Uru RealLife Community

Hallo Klyx!

Sehr sehr großen Dank für die Info. Werde mich schleunigst dranmachen und deine Hinweise befolgen. Ein Virus/Wurm kann ich mir derzeit wirklich nicht erlauben.

Viele Grüße
Locutus

habbich windows updates von microsoft gezogen...müsste reichen und alles beinhalten, was mein pc zu seiner verteidigung braucht, odä?

Ja die Updates sind auch schon recht lange verfügbar. Wenn ihr alle drauf habt müsst ihr euch keine Gedanken um den Wurm machen. Guckt am besten immer regelmäßig nach ob es neue Updates gibt oder lasst das von WIN XP oder 2000 automatisieren.

Gruß Herados

Das besagte Update ist vom 12. April...
Wers noch nicht drauhat: Drauftun... Wir haben inerhalb von 30 Minuten alle unsere PCs in unserem Haus (UNI) gepatcht und seitdem ist es okay.

Wie gut das ich das so eingestellt hatte wer weiß wer weiß.Susi

Moin Loide,

Mich hats leider erwischt.
@Klyx, ich habe deinen Link und die darauf enthaltene Anleitung befolgt. Konnte aber keine Dateien mit dem Namen avserve.exe und keine Registry Einträge finden. Und trotzdem rebootet mein PC dauernd. Habe ich vielleicht eine spezielle Version des Wurms?

Naja, auf jeden Fall habe ich jetzt ein Backup von all meinen Daten vorgenommen. Das Treffen am 22. Mai ist auch nicht gefährdet, da hab ich sowieso schon lange eine Diskette gemacht.

Wenn der PC das nächste Mal rebootet, wird eine Neuinstallation von Win XP gemacht, darauf könnt ihr Gift nehmen. Ich bin denn halt die nächsten 48 Stunden nicht mehr online zu sehen und auch nur noch per Handy erreichbar.

Hallo Martin...

Es ist tatsächlich eine leicht andere Version... An der Uni hatten wir auch diese Sasser.a... die kommt aber nicht über AServe rein sondern via lSass.exe... Das ist aber ein Systemdienst.

Und das hier ist die Lösung:
http://www.microsoft.com/security/incident/sasser.asp
(Schritt 2 und 3)

Gruss
KlyX

Falls jemand von Euch den Wurm eingefangen haben sollte und nicht so gut mit der Entfernung/Änderung von Dateien sein sollte, dem kann ich dieses kostenlose Tool empfehlen. Dies soll den Wurm sicher beseitigen.
http://www.pcwelt.de/news/viren_bugs/39762/ Hier sind auch noch mals alle Infos zusammengetragen und verschiedene Links - unter anderem zu dem Tool - bereitgestellt.
Viel Glück, Coren

Unter dieser Adresse gibt es ein Beseitigungstool http://download.t-online.de/download/dn ... BidA/22107

Ferner habe ich noch dieses gefunden :
PC fährt einfach runter - verräterische Prozesse im Task-Manager
Mailwürmer wie "Netsky" und "Bagle" verstopfen vor allem das Postfach, "Sasser" hingegen macht das Arbeiten mit dem PC unmöglich. Auf infizierten PCs läuft im Hintergrund ein Prozess, der das System nach kurzer Zeit automatisch herunterfährt. Im ungünstigen Fall droht sogar Datenverlust auf der Festplatte. Ob sich "Sasser" auf dem PC eingenistet hat, lässt sich zum Beispiel einfach über den Taskmanager feststellen, aufzurufen mit der Tastenkombination Strg-Alt-Enf. Finden sich unter "Prozesse" die Einträge "avserve.exe" oder "avserve2.exe", ist Ihr System mit Sicherheit betroffen. Auch Dateien, deren Name mit einer beliebigen Zahlenkombination beginnt, gefolgt von "_up.exe", weisen auf den Virus hin. Ein einfaches Beenden der Tasks reicht leider nicht aus, den Schädling loszuwerden. Ohne weitere Maßnahmen würden die schädlichen Dateien beim nächsten Booten wieder aktiv.

@all
So, Zusammenfassung:
Wir haben zwei Sasser-Versionen.
a) die von mir beschriebene Variante welche die Datei "lsass.exe" befällt
b) die Variante von Coren beschrieben mit aserver.exe
Corens Artikel beschreibt die Entfernung der b)-Variante.
Bei der a)-Variante reicht das Aufspielen des Patchs damit der Wurm weg ist.

mmmmhhhh ....

Einige Worte eines erfahrenen Wurmjägers zum Thema Sasser und Konsorten (Blaster, Nachi, ...):

Diese "Würmer" nutzen im Gegensatz zu den Mail-Würmen wie Netsky, Bagle und Co (die einen dusseligen User zur Vermehrung brauchen), Sicherheitslücken im M$ Betriebsystemen, die in der Regel immer die gleiche Ursache haben: Programmierfehler durch M$

Durch unsauberes Programmieren in C++, kann es zu einem sogenannten Bufferoverflow kommen. (Zu sehr ins Detail möchte ich nicht gehen, aber soviel sei gesagt: Durch Übergabe von "zuviel" Daten ans Programm, wird der bestehende Programmcode durch die Daten überschrieben, die dann als Programmcode ausgeführt werden.)

Sasser, Nachi und Blaster nutzen Löcher, die schon seit Windows NT 4.0 (1997) und in allen darauf basierenden Betriebssystemen (w2k, wxp und w2003), weit offenstehen.

Der entsprechende Hotfix schließt diese Lücke und verhindert die Manipulation des Programmcodes.

Selbst der beste und aktuellste Virenscanner kann nichts gegen diesen Angriff tun wenn der Hotfix nicht installiert ist, er kann nur verhindern, daß der infizierte Rechner den Virus weitergibt.

Den besten Schutz hat man nur, wenn sowohl die Hotfixe als auch der Virenscanner stets up-to-date sind. Aber auch da ist Vorsicht geboten. Manche dieser Hotfixe verursachen wiederum selbst Störungen, so wie der Hotfix für Sasser, der in seiner ersten Version ganze Systeme lahmgelegt hat.


P.S. Es ist schon erstaunlich, daß diese Viren erst auftreten, nachdem M$ die Sicherheitslücken bekannt gegeben hat. Beim Blaster hat es noch 4 Wochen gedauert. Sasser hat es in 3 Wochen geschafft.


--------------------------------------------------------------------------
Gruß
T'tami
Ehrenmitglied der akaNULPo Wurmjäger

hallo klyx,

danke für deine warnung.

für ALLE die NICHT über WINDOWS ins netz gehen (linux, mac usw.), der virus/wurm ist laut news im tv, nur auf pcs mit WINDOWS schädlich (angabe aber ohne gewähr)

gruss maggie messer

Hi maggie

Kann ich bestätigen. Und bei Windows sind NUR NT- 2000- und xp-Systeme betroffen.

Hallo al Ihr Lieben URU und Myst Freaks.
Es ist eine leidige Sache mit diesen Viren!
Ich selbst Hoste auf meinen Rechnern die sonst für "Mysteri-House"
eingesetzt werden x Tausend E-Mail Adressen. Bedingt durch diese Sch..... Viren und Würmer werden zeitweilig meine Rechner mit bis zu 95% und mehr belastet, was zeitweilig sogar zum Zusammenbruch des Onlinespiels führt!
Wäre lieb wenn einer von Euch eine Idee hätte, wie ich die E-Mail Lawinen der User die bei mir Ihre E-Mail Adresse haben, zum stillstand bringen könnte!
Die Onlineuser von "Mysteri-House" wären euch ebenfalls dankbar, den es stört mächtig wenn beim online Chat lange Wartezeiten auftreten!
Also bitte seit so lieb und helft mir und den Usern, den da ich das Spiel ja Kostenlos zur Verfügung stelle, habe ich nicht endlos finanzielle mittel um ständig neue Rechner Online zu schalten um die Lawinen der „Würmer und Viren“ zu Bewältigen!
Besten Dank und Grüsse aus Mysteri-Hous und D’ni