Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.05.2004, 13:55   #1
mmk
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Ausrufezeichen

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



Seit gestern Nacht verbreitet sich der Wurm Sasser.A, inzwischen zunehmend heftig.

Maßnahmen zum Schutz:

1.) - Aktuelle Critical Patches einspielen, unter anderem diese hier:
http://www.microsoft.com/germany/ms/...inms04-011.htm

2.) - Dienste beenden gemäß:
http://www.ntsvcfg.de

Wichtig (kontrollieren):
Der IPSEC-Richtlinienagent sollte danach auf "manuell" gesetzt sein!


Weitere Infos hier:
http://antivir.de/vireninfo/sasser.htm

[ 01. Mai 2004, 15:07: Beitrag editiert von: mmk ]
__________________
Grüße, Markus

Alt 01.05.2004, 14:26   #2
B-Kub
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



ich hab jetz den worm w32/sasser.A auf meinem rechner... kann mir jemand mal sagen wie ich ihn wegkrieg oder ein link zu einem removal tool geben??
__________________


Alt 01.05.2004, 14:31   #3
mmk
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Idee

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



1.) Lade dir, soweit möglich, dieses Script:
http://www.ntsvcfg.de
2.) Starte den PC im abgesicherten Modus.
3.) Such nach der Datei avserve.exe im Windowsverzeichnis. Lösch sie.
4.) Such nach Dateien der Form xxxx_up.exe im Windowsverzeichnis und lösch sie ebenfalls. xxxx ist dabei eine vierstellige, zufällig generierte Zahl.
5.) Führ das Script aus und kontrolliere danach, ob besagter Dienst auf manuell geschaltet ist.
6.) Starte den PC neu und installiere die benannten Patches.
7.) Ruf mit dem IE http://windowsupdate.microsoft.com auf und installiere alle restlichen Patches.
__________________
__________________

Alt 01.05.2004, 14:40   #4
lunanova
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



wie script ruinterladen.... was ist ein script und wo lade ich das da runter? ich finde nix?

Alt 01.05.2004, 14:45   #5
mmk
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



http://www.ntsvcfg.de/#_v20
http://www.ntsvcfg.de/#_download

Das ist ein kleines Programm, welches eine Dienstekonfiguration vornimmt.

__________________
Grüße, Markus

Alt 01.05.2004, 14:58   #6
lunanova
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



ok hab ich, hm und was soll ich da eingeben 1,2,3 oder4? da steht nix von manuell......*nix peil*

naja die svserve.exe is gelöscht und das windowsupdate auch gezogen und installiert, ich hoffe das es soweit erstmal gut ist. die xxx_UP.exe`n hab ich aber keine einzige gefunden....hm^^

Alt 01.05.2004, 16:11   #7
CyberFred
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



mmk meinte damit nur, dass der IP-Sec dienst anschließend auf manuell stehen soll. Das kannst du dann mit start -> ausführen -> services.msc überprüfen.
Zu dem Script: Wenn dein Rechner in keinem LAN hängt wählst du die 3, anderenfalls Nummer 1.

ciao
__________________
Mail-Header verstehen
~~~~~~~~~~~~~~
Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid)

Alt 01.05.2004, 22:25   #8
Lutz
 

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



... und Variante B hat auch nicht lange auf sich warten lassen...

http://www.trendmicro.com/vinfo/viru...SSER.B&VSect=T

Lutz
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 01.05.2004, 22:44   #9
Julia R
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



Danke, hab gerade MS update durchgeführt...

Aber ich hatte den eh noch nicht hihi.
__________________
lg, Julia

Alt 02.05.2004, 09:27   #10
oliver_in_germany
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



Hallo,

die Updates habe ich vor zwei Wochen schon durchgeführt. Kaune schon vor einem Jahr.

Da ich hinter einem Netgear-Router RP614V2 stehe, muß ich immer probieren, was danach noch läuft.

Wenn ich im Gerätemanager "Netbios über TCP/IP" deaktiviere, läuft Internet nicht mehr. Schlimm, wenn das aktiviert bleibt?
__________________
Servus Oliver

Alt 02.05.2004, 11:21   #11
djkotze
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



Hab mal ein LOG File erstellt.
Ist bei mir alles ok, oder ist was auffälliges zu sehen?


UPS, hier nochmal vollständig:

Logfile of HijackThis v1.97.7
Scan saved at 12:18:43, on 02.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\INTERN~1\MEDIAKEY.EXE
E:\Programme\Phone-Ident\Phone-Ident.exe
E:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
E:\Programme\Quotes\quotes.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
E:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
D:\PROGRA~1\INTERN~1\KBOSDCtl.EXE
D:\PROGRA~1\INTERN~1\KCodeMsg.EXE
D:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
E:\Programme\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
E:\Programme\Panda Software\Panda Platinum Internet Security\WebProxy.exe
D:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 
O2 - BHO: (no name) - {00000000-0007-5041-4354-0020e48020af} - E:\Programme\12Ghosts\12popup.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 12-Popup - {00000000-0008-5041-4354-0020e48020af} - E:\Programme\12Ghosts\12popup.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MediaKey] D:\PROGRA~1\INTERN~1\MEDIAKEY.EXE
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [StartPhoneMonitor] E:\Programme\Phone-Ident\Phone-Ident.exe
O4 - HKLM\..\Run: [SCANINICIO] "E:\Programme\Panda Software\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "E:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [E:\Programme\Quotes\quotes.exe] E:\Programme\Quotes\quotes.exe
O4 - Startup: Rainlendar.lnk = D:\Programme\Rainlendar\Rainlendar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Insert signature (HKLM)
O9 - Extra 'Tools' menuitem: Quotes plugin - QLiner.com (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O10 - Unknown file in Winsock LSP: e:\programme\panda software\panda platinum internet security\pavlsp.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1104.cab
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yaho...opper1_2de.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/16bce870...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB34} (Sony SNC-RZ30 Image Viewer) - http://213.201.38.222/home/SonySncRz30View.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BU...1/axofupld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/stat...d/WDU_1251.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...043.3851967593

[ 02. Mai 2004, 12:38: Beitrag editiert von: djkotze ]

Alt 02.05.2004, 11:34   #12
Nangie
 

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Pfeil

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



@ dj kotze

Fehlt da nicht noch etwas ?
__________________
MfG Nangie

Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat.

Lilo Keller (*1934) nachdenkliche Hausfrau

Alt 02.05.2004, 11:51   #13
djkotze
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Beitrag

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



habe es nochmal geändert.

Alt 02.05.2004, 12:08   #14
Nangie
 

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Pfeil

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



Etwas zum lesen :

HijackThis Anleitung 1

HijackThis Anleitung 2

Links zu alternativen Browser findest du in meiner Signatur
__________________
MfG Nangie

Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat.

Lilo Keller (*1934) nachdenkliche Hausfrau

Alt 02.05.2004, 13:04   #15
Kitty
 
Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Frage

Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)



hallo,

wie führt man dieses skript aus und wo schaue ich nach diesem dienst nach?

Antwort

Themen zu Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)
agent, aktuelle, anderem, beenden, beitrag, critical, dienste, editiert, einspielen, gesetzt, gestern, infos, kontrollieren, manuell, nacht, patches, schutz, spiele, spielen, unter, verbreitet, wurm, zwischen



Ähnliche Themen: Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)


  1. RANSOMWARE Virus im Umlauf
    Log-Analyse und Auswertung - 25.11.2012 (4)
  2. vielleicht Sasser ???
    Plagegeister aller Art und deren Bekämpfung - 18.01.2008 (0)
  3. Netzwerkwurm [PSW.x] [NetWorn-iVirus@fp] [Trojan-Spy.win32@mx]
    Plagegeister aller Art und deren Bekämpfung - 24.11.2007 (37)
  4. Nächste Mail die im Umlauf ist
    Überwachung, Datenschutz und Spam - 14.04.2007 (5)
  5. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  6. Gefälschten E-Mails mit BKA-Absender im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 02.02.2007 (2)
  7. Gefälschte GEZ-Rechnungen im Umlauf!
    Plagegeister aller Art und deren Bekämpfung - 25.01.2007 (8)
  8. Sasser
    Plagegeister aller Art und deren Bekämpfung - 21.01.2006 (1)
  9. Sasser..?
    Plagegeister aller Art und deren Bekämpfung - 11.01.2006 (4)
  10. W32/Licum bzw. Sasser
    Plagegeister aller Art und deren Bekämpfung - 29.12.2005 (10)
  11. sasser infiziert! finde aber keine sasser-datei?
    Plagegeister aller Art und deren Bekämpfung - 04.12.2005 (4)
  12. sasser
    Plagegeister aller Art und deren Bekämpfung - 06.10.2005 (3)
  13. Sasser
    Plagegeister aller Art und deren Bekämpfung - 28.02.2005 (7)
  14. sasser.ftp und qhost.gen
    Plagegeister aller Art und deren Bekämpfung - 23.12.2004 (12)
  15. Lsass.exe Sasser
    Plagegeister aller Art und deren Bekämpfung - 02.07.2004 (4)
  16. sasser & co
    Plagegeister aller Art und deren Bekämpfung - 25.05.2004 (4)
  17. neuer trojan im Umlauf!
    Plagegeister aller Art und deren Bekämpfung - 17.02.2003 (5)

Zum Thema Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) - Seit gestern Nacht verbreitet sich der Wurm Sasser.A, inzwischen zunehmend heftig. Maßnahmen zum Schutz: 1.) - Aktuelle Critical Patches einspielen, unter anderem diese hier: http://www.microsoft.com/germany/ms/...inms04-011.htm 2.) - Dienste beenden gemäß: - Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm)...
Archiv
Du betrachtest: Wurmwarnung: Sasser.A im Umlauf (Netzwerkwurm) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.