Sasser-infiziert, aber kein tool findet ihn!?

Diskutiere Sasser-infiziert, aber kein tool findet ihn!? im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Hallo zusammen, wie man am Titel unschwer erkennen kann, hab' ich ein Problem mit dem Sasser-Wurm: Der Computer ist eindeutig infiziert*, aber...
A

Ace_NoOne

Threadstarter
Mitglied seit
04.01.2004
Beiträge
30
Hallo zusammen,

wie man am Titel unschwer erkennen kann, hab' ich ein Problem mit dem Sasser-Wurm: Der Computer ist eindeutig infiziert*, aber keines der hier aufgeführten tools kann den Wurm finden oder gar entfernen! Microsoft's Sasser Worm Removal Tool (KB841720) und Symantec's W.32Sasser.Worm Fix Tool (v1.0.3) melden sogar explizit, der Computer sei nicht infiziert. Die andern beiden Scanner, McAfee Stinger und Trend Micro's Damage Cleanup Engine, finden auch nix.
Tötet mich bitte nicht ("Du hättest einfach regelmäßig das Windows-Update ausführen müssen, dann wäre es nie so weit gekommen!"); es handelt sich nicht um meinen Computer (der ist nämlich geimpft ;p )!

Wäre nett, wenn mir jemand weiterhelfen könnte... Danke im Voraus!


* Wenn eine Internet-Verbindung hergestellt wird, erscheint früher oder später die Fehlermeldung, dass die LSA Shell abgestürzt sei, und kurze Zeit später startet der 60sek.-Countdown.
 
A

Ace_NoOne

Threadstarter
Mitglied seit
04.01.2004
Beiträge
30
UPDATE:
An die Möglichkeit einer neuen Variante dachte ich auch schon - aber da müssten wir schon sehr viel Pech gehabt haben... !?

Im Task-Manager kann ich nichts Ungewöhliches entdecken, aber zur Sicherheit hier mal ein screenshot:

Der Vollständigkeit halber hier noch ein screenshot des Countdowns:
 
BeyondTheSilence

BeyondTheSilence

Mitglied seit
17.09.2002
Beiträge
846
Alter
45
Standort
Affoltern am Albis
Nur weil die lsass abstürzt muss dein (bzw. nicht dein) nicht mit dem Sasser infisziert sein.
Ich würd mal empfehlen (was ich sowieso immer empfehle), mach aich bei dem Bekannten die Windows-Updates, und bring ihm bei die in Zukunft auch selbst zu machen !!
 
Andy

Andy

Administrator
Team
Mitglied seit
16.08.2001
Beiträge
12.370
Alter
44
Standort
Wilder Süden
Ob es wirklich der Wurm ist, kannst siehst du daran, wenn sich auf deinem PC eine der folgenden Dateien befindet:

avserve.exe, avserve2.exe, skynetave.exe, win.log, win2.log sowie *_up.exe

Du kannst ihn auch von Hand entfernen:
  • System vom Netz trennen (Kabel abziehen)
  • Bei WinXP die Systemwiederherstellung deaktivieren
  • avserve.exe, avserve2.exe, skynetave.exe, win.log, win2.log sowie *_up.exe suchen und diese, falls sie gefunden werden, löschen
  • Falls sich avserve.exe, avserve2.exe oder skynetave.exe nicht löschen lassen, müssen zuvor im Taskmanager diese Prozesse beendet werden
  • Die Registry-Einträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, die auf avserve.exe, avserve2.exe oder skynetave.exe verweisen, müssen ebenfalls gelöscht werden.
  • MICROSOFT-Patch einspielen
  • System beenden
  • Netzwerkkabel wieder stecken
  • System wieder starten
  • Systemwiederherstellung wieder aktivieren
 
SethGeko

SethGeko

Mod + wb-mail
Team
Mitglied seit
15.11.2002
Beiträge
3.494
Alter
49
Standort
Basel
Hi

Du kannst es ja noch mit dem Removal Tool von Sophos versuchen!
 
A

Ace_NoOne

Threadstarter
Mitglied seit
04.01.2004
Beiträge
30
Erstmal danke für die Reaktionen.
Seltsamerweise lässt sich keine der o.g. Dateien auf dem System ausmachen - auch die registry enthält keine derartigen Einträge!
Allerdings MUSS ja irgendeine Art Wurm oder Virus vorhanden sein, da sobald die Internetverbindung zustande kommt die LSA abstürzt und dann der 60sek.-Countdown startet - und das sind doch genau die Sasser-Symptome!?

Auch das Removal Tool von Sophos findet übrigens nichts.
 
G

]GOGO[

Mitglied seit
15.03.2004
Beiträge
1
Hi,
Downloade dir doch mal die Kostenlose Version von AntiVir von www.free-av.de eventuell findet AntiVir ja den Plagegeist.


mfg ]GOGO[
 
R

Rocketeer

SPONSOREN
Mitglied seit
01.03.2004
Beiträge
1.576
Standort
wilder Osten
Hallo, ich hätte da noch einen weiteren Wurm-Killer von Kaspersky. Stand gester auf PC-Welt. Hab ihn mal ausprobiert, nachdem ich Symantecs und andere Wurmkiller schon habe durchlaufen lassen. Mein Eindruck: er ist wirklich EXTREM schnell mit seiner Suche.

Hab ihn auch schon als Download vorgeschlagen, mal sehen, was die Admins meinen.

Viel Erfolg :D

Hier der Link: ftp://ftp.kaspersky.com/utils/clrav/
 
Andy

Andy

Administrator
Team
Mitglied seit
16.08.2001
Beiträge
12.370
Alter
44
Standort
Wilder Süden
Laaaaaangsam.

Wenn keine der Dateien avserve.exe, avserve2.exe, skynetave.exe, win.log, win2.log sowie *_up.exe auf dem Rechner ist, was Ace_NoOne ja bestätigt hat, dann is da auch kein SASSER-Wurm drauf.

Würde eher auf ein Windows-Problem tippen.
 
I

-=*Iceman*=-

Gast
Hi,
sieht imho eindeutig nach sasser aus. Ich hatte das gleiche Problem und die
gleichen Symptome beim PC einer Freundin. Die Tools haben nichts gefunden.

Hier noch ein Tip zur manuellen Entfernung von Sasser:
-------------------------------------
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.
-----------------------------------------

Viel Glück!
Iceman
 
Thema:

Sasser-infiziert, aber kein tool findet ihn!?

Sasser-infiziert, aber kein tool findet ihn!? - Ähnliche Themen

  • Windows 7 registrybooster.exe infiziert

    Windows 7 registrybooster.exe infiziert: Der Virenscanner dokumentiert, dass unter Windows 7 registrybooster.exe infiziert ist. Was kann ich tun?
  • KMSAuto Net.exe ist mit Generic HTool.h infiziert

    KMSAuto Net.exe ist mit Generic HTool.h infiziert: Mein Antivirus-Programm hat beim Scannen eine infizierte Datei gefunden (KMSAuto Net.exe mit "Generic HTool.h" infiziert) entdeckt die nicht...
  • windows 8.1 mit 3 Viren infiziert. was kann ich tun??

    windows 8.1 mit 3 Viren infiziert. was kann ich tun??: Windows 8.1. mit 3 Viren infiziert. was kann ich tun?
  • lsass.exe -> nicht sasser!

    lsass.exe -> nicht sasser!: Hallo! Seit einem spontanen Reboot von WinXP home bekomm ich folgende Fehlermeldung: "lsass.exe - objektname wurde nicht gefunden". Nach dem...
  • Wurm Sasser !!

    Wurm Sasser !!: Hi !! Der Wurm Sasser in allen Variationen macht das Internet unsicher Hat schon jemand damit Erfahrungen ??? Der soll schlimmer als...
  • Ähnliche Themen

    • Windows 7 registrybooster.exe infiziert

      Windows 7 registrybooster.exe infiziert: Der Virenscanner dokumentiert, dass unter Windows 7 registrybooster.exe infiziert ist. Was kann ich tun?
    • KMSAuto Net.exe ist mit Generic HTool.h infiziert

      KMSAuto Net.exe ist mit Generic HTool.h infiziert: Mein Antivirus-Programm hat beim Scannen eine infizierte Datei gefunden (KMSAuto Net.exe mit "Generic HTool.h" infiziert) entdeckt die nicht...
    • windows 8.1 mit 3 Viren infiziert. was kann ich tun??

      windows 8.1 mit 3 Viren infiziert. was kann ich tun??: Windows 8.1. mit 3 Viren infiziert. was kann ich tun?
    • lsass.exe -> nicht sasser!

      lsass.exe -> nicht sasser!: Hallo! Seit einem spontanen Reboot von WinXP home bekomm ich folgende Fehlermeldung: "lsass.exe - objektname wurde nicht gefunden". Nach dem...
    • Wurm Sasser !!

      Wurm Sasser !!: Hi !! Der Wurm Sasser in allen Variationen macht das Internet unsicher Hat schon jemand damit Erfahrungen ??? Der soll schlimmer als...
    Oben