Sasser-infiziert, aber kein tool findet ihn!?

  • #1
A

Ace_NoOne

Bekanntes Mitglied
Themenersteller
Dabei seit
07.04.2002
Beiträge
403
Reaktionspunkte
0
Ort
Germany
Hallo zusammen,

wie man am Titel unschwer erkennen kann, hab' ich ein Problem mit dem Sasser-Wurm: Der Computer ist eindeutig infiziert*, aber keines der aufgeführten tools kann den Wurm finden oder gar entfernen! Microsoft's Sasser Worm Removal Tool (KB841720) und Symantec's W.32Sasser.Worm Fix Tool (v1.0.3) melden sogar explizit, der Computer sei nicht infiziert. Die andern beiden Scanner, McAfee Stinger und Trend Micro's Damage Cleanup Engine, finden auch nix.
Tötet mich bitte nicht (Du hättest einfach regelmäßig das Windows-Update ausführen müssen, dann wäre es nie so weit gekommen!); es handelt sich nicht um meinen Computer (der ist nämlich geimpft ;p )!

Wäre nett, wenn mir jemand weiterhelfen könnte... Danke im Voraus!


* Wenn eine Internet-Verbindung hergestellt wird, erscheint früher oder später die Fehlermeldung, dass die LSA Shell abgestürzt sei, und kurze Zeit später startet der 60sek.-Countdown.
 
  • #2
Vielleicht eine neue Variante? Wie heißt denn die Wurmdatei, wenn du in den Task-Manager unter Prozesse schaust, dann sollte dir der aktive Wurm eigentlich auffallen.
In den meisten Fällen hatte er irgendwas mit serve im Namen und verursachte eine relativ hohe CPU-Last.
 
  • #3
An die Möglichkeit einer neuen Variante dachte ich auch schon - aber da müssten wir schon sehr viel Pech gehabt haben... !?

Im Task-Manager kann ich nichts Ungewöhliches entdecken, aber zur Sicherheit hier mal ein screenshot:
JonnieDoe-WTM.JPG

Der Vollständigkeit halber hier noch ein screenshot des Countdowns:
JonnieDoe-W32.Sasser.JPG
 
  • #4
Ich hab zwar keine Erfahrung mit AntiVir, aber ich würde sagen Antivir löscht ihn ohne was zu sagen und dann holst du ihn dir übers Internet neu! Und dann das ganze von vorn!

Installier erstmal den Patch!
 
  • #5
Boromir schrieb:
...Antivir löscht ihn ohne was zu sagen...
Zum Vergrößern anklicken....

Nee, soweit ich weiß wird zumindest drauf hingewiesen...ausser wenn die Einstellung deaktiviert wurde....
 
  • #6
Moin,

OK, dann gebe ich meinen Senf auch mal dazu ;)
Auch wenn die Meldung System herunterfahren kommt, heisst es nicht zwangsläufig dass der Rechner tatsächlich infiziert ist.
Ich hatte das in den letzten Tagen auf mindestens 30 Maschinen. Jedesmal kam diese Meldung, aber vom Virus war weit und breit nichts zu sehen. Ergebnis: Ist der Patch nicht installiert wird diese Meldung und der Shutdown durch einen einfachen Scan des entsprechenden Ports ausgelöst.
Das Ergebnis wurde mir von MS bestätigt und mit einem frisch installierten System konnte ich dies überprüfen. System neu aufgesetzt. nur Treiber und Patches (außer dem Sasser-Patch) installiert und dann einfach mal eine Internetverbindung hergestellt. Allerdings ohne auf eine Seite zu gehen oder Maisl zu holen. Einfach nur eine Online-Verbindung.
Und siehe da: Es hat keine 40 Sekunden gedauert und diese Meldung erschien.
 
  • #7
@Ronny:
Jo, und nach dem Reboot, der dann ausgeführt wird, ist dein Rechner infiziert bzw. fängt Sasser nach dem Reboot an, weitere Teile aus dem Netz zu laden.....

Cheers,
Joshua
 
  • #8
Auf welche Ports hat es Sasser denn abgesehen? Kannte bisher nur den 445er...
 
  • #9
Jo, und nach dem Reboot, der dann ausgeführt wird, ist dein Rechner infiziert bzw. fängt Sasser nach dem Reboot an, weitere Teile aus dem Netz zu laden.....
Zum Vergrößern anklicken....
Das stimmt wohl, aber wenn man es erst gar nicht zum Reboot kommen lässt ...... ;) ;D ;D

Auf welche Ports hat es Sasser denn abgesehen? Kannte bisher nur den 445er...
Zum Vergrößern anklicken....
5554, 9996, 445 und wenn ich mich nicht täusche, müsste es mindestens noch einen geben.
 
  • #10
Kann ich bestätigen, und ich dachte, das wäre ein Bug in einem internen Port-Scanner. ;D
 
  • #11
Der kommt ja schneller wieder aufs System als man ihn löschen kann :eek:

Kurzer Auszug aus meinem Logbuch (und heute isses noch recht ruhig...):

Freitag, 7. Mai 2004 12:21:54 Unrecognized access from 80.144.85.19:3409 to TCP port 445
Freitag, 7. Mai 2004 12:21:57 Unrecognized access from 80.144.85.19:3409 to TCP port 445
Freitag, 7. Mai 2004 12:26:57 Unrecognized access from 80.144.215.35:4234 to TCP port 445
Freitag, 7. Mai 2004 12:27:00 Unrecognized access from 80.144.215.35:4234 to TCP port 445
Freitag, 7. Mai 2004 12:27:06 Unrecognized access from 80.144.215.35:4234 to TCP port 445
Freitag, 7. Mai 2004 12:28:38 Unrecognized access from 211.74.225.116:4783 to TCP port 445
Freitag, 7. Mai 2004 12:30:52 Unrecognized access from 217.225.234.24:3384 to TCP port 445
Freitag, 7. Mai 2004 12:30:55 Unrecognized access from 217.225.234.24:3384 to TCP port 445
Freitag, 7. Mai 2004 12:31:01 Unrecognized access from 217.225.234.24:3384 to TCP port 445
Freitag, 7. Mai 2004 12:31:58 Unrecognized access from 80.224.119.225:1120 to TCP port 445
Freitag, 7. Mai 2004 12:32:00 Unrecognized access from 80.224.119.225:1120 to TCP port 445
Freitag, 7. Mai 2004 12:32:06 Unrecognized access from 80.224.119.225:1120 to TCP port 445
Freitag, 7. Mai 2004 12:33:36 Unrecognized access from 80.144.191.18:3503 to TCP port 445
Freitag, 7. Mai 2004 12:33:39 Unrecognized access from 80.144.191.18:3503 to TCP port 445
Freitag, 7. Mai 2004 12:33:45 Unrecognized access from 80.144.191.18:3503 to TCP port 445
Freitag, 7. Mai 2004 12:35:31 Unrecognized access from 80.144.168.143:3051 to TCP port 445
Freitag, 7. Mai 2004 12:35:34 Unrecognized access from 80.144.168.143:3051 to TCP port 445
Freitag, 7. Mai 2004 12:35:40 Unrecognized access from 80.144.168.143:3051 to TCP port 445
Freitag, 7. Mai 2004 12:41:06 Unrecognized access from 80.144.148.92:3283 to TCP port 445
Freitag, 7. Mai 2004 12:41:09 Unrecognized access from 80.144.148.92:3283 to TCP port 445
Freitag, 7. Mai 2004 12:41:15 Unrecognized access from 80.144.148.92:3283 to TCP port 445
Freitag, 7. Mai 2004 12:42:00 Unrecognized access from 80.144.191.18:3245 to TCP port 445
Freitag, 7. Mai 2004 12:42:03 Unrecognized access from 80.144.191.18:3245 to TCP port 445
Freitag, 7. Mai 2004 12:42:09 Unrecognized access from 80.144.191.18:3245 to TCP port 445
Freitag, 7. Mai 2004 12:44:28 Unrecognized access from 80.144.191.18:4293 to TCP port 445
Freitag, 7. Mai 2004 12:44:31 Unrecognized access from 80.144.191.18:4293 to TCP port 445
Freitag, 7. Mai 2004 12:44:37 Unrecognized access from 80.144.191.18:4293 to TCP port 445
Freitag, 7. Mai 2004 12:47:07 Unrecognized access from 80.164.71.240:2973 to TCP port 445
Freitag, 7. Mai 2004 12:47:10 Unrecognized access from 80.164.71.240:2973 to TCP port 445
Freitag, 7. Mai 2004 12:47:16 Unrecognized access from 80.164.71.240:2973 to TCP port 445
Freitag, 7. Mai 2004 12:49:19 Unrecognized access from 80.144.158.106:2167 to TCP port 445
Freitag, 7. Mai 2004 12:49:22 Unrecognized access from 80.144.158.106:2167 to TCP port 445
Freitag, 7. Mai 2004 12:49:28 Unrecognized access from 80.144.158.106:2167 to TCP port 445
Freitag, 7. Mai 2004 12:57:14 Unrecognized access from 80.144.25.1:2373 to TCP port 445
Freitag, 7. Mai 2004 13:00:17 Unrecognized access from 80.144.160.83:2537 to TCP port 445
Freitag, 7. Mai 2004 13:00:21 Unrecognized access from 80.144.160.83:2537 to TCP port 445
Freitag, 7. Mai 2004 13:00:28 Unrecognized access from 80.144.160.83:2537 to TCP port 445
Freitag, 7. Mai 2004 13:03:21 Unrecognized access from 80.144.42.7:3683 to TCP port 445
Freitag, 7. Mai 2004 13:03:24 Unrecognized access from 80.144.42.7:3683 to TCP port 445
Freitag, 7. Mai 2004 13:03:30 Unrecognized access from 80.144.42.7:3683 to TCP port 445
Freitag, 7. Mai 2004 13:06:56 Unrecognized access from 80.144.158.106:2151 to TCP port 445
Freitag, 7. Mai 2004 13:06:59 Unrecognized access from 80.144.158.106:2151 to TCP port 445
Freitag, 7. Mai 2004 13:07:05 Unrecognized access from 80.144.158.106:2151 to TCP port 445
Freitag, 7. Mai 2004 13:08:08 Unrecognized access from 80.144.191.18:2767 to TCP port 445
Freitag, 7. Mai 2004 13:08:11 Unrecognized access from 80.144.191.18:2767 to TCP port 445
Freitag, 7. Mai 2004 13:08:17 Unrecognized access from 80.144.191.18:2767 to TCP port 445
Freitag, 7. Mai 2004 13:12:54 Unrecognized access from 80.144.55.130:4177 to TCP port 445
Freitag, 7. Mai 2004 13:12:57 Unrecognized access from 80.144.55.130:4177 to TCP port 445
Freitag, 7. Mai 2004 13:13:03 Unrecognized access from 80.144.55.130:4177 to TCP port 445
Freitag, 7. Mai 2004 13:15:52 Unrecognized access from 80.15.123.17:4562 to TCP port 445
Freitag, 7. Mai 2004 13:15:55 Unrecognized access from 80.15.123.17:4562 to TCP port 445
Freitag, 7. Mai 2004 13:16:01 Unrecognized access from 80.15.123.17:4562 to TCP port 445
Freitag, 7. Mai 2004 13:22:17 Unrecognized access from 80.144.43.114:1779 to TCP port 445
Freitag, 7. Mai 2004 13:22:20 Unrecognized access from 80.144.43.114:1779 to TCP port 445
Freitag, 7. Mai 2004 13:22:26 Unrecognized access from 80.144.43.114:1779 to TCP port 445
Freitag, 7. Mai 2004 13:24:42 Unrecognized access from 80.144.160.83:4267 to TCP port 445
Freitag, 7. Mai 2004 13:24:44 Unrecognized access from 80.144.160.83:4267 to TCP port 445
Freitag, 7. Mai 2004 13:24:51 Unrecognized access from 80.144.160.83:4267 to TCP port 445
Freitag, 7. Mai 2004 13:25:12 Unrecognized access from 80.144.43.114:2990 to TCP port 445
Freitag, 7. Mai 2004 13:25:15 Unrecognized access from 80.144.43.114:2990 to TCP port 445
Freitag, 7. Mai 2004 13:25:21 Unrecognized access from 80.144.43.114:2990 to TCP port 445
Freitag, 7. Mai 2004 13:25:28 Unrecognized access from 80.144.57.128:1980 to TCP port 445
Freitag, 7. Mai 2004 13:25:31 Unrecognized access from 80.144.57.128:1980 to TCP port 445
Freitag, 7. Mai 2004 13:26:50 Unrecognized access from 80.144.57.128:1374 to TCP port 445
Freitag, 7. Mai 2004 13:28:26 Unrecognized access from 80.144.57.128:1206 to TCP port 445
Freitag, 7. Mai 2004 13:28:29 Unrecognized access from 80.144.57.128:1206 to TCP port 445
Freitag, 7. Mai 2004 13:29:14 Unrecognized access from 80.144.82.235:2530 to TCP port 445
Freitag, 7. Mai 2004 13:29:17 Unrecognized access from 80.144.82.235:2530 to TCP port 445
Freitag, 7. Mai 2004 13:29:23 Unrecognized access from 80.144.82.235:2530 to TCP port 445
Freitag, 7. Mai 2004 13:29:55 Unrecognized access from 80.144.223.44:3822 to TCP port 445
Freitag, 7. Mai 2004 13:29:58 Unrecognized access from 80.144.223.44:3822 to TCP port 445
Freitag, 7. Mai 2004 13:30:04 Unrecognized access from 80.144.223.44:3822 to TCP port 445
Freitag, 7. Mai 2004 13:30:28 Unrecognized access from 218.64.141.219:4049 to TCP port 445
Freitag, 7. Mai 2004 13:30:28 Unrecognized access from 80.144.164.46:3598 to TCP port 445
Freitag, 7. Mai 2004 13:30:31 Unrecognized access from 218.64.141.219:4049 to TCP port 445
Freitag, 7. Mai 2004 13:30:31 Unrecognized access from 80.144.164.46:3598 to TCP port 445
Freitag, 7. Mai 2004 13:30:36 Unrecognized access from 80.144.136.134:2429 to TCP port 445
Freitag, 7. Mai 2004 13:30:37 Unrecognized access from 218.64.141.219:4049 to TCP port 445
Freitag, 7. Mai 2004 13:30:37 Unrecognized access from 80.144.164.46:3598 to TCP port 445
Freitag, 7. Mai 2004 13:30:39 Unrecognized access from 80.144.136.134:2429 to TCP port 445
Freitag, 7. Mai 2004 13:30:45 Unrecognized access from 80.144.136.134:2429 to TCP port 445
Freitag, 7. Mai 2004 13:31:39 Unrecognized access from 80.144.180.71:3691 to TCP port 445
Freitag, 7. Mai 2004 13:32:07 Unrecognized access from 80.212.232.123:3532 to TCP port 445
Freitag, 7. Mai 2004 13:32:08 Unrecognized access from 80.144.223.44:3808 to TCP port 445
Freitag, 7. Mai 2004 13:32:09 Unrecognized access from 80.212.232.123:3532 to TCP port 445
Freitag, 7. Mai 2004 13:32:11 Unrecognized access from 80.144.223.44:3808 to TCP port 445
Freitag, 7. Mai 2004 13:32:16 Unrecognized access from 80.212.232.123:3532 to TCP port 445
Freitag, 7. Mai 2004 13:32:17 Unrecognized access from 80.144.223.44:3808 to TCP port 445
Freitag, 7. Mai 2004 13:32:18 Unrecognized access from 80.144.37.191:3823 to TCP port 445
Freitag, 7. Mai 2004 13:32:21 Unrecognized access from 80.144.37.191:3823 to TCP port 445
Freitag, 7. Mai 2004 13:32:27 Unrecognized access from 80.144.37.191:3823 to TCP port 445
Freitag, 7. Mai 2004 13:37:21 Unrecognized access from 80.144.172.133:2714 to TCP port 445
Freitag, 7. Mai 2004 13:37:24 Unrecognized access from 80.144.172.133:2714 to TCP port 445
Freitag, 7. Mai 2004 13:39:34 Unrecognized access from 82.157.11.39:3610 to TCP port 445
Freitag, 7. Mai 2004 13:39:36 Unrecognized access from 82.157.11.39:3610 to TCP port 445
Freitag, 7. Mai 2004 13:41:47 Unrecognized access from 80.144.215.35:1999 to TCP port 445
Freitag, 7. Mai 2004 13:41:49 Unrecognized access from 80.144.215.35:1999 to TCP port 445
Freitag, 7. Mai 2004 13:41:55 Unrecognized access from 80.144.215.35:1999 to TCP port 445
 
  • #12
PCDRonny schrieb:
Jo, und nach dem Reboot, der dann ausgeführt wird, ist dein Rechner infiziert bzw. fängt Sasser nach dem Reboot an, weitere Teile aus dem Netz zu laden.....
Zum Vergrößern anklicken....
Das stimmt wohl, aber wenn man es erst gar nicht zum Reboot kommen lässt ...... ;) ;D ;D

Auf welche Ports hat es Sasser denn abgesehen? Kannte bisher nur den 445er...
Zum Vergrößern anklicken....
5554, 9996, 445 und wenn ich mich nicht täusche, müsste es mindestens noch einen geben.
Zum Vergrößern anklicken....
Nicht ganz richtig - Sasser dringt ausschliesslich über Port 445 auf den Rechner ein und bentuzt die anderen Ports, wenn der dann mal aktiv ist, für seine Konnektivitäten nach aussen. Das einfache Sperren des Ports 445 verhindert also schon die Infektion des PC....

Cheers,
Joshua
 
  • #13
Na denn bin ich erstmal beruhigt 8)
 
  • #14
Ich nicht. Ich plage mich nun schon 3 Tage mit diesem Mistdings ab. Kaum habe ich ihn gelöscht, geht meine Internetverbindung nicht mehr. Nichts hilft. Verzweiflung. Neuinstallation. Ich rufe die Microsoftseite auf um das verf***** Patch zu laden, hab ich das Schwein schon wieder! Aaaaaaaaaaah
 
  • #15
Nu ja - vor Neuinstallation solltest Du Blasterpatch und Sasserpatch schon parat haben - und schalt doch mal die XP-Firewall ein - falls Du XP hast.....
 
  • #16
Auch wenn die Meldung System herunterfahren kommt, heisst es nicht zwangsläufig dass der Rechner tatsächlich infiziert ist.
Zum Vergrößern anklicken....
Naja, aber runtergefahren wird er ja (obwohl RESET eher zutrifft)!?

Das Hauptproblem momentan ist, dass ich den XP-patch nicht ziehen kann, weil der download über die Windows Update-Funktion zu lange dauert. Gibt's den denn irgendwo als einzelne Datei, sodass ich ihn bei mir ziehen und auf dem andern Computer installieren kann?
Danach können wir ja weitersehen - evtl. gibt's ja bis dahin auch schon ein entsprechendes removal tool, falls es sich bei uns tatsächlich um eine neuere Version handeln sollte...
 
  • #17
Wenn der Dialog System wird heruntergefahren aufpoppt, einfach Start => Ausführen => shutdown -a eingeben - schon hast du genug Zeit, deine Updates zu machen.

Btw würde dir -wie ani schon schrieb- die XP-Firewall weitere Plagegeister vorläufig vom Hals halten....

Cheers,
Joshua
 
  • #19
Joshua schrieb:
Wenn der Dialog System wird heruntergefahren aufpoppt, einfach Start => Ausführen => shutdown -a eingeben - schon hast du genug Zeit, deine Updates zu machen.
Zum Vergrößern anklicken....

Das nutzt aber leider nur bei XP, da W2k die shutdown.exe nicht hat!
 
  • #20
Dafür funzt der Befehl unter W2k ganz gut (mind SP4 vorausgesetzt). ;)
 
Thema:

Sasser-infiziert, aber kein tool findet ihn!?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben