Hallo zusammen
Ich hab ein Problem und weis nicht weiter
Bei mir fährt der Rechner immer wieder runter und startet sich wieder hoch. In den Abständen von 10 - 45 min.
Eine Meldung erscheint, in der eine "lsass.exe" erwähnt wir.
Kennt einer das Problem??
Gruß buo

Hi-hab das selbe Prob!

Es ist ein Wurm namens sasser....wie man dagegen was machen kann weiss ich noch nicht....aber ich sage dir bescheid wenn ich was raus gefunden habe!

Mfg Hardy_k

so löschen Sie alle infizierten Dateien:

- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG

Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"

Dann bearbeiten -suchen "avserve eingeben und die gefundenen einträge löschen(waren bei mir 2 direkt untereinander)

Computer neu starten und anschließend den Suchlauf von AntiVir.

Einträge im Autostart-Ordner checken und entferne diese gegebenenfalls.

Mfg Hardy_k

Hallo
so wie es aussieht hab ich ihn nicht mehr!?
Ich hab die neusten Patch von Windows heruntergeladen,
seit dem läuft der Rechner wieder ohne herunter zu fahren, und das jetzt schon gut 2 Stunden ;o)
Besten Dank
Gru0 buo

Hallo,
das hört sich ja schon gut an-trotzdem würde ich mal schauen ob die Wurm dateien bei dir dennoch vorhanden sind-bei mir waren sie noch da !
Falls bei dir auch rate ich dir sie Vorsichtshalber zu entfernen-man weiss ja nie!!

Mfg Hardy_k

Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.

Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.

Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.


Hier gehts zum Patch
-------------------------
Man sollte auch, wenn man keine Firewall hat die Windows integrierte Firewall aktivieren:

http://www.microsoft.com/germany/ms/sec ... owsxp.mspx

-----------------------------------------------------------------------------------------------------------
Wenn oder bevor man den Patch einspielen kann ein Fenster kommen, wie

Das System wird in 60 Sekunden heruntergefahren...

dann öffnet man die Eingabeaufforderung (Start-Ausführen-cmd) und tippt
shutdown -a ein. Außerdem sollte mein seinen Rechner nach dem sein Anti Vir geupdate hat noch einmal scannen.

-------------------------------------------------------------------------------------------------------------

Entfernungshinweise:

http://www.free-av.com/
- Mit AntiVir:


Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.

Bevor man scannt:
---------------------

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.
Start<Ausfuehren<msconfig reinschreiben < Systemstart ...den Haken raus vor avserve.exe ODER avserve2.exe
UND EVENTUELL EINE ...up.exe

DANN NEUSTARTEN UND SCANNEN

-----------------------------------------------------------------------------------------------------------------
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exE

Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.




Quelle: Antivir


MfG
Nikita

Hi,

ich habe das gleiche Problem, nur dass bei mir die Dateien avserve.exe usw nicht vorhanden sind
Auch in der Reg ist kein solcher Eintrag

Was soll ich machen ???

Danke,

Hallöchen,

mach doch einfach mal einen Onlinescan bei Trendmicro...

http://de.trendmicro-europe.com/consumer/products/housecall_pre.php

Bei Wurmbefall: mit dem Sasser
---------------------------------------

dann bitte die Eingabeaufforderung öffnen: (Start -> Ausführen )
und dort im Eingabefenster: shutdown -a eingeben! (deaktiviert das herunterfahren)

Removal-Tool
http://securityresponse.symantec.com/av ... .tool.html


Man sollte auch, wenn man keine Firewall hat die Windows integrierte Firewall aktivieren: http://www.microsoft.com/germany/ms/sec ... owsxp.mspx

Antivir.
http://www.free-av.com/

Alle <WindowsUpdates <machen....so wird die Sicherheitsluecke gestopft, sonst ist der Virus nach Entfernung gleich wieder drauf.

MfG
Nikita

Hallo!
Hatte das selbe Prob, dass mich gestern den ganzen Tag genervt hat. Danke für eure Hinweise, den Sasser B und C bin ich mal los.

Kann mir aber bitte einer sagen wie ich den Eintrag aus dem <msconfig <Systemstart wieder rausbekomme, auch wenns dort wahrscheinlich keine Auswirkungen hat. Wenn ich das Häckchen dort ausmache und ab dem nächsten Neustart dann wieder mit dem "Normalen Systemstart" starte, ist das Häckchen ja wieder an. Kann man den Eintrag denn nicht löschen?

Danke und ciao
Hannes

@Mercelli,

Du schreibst nicht , welchen Eintrag.
Aber wenn es die exe ist , die zum Sasser Wurm gehoert, so musst du sie auch in der Registry loeschen.


Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.

Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.


Entfernungshinweise:

- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.


- Manuell bei Windows 2000/ XP:
-----------------------------------------------------------------------------------------
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG


Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.

http://www.free-av.com/
Quelle: Antivir

MfG
Nikita

Hi nikita, danke für die schnelle Antwort. Ich habe vorhin wohl im falschen Registry-Ordner gesucht. Im .......\Run hab ichs endlich gefunden und rausgelöscht. Jetzt dürfte es passen

Ciao
Hannes

Hallo an euch PC-Gurus

Ich habe auf dem Rechner meiner Freundin beim AV-Scan merkwürdige/infizierte Dateien gefunden. Die waren mit einem gewissen Wurm "Francette.N" infiziert, allerdings meldete AV den Virus in einer Datei "Lsass.exe", was mich stutzig machte.

Als ich nach "Lsass.exe" gegoogelt habe bin ich auf eben diese Seite gestoßen, wie man diesen Sasser-Wurm loswerden kann.

Diverse automatische cleaner halfen nicht, also wagte ich mich an die manuelle desinfizierung nach HARDY_K's Anleitung.

Leider waren weder die avserve.exe noch die 5-stelligen Zahlen auf dem Rechner. Und im besagten Verzeichnis in der Registry auch nicht. Nur beim durchsuchen der Registry nach "avserve" hat er was gefunden, was ich dann auch brav gelöscht hab (wie empfohlen).

Dummerweise braucht der Rechner momentan schon 15 min um im Abgesicherten Modus zu starten, im normalen Modus will er sogar 20min haben.


Hab ich da was falsches gelöscht? Was habe ich falsch gemacht? Wird es noch ein morgen geben?

Ich würde mich freuen, wenn sich ein genialer und begndateter PC-Frühstücker meiner annimmt und mir einen kleinen Kurs in "NIcht-verzweifeln" gibt

Danke im VOraus,
Mateus

Hallo miteinander,

bin auch über Google auf diesen Beitrag gestoßen. Alles schön und Gut, aber was ist, wenn man den Prozess "Lsass.exe" zwar laufen hat, aber keinerlei der verdächtigen Dateien wie in diesem Thread beschrieben auf dem Rechner oder Registry vorhanden ist?

Danke und Gruß

Ben

@ bemar

so ist das bei mir auch gewesen...lsass.exe läuft im Hintergrund, aber keine der Hilfestellungen konnte wirklich "helfen", da die zu löschenden Dateien nicht wirklich da waren...(bis auf die eine und die verursacht vermtl, daß der Rechner jetzt die Hufe hochnimmt)

mateus