Seit gestern Nacht verbreitet sich der Wurm Sasser.A, inzwischen zunehmend heftig.

Maßnahmen zum Schutz:

1.) - Aktuelle Critical Patches einspielen, unter anderem diese hier:
http://www.microsoft.com/germany/ms/...inms04-011.htm

2.) - Dienste beenden gemäß:
http://www.ntsvcfg.de

Wichtig (kontrollieren):
Der IPSEC-Richtlinienagent sollte danach auf "manuell" gesetzt sein!


Weitere Infos hier:
http://antivir.de/vireninfo/sasser.htm

[ 01. Mai 2004, 15:07: Beitrag editiert von: mmk ]

ich hab jetz den worm w32/sasser.A auf meinem rechner... kann mir jemand mal sagen wie ich ihn wegkrieg oder ein link zu einem removal tool geben??

1.) Lade dir, soweit möglich, dieses Script:
http://www.ntsvcfg.de
2.) Starte den PC im abgesicherten Modus.
3.) Such nach der Datei avserve.exe im Windowsverzeichnis. Lösch sie.
4.) Such nach Dateien der Form xxxx_up.exe im Windowsverzeichnis und lösch sie ebenfalls. xxxx ist dabei eine vierstellige, zufällig generierte Zahl.
5.) Führ das Script aus und kontrolliere danach, ob besagter Dienst auf manuell geschaltet ist.
6.) Starte den PC neu und installiere die benannten Patches.
7.) Ruf mit dem IE http://windowsupdate.microsoft.com auf und installiere alle restlichen Patches.

wie script ruinterladen.... was ist ein script und wo lade ich das da runter? ich finde nix?

http://www.ntsvcfg.de/#_v20
http://www.ntsvcfg.de/#_download

Das ist ein kleines Programm, welches eine Dienstekonfiguration vornimmt.

ok hab ich, hm und was soll ich da eingeben 1,2,3 oder4? da steht nix von manuell......*nix peil*

naja die svserve.exe is gelöscht und das windowsupdate auch gezogen und installiert, ich hoffe das es soweit erstmal gut ist. die xxx_UP.exe`n hab ich aber keine einzige gefunden....hm^^

mmk meinte damit nur, dass der IP-Sec dienst anschließend auf manuell stehen soll. Das kannst du dann mit start -> ausführen -> services.msc überprüfen.
Zu dem Script: Wenn dein Rechner in keinem LAN hängt wählst du die 3, anderenfalls Nummer 1.

ciao

... und Variante B hat auch nicht lange auf sich warten lassen...

http://www.trendmicro.com/vinfo/viru...SSER.B&VSect=T

Lutz

Danke, hab gerade MS update durchgeführt...

Aber ich hatte den eh noch nicht hihi.

Hallo,

die Updates habe ich vor zwei Wochen schon durchgeführt. Kaune schon vor einem Jahr.

Da ich hinter einem Netgear-Router RP614V2 stehe, muß ich immer probieren, was danach noch läuft.

Wenn ich im Gerätemanager "Netbios über TCP/IP" deaktiviere, läuft Internet nicht mehr. Schlimm, wenn das aktiviert bleibt?

Hab mal ein LOG File erstellt.
Ist bei mir alles ok, oder ist was auffälliges zu sehen?


UPS, hier nochmal vollständig:

Logfile of HijackThis v1.97.7
Scan saved at 12:18:43, on 02.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\INTERN~1\MEDIAKEY.EXE
E:\Programme\Phone-Ident\Phone-Ident.exe
E:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
E:\Programme\Quotes\quotes.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
E:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
D:\PROGRA~1\INTERN~1\KBOSDCtl.EXE
D:\PROGRA~1\INTERN~1\KCodeMsg.EXE
D:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
E:\Programme\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
E:\Programme\Panda Software\Panda Platinum Internet Security\WebProxy.exe
D:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =

O2 - BHO: (no name) - {00000000-0007-5041-4354-0020e48020af} - E:\Programme\12Ghosts\12popup.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 12-Popup - {00000000-0008-5041-4354-0020e48020af} - E:\Programme\12Ghosts\12popup.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MediaKey] D:\PROGRA~1\INTERN~1\MEDIAKEY.EXE
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [StartPhoneMonitor] E:\Programme\Phone-Ident\Phone-Ident.exe
O4 - HKLM\..\Run: [SCANINICIO] "E:\Programme\Panda Software\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "E:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [E:\Programme\Quotes\quotes.exe] E:\Programme\Quotes\quotes.exe
O4 - Startup: Rainlendar.lnk = D:\Programme\Rainlendar\Rainlendar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Insert signature (HKLM)
O9 - Extra 'Tools' menuitem: Quotes plugin - QLiner.com (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O10 - Unknown file in Winsock LSP: e:\programme\panda software\panda platinum internet security\pavlsp.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1104.cab
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yaho...opper1_2de.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/16bce870...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB34} (Sony SNC-RZ30 Image Viewer) - http://213.201.38.222/home/SonySncRz30View.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BU...1/axofupld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/stat...d/WDU_1251.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...043.3851967593

[ 02. Mai 2004, 12:38: Beitrag editiert von: djkotze ]

@ dj kotze

Fehlt da nicht noch etwas ?

habe es nochmal geändert.

Etwas zum lesen :

HijackThis Anleitung 1

HijackThis Anleitung 2

Links zu alternativen Browser findest du in meiner Signatur

hallo,

wie führt man dieses skript aus und wo schaue ich nach diesem dienst nach?