sasser! datei netskyave.exe kann nicht gelöscht werden!!!

hallo!

ich hatte natürlich auch den sasser auf meinem rechner! jetzt hab ich ihn eigentlich wieder unten! das problem ist folgendes:
in meinem system gibt es immer noch eine datei mit dem namen netskyave.exe !!! die datei ist bei jedem neustart da und lässt sich nicht löschen! weiß jemand einen rat? die datei führt immer zu einer cpu-auslastung von 100%. kein virenscanner zeigt mir mehr einen virus an und ich hab mittlerweile eigentlich auch die packs installiert die gegen sasser helfen sollen!

bitte helft mir und sagt mir wie ich diese datei löschen kann!

gruss

 

netskyave.exe scheint doch eine datei von sasser d zu sein!

mehr dazu hier http://www.securityfocus.com/archive/100/362136/2004-05-02/2004-05-08/0

 

sorry war gestern krank daher konnte ich mich hier nicht so beteiligen! es handelt sich laut norten um eine version von sasser c!!! die blöde datei konnte ich nun endlich nach dem 10 versuch löschen und sie scheint weg zu sein. kein virenprogramm zeigt mir noch einen virus oder so und auch mit adaware kommt keine meldung zu komischen dateien!

jetzt kann ich wenigstens meine daten brennen und dann werde ich das wochenende nutzen und meinen rechner neu aufsetzen!

man lernt ja nie aus!!! :-)))

vielen dank an euch alle! waren echt gute tipps dabei!

 

Habe das Problem gelöst! Es lag daran, dass das Tool woh lden DHCP-Client Dienst auf Manuell gestell hat. Nach einer Umstellung auf Automatisch, konnte er gestartet werden und alles funktioniert wieder!

 

Wendet euch dann bitte wegen meinem Problem an diesen Thread: (Da stehen die Antworten auf eurere Fragen)
http://forum.pcwelt.de/showthread.php?s=&threadid=124388

 

Da scheint was dran zu sein, siehe bei Heise: Phatbot als blinder Passagier

Neue Phatbot-Varianten verbreiten sich mit einem neuen Trick: Sie benutzen den Sasser-Wurm als Transportmittel, um neue Rechner zu infizieren

 

Mal abgesehen davon, dass deine Frage und dein Problem nichts mit dem Thread zu tun hat, in dem du es gepostet hast, hätte ich folgende Fragen:
Mit welchem Parameter hast du das Script ausgeführt?
Welche Datei wird als fehlend angemeckert? Etwa SC.EXE?
Hast du die in der Checkliste als vom User manuell zu erledigenden Dinge bereits erledigt?
Hast du den Abschnitt BEKANNTE PROBLEME gelesen?

 

.

XP neu aufsetzen und nicht das script verwenden .

 

Hallo,

Nach der neulichen Sasser Wurm Attacke, die von mir beseitigt wurde, habe ich das svc2kxp.cmd Tool installiert von der recht bekannten Seite: http://www.ntsvcfg.de/
Ich habe schon immer ein kleines Netzwerk gehabt mit einer gemeinsamen Internetverbindung. Nun aber funktioniert sie nicht mehr, denn wenn man die Freigabe aktiviert nach...
- Eigernschaften der DFÜ-Verbindung > Erweitert > Hacken bei Gemeinsame nutzung... > Lanverbindung gewählt (eine von 2 Netzwerkkarten) und dann OK.

...erscheint diese Fehlermeldung:

"Gemeinsam genutzter Zugriff kann nicht aktiviert werden"
Fehler 2: Das System kann die angegebene Datei nicht finden.

Möglicherweise liegt es an irgendwelchen deaktivierten Diensten und ich habe schon machnce von deaktiviert/manuel auf automatsich umgestellt, doch hat dies nichts gebracht.
Bitte helft mir, da ich wirklich nicht mehr weiß was man noch tun könnte! Vielen Dank im Voraus!

 

Hallo!

Prüf diese Datei bitte, wie bereits vorgeschlagen, einmal hier:

http://www.kaspersky.com/de/remoteviruschk.html

Dann lässt sich ggf. auch der Infektionsweg nachvollziehen.

 

Könnte sich auch um eine neue Netsky-Variante handeln. Wobei angeblich sogar ein Zusammenhang zwischen Netsky und Sasser vermutet wird:

http://www.netzeitung.de/internet/viren/284830.html

Ich würde die fragliche Datei auch mal an einen der Antivirenprogramm-Hersteller senden. Vielleicht können die dir was genaueres über die Datei sagen. Z.B. hier bei F-Prot:

http://www.f-prot.com/virusinfo/submission_form.html

Mfg Manni

 

Der Dateiname könnte evtl. auch auf eine neue Variante dieser Art hinweisen:
http://www.infoweek.ch/news/NW_single.cfm?news_ID=8711&sid=0

 

Eben drum.

 

Nicht so schnell aufgeben..! Sende erstmal den Schädling an Steele bevor du ihn vernichtest. Möglich dass da was NEUES mit Seltenheitswert unterwegs ist.

Beschaffe dir mal von Sysinternals die Software "Autorun", die listet recht übersichtlich alle Autorun Einträge. Die Resultate in einer Textdatei speichern und hier posten. Unter View "Show all locations" aktivieren.

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Grüße
Wolfgang

 

Ich würds machen - natürlich nicht die Mails gleich danach öffnen, sondern warten, was bei dieser Variante (wenn es eine ist) herauskommt. Bei Sasser gehe ich mal davon aus, dass der Wurm nicht über eine Mail kam. Kann natürlich sein, dass gleich mehrere Würmer auf dem PC wüten.

 

Bisschen spät, sich JETZT Gedanken um Backups zu machen.
Ein Backup sollte nur noch von Dateien gemacht werden, die NICHT ausführbar oder scriptfähig sind, also reine TXT-Dateien, Bilder, pdf- oder RTF-Dateien.
EXE, COM, DOC, BAT, PIF, SCR, DLL, JS, VBS, SHS, CPL usw. sind tabu. Ebenso Mails, ZIP, RAR.

Mich würde noch immer die fragliche Datei interessieren.
Ich persönlich schätze, dass sich jemand den SASSER.D geschnappt und den Code geändert hat.

Nachtrag:
Ein Backup von Mails zum jetzigen Zeitpunkt wie von PK empfohlen, ist keine gute Idee.
Die Schritte sind wie schon mal verlinkt, unter http://sasser.klaffke.de beschrieben und gelten auch in diesem Fall.
Ausführlicher beschrieben sind sie hier:
http://oschad.de/wiki/index.php/Kompromittierung

 

Gehen Sie lieber auf Nummer sicher und machen Sie nur Backups von den wichtigsten Dokumenten/Linksammlung/Mails etc - da kann der Wurm nicht auf den Rohling gelangen. Wenn Sie die Festplatte komplett formatieren ist auch der Wurm platt.

Gleich nach der Installation und vor der ersten Verbindung ins Internet die integrierte Firewall einschalten, dann kann Sasser erst gar nicht erneut auf ihren Rechner gelangen. Dann die ganzen Updates drauf.

 

ich glaub ich geb auf und mach den spass mit format!!! dann ist es wenigstens weg oder können noch rückstande bleiben?
was mach ich mit meinen daten? brennen geht ja nicht oder da der wurm (wenn es einer ist) auch mitkommt oder?

 

Jepp - sasser.d kann es nicht sein. Ich versuche auch grade rauszufinden, ob vielleicht eine neue Variante unterwegs ist. Eine Neuinstallation wäre durchaus empfehlenswert...

 

Das Löschen dort wird nichts nützen. Offenbar ist es nicht SASSER.D. Das bedeutet, dass man mit weiteren Kopien und Startoptionen sowie anderen Schadfunktionen rechnen muss. Der Rechner ist kompromittiert und sollte neu aufgesetzt und laut www.ntsvcfg.de abgesichert werden.