wahrscheinlich wurm oder virus?!?!
- Ersteller TheChoosen
- Erstellt am
TheChoosen
Commodore Special
- Mitglied seit
- 07.02.2003
- Beiträge
- 437
- Renomée
- 0
Hallöchen...
ich hab mich heut gewundert, warum mein comp so sacken lahm is... desweiteren konnte ich nach ca. 5 minuten nach dem neustart nicht mehr ins internet. also erstmal antivir personal edition drüberlaufen lassen, welches einen wurm in einer avserve.exe festgestellt hat. also gelöscht das ding. aber nach einer weile wurde er wieder langsam. also hab ich den taskmanager geöffnet, und mir die prozesse angesehen. dabei ist mir eine datei aufgefallen, welche 3841_up.exe hieß, und angeblich dem system zugehörte. also geschlossen das ding und schon ging alles wieder wie in gewohnter weise... nun die datei gesucht, aber nichts gefunden.
nach einer weile wieder das selbe problem... alles langsam... also wieder in den taskmanager und diesesmal hieß die datei 27635_up.exe und verbrauchte ca. 55% systemleistung... dies tritt irgendwie jetzt immer auf, bloß das die datei andauernd anders heißt... mein virusproggi findet keinen virus... also was kann das sein?
achja, und die avserve.exe hat ich nach nem neustart wieder drauf, auch komisch...
brauch unbedingt eure hilfe, weil alle 5 minuten manuell diese schwule datei zu schließen is auch kacke...
Danke schonmal im vorraus
MFG TC
ich hab mich heut gewundert, warum mein comp so sacken lahm is... desweiteren konnte ich nach ca. 5 minuten nach dem neustart nicht mehr ins internet. also erstmal antivir personal edition drüberlaufen lassen, welches einen wurm in einer avserve.exe festgestellt hat. also gelöscht das ding. aber nach einer weile wurde er wieder langsam. also hab ich den taskmanager geöffnet, und mir die prozesse angesehen. dabei ist mir eine datei aufgefallen, welche 3841_up.exe hieß, und angeblich dem system zugehörte. also geschlossen das ding und schon ging alles wieder wie in gewohnter weise... nun die datei gesucht, aber nichts gefunden.
nach einer weile wieder das selbe problem... alles langsam... also wieder in den taskmanager und diesesmal hieß die datei 27635_up.exe und verbrauchte ca. 55% systemleistung... dies tritt irgendwie jetzt immer auf, bloß das die datei andauernd anders heißt... mein virusproggi findet keinen virus... also was kann das sein?
achja, und die avserve.exe hat ich nach nem neustart wieder drauf, auch komisch...
brauch unbedingt eure hilfe, weil alle 5 minuten manuell diese schwule datei zu schließen is auch kacke...
Danke schonmal im vorraus
MFG TC
Sieben
Vice Admiral Special
Wollen wir tauschen? 
Ich hab irgendwas drauf, was ständig diese lsass.exe (Lokaler Sicherheitsdienst) beendet und dann fährt der Rechner wie damals beim Blaster nach 60sek runter...Virenprog is geupdatet, Sicherheitspatches von MS sind drauf, alles da =( und der Wurm (?) bleibt...Fixblast findet au nix...aber die komischen Dateien in deinem Taskmanager hab ich nich *g* immerhin was 
Ich hab irgendwas drauf, was ständig diese lsass.exe (Lokaler Sicherheitsdienst) beendet und dann fährt der Rechner wie damals beim Blaster nach 60sek runter...Virenprog is geupdatet, Sicherheitspatches von MS sind drauf, alles da =( und der Wurm (?) bleibt...Fixblast findet au nix...aber die komischen Dateien in deinem Taskmanager hab ich nich *g* immerhin was 
TheChoosen
Commodore Special
- Mitglied seit
- 07.02.2003
- Beiträge
- 437
- Renomée
- 0
boah, hab nu alles proviert, geht immernoch ned wech *heul*
das frisst dermaßen ressourcen.... langsam aber sicher benutzt das proggi immer mehr speicher und bremst somit mein system aus... es fängt mit 5mb speicher an, und arbeitet sich hoch (hatte vorhin mal 70 mb) und wir immer mehr...
heeeeeeeeelp
MFG TC
das frisst dermaßen ressourcen.... langsam aber sicher benutzt das proggi immer mehr speicher und bremst somit mein system aus... es fängt mit 5mb speicher an, und arbeitet sich hoch (hatte vorhin mal 70 mb) und wir immer mehr...
heeeeeeeeelp
MFG TC
hmm, mein onkel rief mich gerade an und hat auch genau dieses problem. habe aber von keinem derartigen neuen virus gehört.
naja, mal schauen...
//EDIT:
ich habs gefunden:
http://www.planet3dnow.de/vbulletin/showthread.php3?s=&threadid=159557
Zuletzt bearbeitet:
Achtung:
Seit heute Nacht (01.05.04) ist ein neuer Wurm im Umlauf, der wie seinerzeit "Blaster" eine bestehende Sicherheitslücke zur Verbreitung ausnutzt!
Name: Wurm Sasser.A
Infektion und Verbreitung:
Der Wurm nutzt eine Schwachstelle im LSASS Dienst (Local Security Authority Subsystem Service). Über einen Buffer Overflow ist es möglich beliebigen Code auszuführen. Eine Infektion des Systems endet im Beenden des Dienstes und einem Herunterfahren des Systems. Der Wurm erstellt ein ftp-Script und startet einen ftp-Server auf der Remote-Maschine (Port 5554). Der Wurm startet ftp.exe auf dem Zielsystem und lädt mit Hilfe des ftp-Scripts die Wurm-.exe herunter und speichert diese als "xxxx_up.exe" (xxx = vierstellige Zufallszahl) im Windowsverzeichnis. Der Wurm kopiert sich als avserve.exe in das Windowsverzeichnis (%Windows%) und fügt folgenden Registry-Eintrag hinzu, damit er bei jedem Systemstart automatisch gestartet wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe"
Der Wurm öffnet einen ftp-Port (5554) und scannt IP Adressen nach verwundbaren Systemen (TCP port 445.)
Im Security Bulletin vom 13. April 2004 werden auch noch diverse andere Sicherheitslücken angesprochen. Da der Wurm noch relativ neu ist liegen noch keine detaillierten Informationen vor. Neben den beschriebenen Symptomen sind auch noch andere "Auffälligkeiten" denkbar!
Betroffene Systeme:
* Microsoft Windows 2000 Service Pack 2 + 3 + 4
* Microsoft Windows XP und Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition
Hinweise zur Entfernung:
Eine Infektion lässt sich an einem laufenden Prozess avserve.exe (15,872 Bytes, PECompact gepackt) erkennen.
Zur Entfernung den Prozess über den Taskmanager beenden, die Registry bereinigen und die Datei löschen. Weiter Infos siehe Links zu den Herstellern von AV-Software. Das Herunterfahren sollte auf XP / 2k3 Systemen per Start -> Ausführen -> shutdown -a abgebrochen werden können!
Wichtig:
Alle potentiell betroffenen Systeme sollten unbedingt asap die nötigen Patches installieren!
microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm
Windows-Update durchführen um auch andere potentielle Lücken zu schliessen:
v4.windowsupdate.microsoft.com/de/default.asp
Weitere Infos:
www3.ca.com/threatinfo/virusinfo/vi...c.com/avcenter/venc/data/w32.sasser.worm.html
Quelle: http://www.chip.de/forum/thread.html?bwthreadid=631762
Seit heute Nacht (01.05.04) ist ein neuer Wurm im Umlauf, der wie seinerzeit "Blaster" eine bestehende Sicherheitslücke zur Verbreitung ausnutzt!
Name: Wurm Sasser.A
Infektion und Verbreitung:
Der Wurm nutzt eine Schwachstelle im LSASS Dienst (Local Security Authority Subsystem Service). Über einen Buffer Overflow ist es möglich beliebigen Code auszuführen. Eine Infektion des Systems endet im Beenden des Dienstes und einem Herunterfahren des Systems. Der Wurm erstellt ein ftp-Script und startet einen ftp-Server auf der Remote-Maschine (Port 5554). Der Wurm startet ftp.exe auf dem Zielsystem und lädt mit Hilfe des ftp-Scripts die Wurm-.exe herunter und speichert diese als "xxxx_up.exe" (xxx = vierstellige Zufallszahl) im Windowsverzeichnis. Der Wurm kopiert sich als avserve.exe in das Windowsverzeichnis (%Windows%) und fügt folgenden Registry-Eintrag hinzu, damit er bei jedem Systemstart automatisch gestartet wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe"
Der Wurm öffnet einen ftp-Port (5554) und scannt IP Adressen nach verwundbaren Systemen (TCP port 445.)
Im Security Bulletin vom 13. April 2004 werden auch noch diverse andere Sicherheitslücken angesprochen. Da der Wurm noch relativ neu ist liegen noch keine detaillierten Informationen vor. Neben den beschriebenen Symptomen sind auch noch andere "Auffälligkeiten" denkbar!
Betroffene Systeme:
* Microsoft Windows 2000 Service Pack 2 + 3 + 4
* Microsoft Windows XP und Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition
Hinweise zur Entfernung:
Eine Infektion lässt sich an einem laufenden Prozess avserve.exe (15,872 Bytes, PECompact gepackt) erkennen.
Zur Entfernung den Prozess über den Taskmanager beenden, die Registry bereinigen und die Datei löschen. Weiter Infos siehe Links zu den Herstellern von AV-Software. Das Herunterfahren sollte auf XP / 2k3 Systemen per Start -> Ausführen -> shutdown -a abgebrochen werden können!
Wichtig:
Alle potentiell betroffenen Systeme sollten unbedingt asap die nötigen Patches installieren!
microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm
Windows-Update durchführen um auch andere potentielle Lücken zu schliessen:
v4.windowsupdate.microsoft.com/de/default.asp
Weitere Infos:
www3.ca.com/threatinfo/virusinfo/vi...c.com/avcenter/venc/data/w32.sasser.worm.html
Quelle: http://www.chip.de/forum/thread.html?bwthreadid=631762
TheChoosen
Commodore Special
- Mitglied seit
- 07.02.2003
- Beiträge
- 437
- Renomée
- 0
danke@EDV-Zivi
hier werden sie geholfen
MFG TC
hier werden sie geholfen
MFG TC
Ähnliche Themen
- Gesperrt
