**SASSER_Wurm Entfernung**

Für alle die noch nicht genau wissen wie man "SASSER" los wird
Löschen des Wurms:

* Trennen Sie den Rechner vom Internet
* Starten Sie den Rechner neu, notfalls im "Safe-Mode"
* Drücken Sie CTRL+ALT+ENTF
* Öffnen Sie den Task Manager
* Wechseln Sie zur Ansicht Prozesse
* Halten Sie die STRG-Taste gegrückt und markieren Sie die folgende Prozesse: C:WINDOWS\avserve.exe bzw. avserve2.exe bzw.SKYNETAVE.EXE und c:WINDOWS\system32\*_up.exe (* meist 5 zahlen , z.b. 12345)
* Klicken Sie auf "Task beenden"
* Suchen und löschen Sie folgende Dateien: C:WINDOWS\avserve.exe bzw. avserve2.exe bzw. SKYNETAVE.EXE und C:WINDOWS\system32\*_up.exe (* meist 5 zahlen , z.b. 12345)
* Klicken Sie auf Start, dann auf "Ausführen" und geben ein: regedit32
* Danach OK
* Im Registrierungseditor löschen Sie bitte den folgenden Eintrag: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "avserve.exe" = C:WINDOWS\avserve.exe bzw. avserve2.exe bzw. SKYNETAVE.EXE

Danach UNBEDINGT windows-updates einspielen ! der passende patch ist mit darunter seit 2 wochen.

 

Ich erinnere mich an das PC-Welt-Forum (meine letzten Besuche sind über ein Jahr her) als eines, das mir immer hilfreiche Antworten gab, und in dem irrelevante Diskussionen wie diese Merkmale einiger weniger berühmt-berüchtigter User waren.

Reißt euch zusammen! Ich sehe unüberlegte auditive Aussagen auf der Straße ein, aber verbal-brutale Auseinandersetzungen in diesem einst zivilisiertem Forum müssen nicht sein. Eine einfache Antwort oder ein Hinweis ohne Spott reicht doch, oder?

 

Wichtiger Hinweis!

Neben SASSER nutzen auch andere Schädlinge, z.B. einige Gaobot-Versionen und der sogenannte "Phatbot" die LSASS-Lücke.
So ist es möglich, dass nach erfolgreicher Infektion mit SASSER ein ebenfalls eingefallener Gaobot die von SASSER installierte Remote Shell schließt. Dadurch wird SASSER (und somit auch der andere Schädling) später oder gar nicht bemerkt (wegen des fehlenden Traffics, der sonst von diesem PC ausginge) und eine verstärkte Kompromittierung und Verhinderung des Installierens von MS-Patchen wäre die Folge!

 

*immer diese meggorsägge hier....

 

@ Blue Devil
Bei Virenbefall werde ich immer format c: empfehlen, bis es jeder kapiert hat(auch Du)

 

Hehe, war bei einem Arbeitskollegen, der Blaster, da hab ich natürlich keinen kostenpflichtigen Scanner wie KAV eingesetzt...

MfG
Vimes

 

Bei mir hat KAV angeschlagen

Ich sehe das genauso; allerdings sollte man dazu auch frische Backups bereithalten.

Hier ist aber der Knackpunkt; viele User sind mit dem Erstellen von Backups, sowie mit dem Update ihrer Systeme leider(!) arg nachlässig, wie man dies in vielen Foren erlesen kann.

 

Naja, Manne07 hat aber genauso wie Steele recht mit Format C: - wie will man sicher sein, ob man wirklich alles erwischt hat, was es sich im System gemütlich gemacht hat? (Ohne behaupten zu wollen, daß ich davon so viel verstehe wie die beiden, leider nicht... ) Das Sicherheitsrisiko würde ich nicht eingehen wollen, auch wenn ich aus Prinzip keine Passwörter, Kreditkartendaten o.ä. auf meinem Rechner speichere.
Ich hab früher auch gedacht, ist doch affig, den Rechner neu aufzusetzen, aber mittlerweile denke ich anders. Hab's schon erlebt, daß trotz offensichtlichen Wurmbefalls (Blaster) sämtliche von mir eingesetzten Scanner absolut nichts gefunden haben. Und der Blaster WAR drauf... typische Botschaft usw.!
Nein, da hilft wirklich nur noch Festplatte plattmachen und alles neu drauf.

MfG
Vimes

 

@manne07

Laß die Beiden doch ihren Kampf austragen,warum nicht ?

Das Du wieder format C: raushaust,war klar !

@Steele u. bond7

Im Grunde genommen habt Ihr beide Recht,also Jungs kept cool !

Bleiben wir Doch dabei ,wer zur rechten Zeit sein System patcht,
ist klar im Vorteil !



Gruß

 

Mach ich ja. Ich recherchiere erst gründlich. Darum finde ich bei dir ja auch Fehler.

Spatzl, wenn ich das täte, wärst du der erste, der darunter zu leiden hätte. Glücklicherweise bin ich ein ausgeglichener, humorvoller und nur bisweilen sarkastischer Mensch.
Darum bussi bussi und nu sei wieder lieb.

 

ja egal...hast ja ehh immer an allem was rum zu kritisiern....mach du?s doch besser?!....achnee, du erschlägst ja erst jeden, bevor du ihm hilfst

mit dem sp2 hast ja nichmal unrecht, das teil ist nicht betroffen wegen sasser.

 

Nö. Denn jetzt, wo du deinen fehlerhaften Tipp editiert hast, wirkt es natürlich zusammen mit der Kritik etwas...seltsam.
Aber zum Glück muss man ja nicht so kompliziert vorgehen wie von dir vorgeschlagen. Es gibt ja super tolle Removal-Tools und 1a-Virenscanner und überhaupt kann einem mit Desktop- oder XP-Firewall oder dem RC1 vom SP2 gar nichts passieren.
Die fehlenden 10 IRONIE-Tags dürfen nach Belieben gedanklich ergänzt werden.
Manchmal erinnerst du mich an die frühe Phase unseres Killermasters formerly known as Rapmaster.

 

@bond7
warum diesen Aufwand, wenn wie schon von Steele empfohlen, das System neu aufzusetzen ist, das heißt für mich: format c: und nichts anderes. Wer das nicht tut, ist selber schuld.

 

nö....
besser so (siehe oben) ?

 

Du kopierst hier also wissentlich unvollständige Tipps rein in der Hoffnung, jemand werde dich korrigieren. Diejenigen, die das in der Zwischenzeit befolgen und dabei Fehler machen, sind dir also egal?

 

das ist nur ausn anderen portal abkopiert gewesen und das dort avserve2.exe ect. nicht berücksichtigt ist weiss ich.....aber das hast du eben gemacht (ich wusste das das einer macht).
zumindestens ist das nee für jeden verständliche erklärung.

 

Dein Tipp ist unvollständig. Du berücksichtigst nicht, dass SASSER.B und C als avserve2.exe und SASSER.D als SKYNETAVE.EXE in Erscheinung treten.
Ebenfalls fehlt der Hinweis darauf, dass ein kompromittiertes System als nicht mehr vertrauenswürdig zu gelten hat und daher neu aufzusetzen ist.