neuer virus
- Thread starter XellGNMX
- Start date
- Joined
- Apr 20, 2004
- Messages
- 49
- Points
- 0
ich bin glücklich mit meinem virenscanner, nutz den aber auch nur 1mal im monat, dann findet er halt 20 dialer und so... aber ich rate eh immer einfach formatiern (so alle 4-6 monate), dann is weg was nich dasein soll (die rettung halt intensiv nach viren scannen), is zeitraubend aber effektiv!
- Joined
- May 2, 2002
- Messages
- 8,585
- Points
- 360
2 mal im Jahr sollte man meiner Meinung sowieso formatieren gerade wegen solchen Sachen und LAG, bestes Beispiel isn Kumpel von mir "GanXta" dem sein PC ist echt ne Maschine aber der hatte den halbes Jahr nicht formatiert und hat gelaggt wie ein 386´er nachm formatieren gings wieder einwandfrei.
- Joined
- Feb 21, 2003
- Messages
- 3,103
- Points
- 0
Allgemeine Beschreibung:
Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus.
Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren..
Symptome:
Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG
Infektionsweg:
LSASS Sicherheitslücke von Microsoft
Technische Details:
Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu:
http://www.microsoft.com/technet/se...n/MS04-011.mspx
Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.
Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.
Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.
Entfernungshinweise:
- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:
\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.
Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.
quelle: www.antivir.de
Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus.
Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren..
Symptome:
Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG
Infektionsweg:
LSASS Sicherheitslücke von Microsoft
Technische Details:
Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu:
http://www.microsoft.com/technet/se...n/MS04-011.mspx
Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.
Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.
Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.
Entfernungshinweise:
- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:
\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.
Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.
quelle: www.antivir.de
- Joined
- Aug 25, 2003
- Messages
- 1,523
- Points
- 0
hier mal ein trick den ihr mit Xp nur gebrauchen könnt...
der Pc wird heruntergefahren...
Ich hab ihn selber gemacht, du hast keine zeit mehr ihn zu stoppen, doch wenn ja, 1 minute oder so, dann probiers mal im CoMmanD (CMD)
mit shutdown -a
also hier mal das teil, bitte nur öffnen wenn alle progs geschlossen sind und ja, ja nicht!!!!! in den startup tun, denn dann kannst du dein PC wegwerfen (kA ob das so ist)...
Ich hab ihn selber gemacht, den SoDsWvirus
also, wenn ihr öffnen dann fährt der pc runter...
mist, man kann die datei nicht hochladen, also mact es selber im editor eingeben shutdown -s -t 01 und .cmd wenn man es speichert....
also viel spass
der Pc wird heruntergefahren...
Ich hab ihn selber gemacht, du hast keine zeit mehr ihn zu stoppen, doch wenn ja, 1 minute oder so, dann probiers mal im CoMmanD (CMD)
mit shutdown -a
also hier mal das teil, bitte nur öffnen wenn alle progs geschlossen sind und ja, ja nicht!!!!! in den startup tun, denn dann kannst du dein PC wegwerfen (kA ob das so ist)...
Ich hab ihn selber gemacht, den SoDsWvirus
also, wenn ihr öffnen dann fährt der pc runter...
mist, man kann die datei nicht hochladen, also mact es selber im editor eingeben shutdown -s -t 01 und .cmd wenn man es speichert....
also viel spass
Similar threads
