Medien & Phantastik > Multimedia

Virus/Wurm mit W32-Wurmfehlermeldung - Bitte helfen!

(1/1)

the7sins:
Ich hab seit kurzem aus irgendeinem unerfindlichen Grund einen Virus oder Wurm, der mir den Computer runterfährt - mit der selben Meldung wie schon der W32 Wurm! Das W32 Suchprogramm, dass ich von damals aber noch habe, hat in nicht gefunden. Was neues also scheinbar ...
Hat jemand eine Ahnung, was für ein Dreck das ist?
Ach ja: Möglicherweise damit zu tun (nur so ein Verdacht) hat eine Datei namens "AVSERVE2.EXE", die seit neuestem am PC ist, sich nicht löschen lässt und bis vor meiner kürzlichen Umstellung auch im Autostart.
Danke im Vorhinein!
Simon

Sara Pink [DA]:
Wird dein PC denn einfach ohne Warnung runter gefahren, oder wird da vorher ein Countdown gezählt, oder wie geht das von statten.

Nightsky:
Wohl der Sasser Wurm:

Teilweise fahren die Rechner sogar herunter, temp.Abhilfe->
START-AUSFÜHREN- shutdown -a

Dieses ist höchstwahrscheinlich auf den Wurm Sasser zurück zu führen.
Dieser nutzt ne Lücke im Local Security Authority Subsystem Service (LSASS).

Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter
erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er
Code, der den eigentliche Wurm von bereits infizierten Systemen
nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein
FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf
eingehende Verbindungen lauschen. Sasser verursacht zudem – wie
seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des
LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst
innerhalb von 60 Sekunden führt.


Patch bei Microsoft:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm

wenn Windows runterfahren will shutdown -a
Prozess nennt sich *avserve.exe =Wurm -> Prozess beenden im Taskmanager
unter Prozesse*
Dann hat er wieder Seitenaufbau und kann Windows updaten, und
Removaltool bei Symantec o.ä.herunterladen

es gibt auch noch die möglichkeit über die registry das teil aus der
autostart rauszunehmen.

schlüssel auf der linken seite im regeditor
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

auf der rechten seite avserve.exe = %Windows%\avserve.exe löschen

Infolink für kunden
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_SASSER.A

Bei NAI gibt es inzwischen ein Tool um den Wurm zu entfernen:
http://vil.nai.com/vil/stinger/

direkter download: http://download.nai.com/products/mcafee-avert/stinger.exe

the7sins:
Ich dank euch allen herzlich und hab jetzt auch schon alles! Danke allen und F**K you, du wurmschreibender Bastard!

Navigation

[0] Themen-Index