Sasser-Wurm: System-Neustarts ala Blaster-Attacke

das hilft nur zum teil,
man muss den infizierten PC bevor
Restore z.b. mit Drive Inmage macht
erst ein mal ganz ausschalten "und auch vom Netz trennen, also Netzteil ausschlaten, dann die On Power Taste drücken, damit sich die Spannung ganz schnell entleert",
damit der Speicher leer ist und nicht Teile
von Viren sich dort einnistet haben, dann wieder normal den
Rechner einschalten !

 

mußte mal kucken unter msconfig.exe was da alles im
autostart drin steht, vieleicht ja dieser komische Scrippt?
oder sachen die da nicht reingehöhren,
dann in der Reg.Dat kucken was da so los ist.

 

@Balooty
du musst erst den laufenden prozess des wurms beenden mit STRG-ALT-ENTF im taskmanager , dann ist das programm auf der festplatte löschbar.
und nicht vergessen den autostart-eintrag zu löschen.

 

Wenn die Exe da wäre, hätte die Antiviren-Software (die ja hoffentlich aktualisiert worden ist) ja bei dem Leser den Wurm finden müssen. Meine Vermutung war, dass der Wurm gar nicht auf dem System ist. Aber unbedingt manuell nochmal nachschauen!

 

wie wärs wenn ihr einfach die exe in eurem windowsordner sucht und löscht?


bei mir gings so 1A und danach gleich den Patch von MS drauf.


no prob...

 

Hallo,

ich weiß jetzt nicht ob das auch für ihren aktuellen Fall gilt, aber mein Testrechner wurde durch die LSASS-Lücke nur abgeschossen. Der Wurm gelangte nicht auf den Rechner.

Werden die Neustarts bei Ihnen eingeleitet, nur wenn Sie online sind? Dann schalten Sie XP-Firewall ein, bevor Sie eine Verbindung zum Internet herstellen.

Danach sollten Sie eigentlich wieder surfen und an das Update gelangen können. Den Microsoft-Patch finden Sie direkt auf dieser Seite: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Solange die Lücke nicht geschlossen ist (bzw. die Firewall abgeschaltet), werden Sie den LSASS-Abschuss auch nicht los.

Abschließend sollten Sie nochmal kontrollieren, ob der Wurm wirklich nicht auf dem Rechner ist. Symantec hat, wie bereits gepostet, eine ausführliche Anleitung für die manuelle Entfernung des Wurms veröffentlicht.

 

Hi,
oder du gehst auf diese seite,http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.sasser.worm.html.
Da wird dir auch geholfen.

Mfg Der Elton

 

Mit einem Image kann dir sowas nicht passieren.

Leute, macht euch von euerem funktionierendem System ein Image und Ruhe iss.

Norton Ghost, Drive Image,. True Image.

 

Hallo,

siehe mein Thread im Viren- und Trojaner-Board.

http://forum.pcwelt.de/showthread.php?s=&threadid=124257

Hier bekommst du auch alle erdenklichen Informationen zu deinem Problem.

Grüße
Wolfgang

 

nicht ganz. von www.winfuture.de
Übrigends eines der informativsten Seiten im Internet und jeden Tag einen Besuch wert...

Sie wollten es wissen Sagen Sie mir nachher nicht, es besucht keiner mehr die PCWelt HP

Gruesse
BB

 

Wo haben Sie die Info her? Von der letzten Seite unserer News? =))

 

Jo, das ist auch nett!

 

ich wüste nicht, was an diesem thread überhaupt sinnvoll ist, er sollte gelöscht werden.

mfg.

p.s. ich liebe hübsche zitate

Wir lieben Menschen, die frisch heraus sagen, was sie
denken. Vorausgesetzt, sie denken dasselbe wie wir.

Mark Twain

 

Was denn?
(Aber zitiere bitte ausnahmsweise mal richtig!)

@ Oberpaul

Hübsches Zitat, nur hast du nichts sinnvolles gesagt.

 

Freiheit ist vor allem das Recht, anderen Leuten das zu
sagen, was sie nicht hoeren wollen.

George Orwell

 

sehr witzig Che Guevara
denk drann was dir whiskey gesagt hat ....

 

Schließe mich der dringenden Bitte von steppl an.

So wenig die Argumente von goto überzeugen mögen, die Art und Weise, wie man sich hier über ein Forumsmitglied lustig macht ist pubertär und unhöflich.

Ach ja, @ bond7:
Wer im Glashaus sitzt sollte nicht mit Steinen werfen

 

Du hast zu diesem Zeitpunkt natürlich schon daten auf Deinem rechner, die dem System ein erfolgtes update vorgaukeln. Das kommt davon, wenn man den download abbricht. Die Dateien kann man aber löschen.

 

Ja, was soll uns DAS denn sagen ? Man kann auchein miserabler Admin sein, die gibt es en masse...

 

dann mach ihn zu, büddeeeeee