W32 Sasser Beschreibung (Fehler lsass.exe-PC fährt nach 60 sek runter) und Entfernung

also ich hab? in meinem ganzen Leben noch keine müde Mark oder auch nur einen wachen Euro für AV-Software ausgegeben !

Mein letzter Virus war vor ~ 5 Jahren ein Makro-Virus, den mir meine holde Ex mit einem Word-Dok. auf?s Auge gedrückt hat - aber auch der ließ sich mit einem kostenlosen Tool entfernen ...



P.S.: ich hab? keinen Router

 

Wenn ihr mich fragt halte ich das mit den Virenn, Dailern und so alles für abzocke der Antivirenhersteller. Weil wie soll sich ein Programm verkaufen wenn es keinen neuen Virus gibt? Ja es gibt auch leute die Viren programmieren aber die meisten sind meiner meinung nach von den Herstellern selber. Guter Tip gegen das Zeuch ist sich einen Ruter anzuschaffen, da kommt nix durch mir ist zumindest noch nix auf den Rechner gekommen. zumindest nicht aus dem netz!

Tank

 

Habe inzwischen die ganzen Beiträge zum Sasser gelesen, habe mein Sytem mit allen Tools gescannt neueste Virensoftware und alle Sicherheitsupdates
ausgeführt, immer gleiches ergebnis:
Sasser nicht gefunden, und doch wenn ich ins Netz geh meldet der PC sich ab.
Unterbrechen geht natürlich mit dem alt bekannten shutdown -a, aber das ist scheisse Plattmachen ist nicht drin, da Geschäfts PC.
Weiss nicht mehr weiter.
Klingt jetzt seltsam aber wenn ich über AOL einlogge läuft der PC endlos weiter.
Hab ich was nicht kapiert.
Mann User sind genauso Doof wie Computer.
Hat jemand unterhaltsamen Vorschlag der als beschäftigungstherapie zu versuchen wäre.

Danke
euer Lokke

 

Habs geschaft ihn wegzumachen! Vielen Dank für euere Hilfe.
Ich hatte genau dasselbe Problem wie Tanja, auf einmal hat er wieder den Worm gestartet, obwohl keine adverse.exe da war. Später kommt er wieder.


Ich hab ihn so weggekriegt:
Hab das Removetool von Symantec gestartet, er hat nur 1 Eintrag in Regestry und 1Datei gelöscht. Danach waren aber trotzdem alle Wormdateien vorhanden, also averse und _up.exe ich hab alles manuel gelöscht und noch ein mal den Patch installiert. Übrigens ich brauch keinen deutschen Patch, da ich WinXPRus nutze.
MfG
Hikaru

 

Wen es so weiter geht sind wir am Wochenende bei Variante Z, und das Virenboard ist so unübersichtlich wie der MT geworden.

mfg.dedie

 

so jetzt gibt es Variante D

 

@bond7

Hallo Bond,


formatieren können wir immer noch.., erst wollen wir mal die Ursachenforschung betreiben und dann versuchen zu reparieren.

 

Hallo Tanja,

erstell mal hier im Viren, Trojaner-Board einen neuen Thread mit einer Kurzbeschreibung deines Problems. Das wird hier zu unübersichtlich da wir uns eingehender mit deinem Rechner beschäftigen müssen.

Grüße
Wolfgang

 

@Tanja120979
steck eine bootdiskette ins laufwerk wo fdisk drauf ist , lösche die primäre partition und hinterher steckste die winXP-install-CD ins cd-rom und bootest damit, der rest geht dann von alleine...

iss nurn vorschlag , wenn du das sonst nicht mehr hinbekommst.

 

Ich bin?s nochmal.
Ich bin echt am verzweifeln. Das Removal-tool hat den Sasser bei mir auf dem Computer nicht gefunden und auch die Dateien adserve2.exe und win.log kann ich nicht finden. Die Symptome sind aber die des Sassers.
Kann mir irgendjemand weiterhelfen?

 

aber ich hab ihn doch aufgezählt.

 

Das ist ja kein Patch, sondern "nur" ein Blaster-Removal-Tool. Hinsichtlich Sasser hat das keine Effekte.

Das wäre der passende. Beachte aber, dass du WindowsXP-KB835732-x86-DEU.EXE installierst.

RPC-Patch, hier gilt das Gleiche.

Wie sieht es mit dem System insgesamt aus? Alle weiteren Patches aus installiert? Win XP mit Service-Pack 1 ausgestattet?

 

Wenn man deiner Problemschilderung glauben darf, dann jedenfalls zu spät bzw. in der falschen Reihenfolge. Ich sag nichts weiter dazu. Wurde hier alles x-mal erklärt und verlinkt.

 

sorry hab vergessen es zu erwähnen, ich habe folgende Patchs installiert:

Windows-KB833330
WindowsXP-KB835732-x86
WindowsXP-KB828741-x86

 

Wir[tm] schrieben hier von beiden Varianten und inzwischen sind es drei. Lies bitte gründlich.

Logisch. Du hast ihn dir sofort wieder gefangen, da du den Rechner nicht gepatcht hast.
Stand alles bereits mehrfach in diesem Thread und den verlinkten Informationsseiten. Lies bitte gründlich.

Gründlich lesen. Der Wurm kommt über eine bei dir ungepatchte Sicherheitslücke. Für die gibt es seit zwei Wochen einen Patch, den du aus unerfindlichen Gründen nicht installiert hast.

 

Hallo ich habe diesen oder einen ähnlichen Wurm auf dem PC. Ihr schreibt, dass er 32.Sasser.A.Worm heißt, doch bei mir war vor kurzem auch mit B, also 32.Sasser.B.Worm, den ich weggeriegt habe. Dazu habe ich das Removetool von Symantec benutzt, denn Norton konnte den Wurm nicht entfernen. Als ich den entfernt habe, dachte ich, dass mein PC nicht mehr herunterfahren wird, doch ich irrte mich, denn nach Zeit kam schon wieder diese Meldung,dass mein PC wegen lsass.exe heruntergefahren wird. Mein Norton erkennt nichts, AntiVir auch nicht. Was soll ich tun? Kann ich den Wurm auch irgendwie entfernen während er versucht mein System herunterzufahren? Man kann ja die Zeit verändern und dann fährt er z.B.2Stunden später herunter.

 

Mittlerweile ist die Variante SASSER.C im Umlauf, die sich jedoch nur minimal von den Vorgängern unterscheidet.
SASSER.C bricht einen Infektionsversuch ab, wenn er feststellt, dass der Rechner bereits infiziert ist.
Im Infektionsfall werden 1024 Threads des Schädlings zur Erzeugung zufälliger IP-Nummern gestartet, nach denen er dann das Subnetz durchsucht. Dabei werden reservierte IP-Bereiche übersprungen:

127.0.0.1
10.x.x.x, 172.[16-31].x.x
192.168.x.x
169.254.x.x

Bei der Verbreitung über das Internet fordert SASSER zuerst ein SMB-Banner an, um das Betriebssystem der Gegenseite zu verifizieren. Entspricht dieses nicht den Anforderungen (Win XP oder Win2k), wird der Infektionsversuch abgebrochen, anderenfalls werden die präparierten Pakete gesendet.

ReneW:
Du bist bzgl. meiner Favoriten nicht auf dem Laufenden.

 

@ Steele

Kann es sein das dein russischer AV-Favorit "alt und träge" wird? Sonst waren die doch immer die ersten, beim Sasser hängen die aber irgendwie etwas hinterher.

 

Tja, in einem anderen Forum, wo es nicht um PCs geht, musste ich auch gerade aktiv werden...
Da hatte jemand keine Zeit, die Patches zu laden...

Ich habe mal kurz die hier genannten Links gepostet. Thanks.

*Ironie an* Warum nur habe ich den nicht? *aus*

Weil: Patch drauf...

 

Das hast du sehr schön gesagt.