem Thread, ansonsten ist www.symantec.de immer eine gute Anlaufstelle

So ... hoffe, dass deine Fragen in der Zwischenzeit wo ich das hier schreibe nicht schon beantwortet sind

Nachtrag: Ein Image braucht auch viel Speicherplatz - nämlich mindestens die Hälfte der Menge, die zu sichern ist. Dafür hat ev. nicht jeder User Platz. Abgesehen davon - unter umständen hat man den Virus (wenn er vorher nicht aufgefallen ist) ebenfalls im Image mitgesichert, dann nützt alles nichts, es sei denn, man sichert mehrere Images, anstatt eines immer zu überschreiben. Das wiederum kostet Speicherplatz oder CDs/DVDs ....

 

Hmm..., mal von einem nwavzEwfDAU die allgemeinen Fragen:

1. Was ist ein Image des funktionierenden Systems?
(O.k., quasi eine Kopie des jetzigen Zustands, aber in welcher Form? Es kann doch nicht eine tatsächliche Kopie aller Programme und Daten etc. sein!?)
2. Wie erstellt man so ein Image?
("Restore z.b. mit Drive Image" = ?)
3. Sollte man das sowieso regelmäßig machen?
(alle paar Tage / Wochen / Monate?)

4. Was ist das mit dem Strom?
Man muss das "Netzteil ausschalten" - oder wohl den Stecker ziehen!? - und dann wieder anschalten?!
Stecker wieder rein, dürftest Du wohl einfach mal weggelassen haben, oder!?
5. Wieso und ab wieviel Sekunden Trennung vom Netz
a) wird dadurch "die Spannung ganz schnell entleert",
b) welcher Speicher ist dann leer,
c) wie können "Teile von Viren sich dort einniste"n, und
d) wären sie dann gekillt, weil eben der Speicher geleert wäre?

1000 Dank!

 

Die entsprechenden Patches gibt es seit dem 12. April, Punkt