**SASSER_Wurm Entfernung**

Dieses Thema im Forum "Sicherheit" wurde erstellt von bond7, 4. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    Für alle die noch nicht genau wissen wie man "SASSER" los wird
    Löschen des Wurms:

    * Trennen Sie den Rechner vom Internet
    * Starten Sie den Rechner neu, notfalls im "Safe-Mode"
    * Drücken Sie CTRL+ALT+ENTF
    * Öffnen Sie den Task Manager
    * Wechseln Sie zur Ansicht Prozesse
    * Halten Sie die STRG-Taste gegrückt und markieren Sie die folgende Prozesse: C:WINDOWS\avserve.exe bzw. avserve2.exe bzw.SKYNETAVE.EXE und c:WINDOWS\system32\*_up.exe (* meist 5 zahlen , z.b. 12345)
    * Klicken Sie auf "Task beenden"
    * Suchen und löschen Sie folgende Dateien: C:WINDOWS\avserve.exe bzw. avserve2.exe bzw. SKYNETAVE.EXE und C:WINDOWS\system32\*_up.exe (* meist 5 zahlen , z.b. 12345)
    * Klicken Sie auf Start, dann auf "Ausführen" und geben ein: regedit32
    * Danach OK
    * Im Registrierungseditor löschen Sie bitte den folgenden Eintrag: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "avserve.exe" = C:WINDOWS\avserve.exe bzw. avserve2.exe bzw. SKYNETAVE.EXE

    Danach UNBEDINGT windows-updates einspielen ! der passende patch ist mit darunter seit 2 wochen.
     
  2. zonk

    zonk Kbyte

    Registriert seit:
    10. November 2001
    Beiträge:
    137
    Ich erinnere mich an das PC-Welt-Forum (meine letzten Besuche sind über ein Jahr her) als eines, das mir immer hilfreiche Antworten gab, und in dem irrelevante Diskussionen wie diese Merkmale einiger weniger berühmt-berüchtigter User waren.

    Reißt euch zusammen! Ich sehe unüberlegte auditive Aussagen auf der Straße ein, aber verbal-brutale Auseinandersetzungen in diesem einst zivilisiertem Forum müssen nicht sein. Eine einfache Antwort oder ein Hinweis ohne Spott reicht doch, oder?
     
  3. Gast

    Gast Guest

    Wichtiger Hinweis!

    Neben SASSER nutzen auch andere Schädlinge, z.B. einige Gaobot-Versionen und der sogenannte "Phatbot" die LSASS-Lücke.
    So ist es möglich, dass nach erfolgreicher Infektion mit SASSER ein ebenfalls eingefallener Gaobot die von SASSER installierte Remote Shell schließt. Dadurch wird SASSER (und somit auch der andere Schädling) später oder gar nicht bemerkt (wegen des fehlenden Traffics, der sonst von diesem PC ausginge) und eine verstärkte Kompromittierung und Verhinderung des Installierens von MS-Patchen wäre die Folge!
     
  4. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    *immer diese meggorsägge hier....:cool:
     
  5. Gast

    Gast Guest

    @ Blue Devil
    Bei Virenbefall werde ich immer format c: empfehlen, bis es jeder kapiert hat(auch Du) :D
     
  6. Gast

    Gast Guest

    Hehe, war bei einem Arbeitskollegen, der Blaster, da hab ich natürlich keinen kostenpflichtigen Scanner wie KAV eingesetzt... :D

    MfG
    Vimes
     
  7. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    Bei mir hat KAV angeschlagen;):D
    Ich sehe das genauso; allerdings sollte man dazu auch frische Backups bereithalten.

    Hier ist aber der Knackpunkt; viele User sind mit dem Erstellen von Backups, sowie mit dem Update ihrer Systeme leider(!) arg nachlässig:(, wie man dies in vielen Foren erlesen kann.
     
  8. Gast

    Gast Guest

    Naja, Manne07 hat aber genauso wie Steele recht mit Format C: - wie will man sicher sein, ob man wirklich alles erwischt hat, was es sich im System gemütlich gemacht hat? (Ohne behaupten zu wollen, daß ich davon so viel verstehe wie die beiden, leider nicht... ;) ) Das Sicherheitsrisiko würde ich nicht eingehen wollen, auch wenn ich aus Prinzip keine Passwörter, Kreditkartendaten o.ä. auf meinem Rechner speichere.
    Ich hab früher auch gedacht, ist doch affig, den Rechner neu aufzusetzen, aber mittlerweile denke ich anders. Hab's schon erlebt, daß trotz offensichtlichen Wurmbefalls (Blaster) sämtliche von mir eingesetzten Scanner absolut nichts gefunden haben. Und der Blaster WAR drauf... typische Botschaft usw.!
    Nein, da hilft wirklich nur noch Festplatte plattmachen und alles neu drauf.

    MfG
    Vimes
     
  9. Blue Devil

    Blue Devil Kbyte

    Registriert seit:
    29. Januar 2003
    Beiträge:
    217
    @manne07

    Laß die Beiden doch ihren Kampf austragen,warum nicht ?

    Das Du wieder format C: raushaust,war klar !

    @Steele u. bond7

    Im Grunde genommen habt Ihr beide Recht,also Jungs kept cool !

    Bleiben wir Doch dabei ,wer zur rechten Zeit sein System patcht,
    ist klar im Vorteil !



    Gruß
     
  10. Gast

    Gast Guest

    Mach ich ja. Ich recherchiere erst gründlich. Darum finde ich bei dir ja auch Fehler.
    Spatzl, wenn ich das täte, wärst du der erste, der darunter zu leiden hätte. Glücklicherweise bin ich ein ausgeglichener, humorvoller und nur bisweilen sarkastischer Mensch.
    Darum bussi bussi und nu sei wieder lieb.
     
  11. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    ja egal...hast ja ehh immer an allem was rum zu kritisiern....mach du?s doch besser?!....achnee, du erschlägst ja erst jeden, bevor du ihm hilfst :D

    mit dem sp2 hast ja nichmal unrecht, das teil ist nicht betroffen wegen sasser.
     
  12. Gast

    Gast Guest

    Nö. Denn jetzt, wo du deinen fehlerhaften Tipp editiert hast, wirkt es natürlich zusammen mit der Kritik etwas...seltsam.
    Aber zum Glück muss man ja nicht so kompliziert vorgehen wie von dir vorgeschlagen. Es gibt ja super tolle Removal-Tools und 1a-Virenscanner und überhaupt kann einem mit Desktop- oder XP-Firewall oder dem RC1 vom SP2 gar nichts passieren.
    Die fehlenden 10 IRONIE-Tags dürfen nach Belieben gedanklich ergänzt werden.
    Manchmal erinnerst du mich an die frühe Phase unseres Killermasters formerly known as Rapmaster.
     
  13. Gast

    Gast Guest

    @bond7
    warum diesen Aufwand, wenn wie schon von Steele empfohlen, das System neu aufzusetzen ist, das heißt für mich: format c: und nichts anderes. Wer das nicht tut, ist selber schuld.
     
  14. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    nö....
    besser so (siehe oben) ?
     
  15. Gast

    Gast Guest

    Du kopierst hier also wissentlich unvollständige Tipps rein in der Hoffnung, jemand werde dich korrigieren. Diejenigen, die das in der Zwischenzeit befolgen und dabei Fehler machen, sind dir also egal?
     
  16. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    das ist nur ausn anderen portal abkopiert gewesen und das dort avserve2.exe ect. nicht berücksichtigt ist weiss ich.....aber das hast du eben gemacht (ich wusste das das einer macht).
    zumindestens ist das nee für jeden verständliche erklärung.
     
  17. Gast

    Gast Guest

    Dein Tipp ist unvollständig. Du berücksichtigst nicht, dass SASSER.B und C als avserve2.exe und SASSER.D als SKYNETAVE.EXE in Erscheinung treten.
    Ebenfalls fehlt der Hinweis darauf, dass ein kompromittiertes System als nicht mehr vertrauenswürdig zu gelten hat und daher neu aufzusetzen ist.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen