Schon wieder fährt der Rechner runter (wie beim Blaster)

SkyMaster

schläft auf dem Boardsofa
Schon wider fährt der rechner runter (wie beim Blaster)

Hallo

Habe seit gestern das Problemm das mein rechner wider runterfährt (wie beim blaster worm)

Er schein es aber nicht zu sein ! den ein Virenscann blieb ohne erfolg, und auch der Blaster Remove-Tool hat nix gefunden und der Fix ist auch instaliert :(

Folgedes Pasiert

1) Fehlermeldung:
Lsass.exe (Export Version) hat ein fehler festgestellt muß beendet werden.....

kurz später kommt die NT-Autoriäts meldung
und ich habe noch genau 60 Sek zeit um alles zu speichern ....

Ist das schon wider ein Virus / Wurm
oder ist hier was anderes Im busch ?

Ich erinnere nochmal daran das NOD32 und auch der Blaster-remove Tool von symatec nix gefunden hat und ich auch den Blaster fix von MS drauf habe..

Wer weis rat ?

Gruß
Sky
 
Was Neues in der Art ist mir nicht bekannt. Zieh doch mal den Stecker für die Internetverbindung, tritt es dann immer noch auf?
 
Ich glaube ich habe es

Ich hatte das ganze nochmal zurückgesetzt und mit msconfig mir das ganze vorher nachher angechaut und dieses mistding gefunden und neutralisiert ich weis nur nicht welcher Patch dafür zuständig ist


Siehe auch den anhang
 

Anhänge

  • nachher.rar
    86,3 KB · Aufrufe: 198
@Sky: falls du (noch) nicht das Problem beseitigen kannst und das Fenster mit dem Herunterfahren kommt, gibt erstmal bei 'Ausführen' "shutdown -a" ein, dann verschwindet es vorrübergehend.
 
Habe also die beschriebene datei in msconfig gekillt und diesen patch
WindowsXP-KB835732-x86-DEU

eingespielt und jetzt rumpellt die Kiste wieder

Der name des übeltäters ist averve.exe die sich in der msconfig verbirgt wenn ich den aber suche finde ich ihn nicht


Meinen Tread könnt ihr schließen
Mal schauen was als nächstes kommt

Bis denne
 
Zuletzt bearbeitet:
also habe so ein Problem un dkeinen Wurm drin.

bei mir wird angezeigt Adapter scan, nachdem ich ca. 5 min online bin.

habe diese datei auch gesucht und nicht gefunden, die sky hatte.

hat noch einer ne idee???????????????
 
Habe da noch was

Seit heute Nacht (01.05.04) ist ein neuer Wurm im Umlauf, der wie seinerzeit "Blaster" eine bestehende Sicherheitslücke zur Verbreitung ausnutzt!

Name: Wurm Sasser.A

Infektion und Verbreitung:

Der Wurm nutzt eine Schwachstelle im LSASS Dienst (Local Security Authority Subsystem Service). Über einen Buffer Overflow ist es möglich beliebigen Code auszuführen. Eine Infektion des Systems endet im Beenden des Dienstes und einem Herunterfahren des Systems. Der Wurm erstellt ein ftp-Script und startet einen ftp-Server auf der Remote-Maschine (Port 5554). Der Wurm startet ftp.exe auf dem Zielsystem und lädt mit Hilfe des ftp-Scripts die Wurm-.exe herunter und speichert diese als "xxxx_up.exe" (xxxx = vierstellige Zufallszahl) im Windowsverzeichnis. Der Wurm kopiert sich als avserve.exe in das Windowsverzeichnis (%Windows%) und fügt folgenden Registry-Eintrag hinzu, damit er bei jedem Systemstart automatisch gestartet wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe"

Der Wurm öffnet einen ftp-Port (5554) und scannt IP Adressen nach verwundbaren Systemen (TCP port 445).

Im Security Bulletin vom 13. April 2004 werden auch noch diverse andere Sicherheitslücken angesprochen. Da der Wurm noch relativ neu ist liegen noch keine detaillierten Informationen vor. Neben den beschriebenen Symptomen sind auch noch andere "Auffälligkeiten" denkbar!

Betroffene Systeme (vollständige Liste gem. MS-04-011):

* Microsoft Windows 2000 Service Pack 2 + 3 + 4
* Microsoft Windows XP und Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition

Hinweise zur Entfernung:

Eine Infektion lässt sich an einem laufenden Prozess avserve.exe (15,872 Bytes, PECompact gepackt) erkennen.

Zur Entfernung den Prozess über den Taskmanager beenden, die Registry bereinigen und die Datei löschen. Weiter Infos siehe Links zu den Herstellern von AV-Software. Das Herunterfahren sollte auf XP / 2k3 Systemen per Start -> Ausführen -> shutdown -a abgebrochen werden können!

Wichtig:

Auf allen potentiell betroffenen Systemen sollten unbedingt asap die nötigen Patches installiert werden!

microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm

Windows-Update durchführen um auch andere potentielle Lücken zu schliessen:

v4.windowsupdate.microsoft.com/de/default.asp

Weitere Infos:

www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html

Infos, teilweise auf deutsch @ TrendMicro

Technische Details @ TrendMicro

Infos @ McAfee

Infos @ ca

Infos @ Symantec

Bitte bei den Herstellern der eigenen AV-Software nach neuen Definitionen suchen.
 
Ich hatte den heute auch promt drauf, habe den Vorgang mit shutdown -a abgebrochen, dann antivir upgedatet und das neue oben genannte xp-update gegownloaded. Beide Sachen durchlaufen lassen und jetzt ist alles wieder ok.
 
Ich hab das Thema mal oben angepinnt - ich nehme an, es werden in den nächsten Tagen und Wochen noch zahlreiche Fragen dazu kommen, dann kann man diesen Thread verlinken, hier sind eigentlich alle Infos drin.
 
ja ich habe genau das gleiche problem
ich hatte gestern w32.sasser.worm gefunden und entfernt
nachher lief alles wieder gut. Habe formatiert und alle sicherheits-patches zuerst installiert , anti- virus aktualisiert ...
trotzdem kommt diese blaster-ähnliche fehlermeldung immer wieder
also was tun ? :(
ich bin echt verzweifelt und weiß nicht weiter
Hoffe auf Antwort im voraus danke !!!
 
nochmal kurzer nachtrag :
es handelt sich NICHT um die Fehlermeldung des Sasser-Wurms ... Ist fast die gleiche wie bei Blaster
>>> RPC -Dienst usw. (Ihr wisst schon )
Und ich hab keine Ahnung woher das kommt ...
Blaster wurm hab ich nicht gefunden, auch auf andere würmer hab ich das System gezielt "gecheckt "
zB nach exen die bestimmte würmer hervorrufen . Leider erfolglos !
 
Msconfig unter ausführen starten reiter Systemstart den eintrag
averve.exe den haken weg machen neu starten und dann offline den Patch einspielen dann unter regedit nachschauen ob das teil noch da ist

das war es
 
Dann gehe mal diesen Pfad nach in regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und schreibe mal was sich bei dir da verbirgt

Mitlerweille mutiert das ding zu dem eintrag averve2.exe
 
also nach öffnen von RUN:

Optional Components
dann IMAIL MAPI MSFS
 
es passiert auch nur einmal das der PC neustartet. danach ist alles ok
 
Oben