Jo hallo miteinander!
Ich hab mir dämmlicherweise den Sasser wurm eingefangen. Kurz die Firewall deaktiviert und schon war er drauf . Hab gedacht so schwer wirds ja wohl nicht sein denn wieder runterzubekommen. Habe die Tools FXsasser von Symantec, stinger von mcaffe, irgendein tool von MS ausprobiert, Antivir hat nix gefunden, SpybotS&D nix, adaware nix... ich kann zwar den countdown mit dem befehl shutdown -a beenden, aber das problem wird dadurch nicht gelöst. Ist das überhaupt der Sasser Wurm? Kein Program findet etwas aber trotzdem kommt dieser dämliche Countdown bei jedem neustart. Wie krieg ich denn wieder runter???
Vielen Dank gruss Nicu

Hallo,

Du solltest Dein Rechner Patchen und den Wurm manuell entfernen.Dies könnte Dir helfen.
http://www.trojaner-board.de/showthr...Wurm+entfernen

Hi,

du soltest dir das Microsoft Windows-Tool zum Entfernen bösartiger Software

runterladen !

hir kannst du es laden

http://www.microsoft.com/downloads/d...displaylang=de

Hallo,

ich habe hier noch etwas gefunden.Es könnte sich auch um den"Lovesan"/"Blaster"-Wurm handeln.Hier ein paar Links.

http://www.pctipp.ch/helpdesk/kummer...in2k/27265.asp

http://www.students.uni-passau.de/ds...m/blaster.html


http://erwin.bs.ni.schule.de/service...32blaster.html

Hi,

eben genau wo ich noch kein dsl hatte hatte ich auch immer Ärger mit

Blaster und Sasser aber seid dem ich dsl habe kommen die nicht mehr !!!

Edit: Aber mit dem Removal patch von Microsoft bekommst du die beiden weg !!

Mit dem zweiten Link von mir dürfte er keine Sorgen mehr haben.

Was haben die Würmer mit dsl zu tun? :roll:

hi,

wenn du dsl hast dann hast du auch meistens einen router und es gibt einen

gewisen port wo die Würmer rein kommen der ist bei den meisten router

gesperrt musst du dan öffnen !!

Zitat:

Zitat von bit_master

hi,

... und es gibt einen

gewisen port wo die Würmer rein kommen der ist bei den meisten router

gesperrt musst du dan öffnen !!

ich soll den Port öffnen,damit der Wurm rein darf?
Desweiteren hat der Wurm auch nichts mit dem Router zu tun,sondern hängt vom Betriebssystem ab.Besonders anfällig ist zudem der Port 135.Diesen muß man manuell schließen,wenn man keine vernünftige Abwehr auf dem Rechner hat.

hi,

also erstens meinte ich nicht das du ihn öffnen solltest ich meinte allgemein !

zweitens hängt das nicht nur von dem Betriebsystem ab aber au der port 80

soll gefährlich seien !!!

Naja, der port 80 ... wenn Du den sperrst, dann werden wir Dich hier im Forum nicht mehr begrüssen können, denn dieser wird vom Browser benutzt.

Die Würmer haben nichts mit DSL zu tun. Richtig ist aber, daß ein Router aufgrund der Hardwarefirewall den Rechner vor diesen Würmern schützt. Solange die Ports nicht freigegeben werden. Aber wer macht das schon?

Coop

Zitat:

Zitat von bit_master

aber au der port 80

soll gefährlich seien !!!

Sehr gefährlich,zumachen! und viel Spass.

Zitat:

Blaster und Sasser aber seid dem ich dsl habe kommen die nicht mehr !!!

Was hat DSL mit einem Wurm zu tun?Auch DSL-User fangen sich welche ein.

zum Problem vom @Nicu.Sein Virenscanner meldet nichts,diverse Tools jkonnten auch nicht helfen.
Wenn sein Scanner nichts meldet,woher weiss er das es ein Virus/Wurm ist?
Auch Probleme mit Software oder Hardware können einen Shutdown verursachen.
Und solange der User sich nicht meldet hat es ehh keinen Sinn sich auf Fehlersuche zu begeben.

m.f.g.

Das MS Tool zum entfernen bösartiger Software hab ich auch schon ausprobiert, hat auch nix gefunden. Ich vermutet das es ein Wurm ist weil zuerst eine Fehlermeldung von LSA oder so kommt und danach der Countdown das der Pc in 1ner Minute herunterfährt.
Das mit dem Blaster/Lovesan klär ich noch ab. Aber wenns der wäre, wieso meldet dann kein Scanner etwas?
Das mit dem Manuel entfernen probier ich auch noch, ich meld mich nochmal, schonmal danke an alle die sich gemeldet haben.
Gruss Nicu

Hi,

vielleicht ist dein Vierenscanner nicht auf dem neusten Stand deswegen

erkennt er den Virus auch vielleicht nicht !!!

lad dir doch einfach ma die neue AntiVir Verion runter hir:

http://www.freenet.de/freenet/comput...nloads/02.html

Fehlermeldung Absturz des Dienstes LSA Shell, Rechner fährt von alleine herunter und startet immer wieder neu.->> W32/Sasser

In einigen Links ist die Sprache von Patches.Wichtig ist dieser -> MS04-011_MICROSOFT_WINDOWS

Mache mal einen Online-Scan zb hier -> Trendmicro-Housecall
oder Online-Scan bei http://www.bitdefender.de

Oft hilft auch ein Scan mit Hijackthis
eine Anleitung steht hier im Forum.Ansonsten mal das Logfile posten.

In der Registrierung (Start -> Ausführen Hier REGEDIT eingeben) suchst du unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run den Eintrag avserve.exe/ avserve2.exe/ skynetave.exe/lsasss.exe/oder napatch.exe (je nach Variante und Betriebssystem)<-- das geht auch mit HijackThis,wenn die Einträge anwesend sind.

hier noch ein Entfernungstool Antisassar
oder SSRCLEAN

Anzumerken wäre noch Viren-,Wurmentfernung sollten im

Windows im abgesicherten Modus neu starten.Für Windows XP: Systemwiederherstellung deaktivieren. Dieser Schritt entfällt bei Windows 2000.

m.f.g.

Zitat:

Zitat von AgentCooper

Naja, der port 80 ... wenn Du den sperrst, dann werden wir Dich hier im Forum nicht mehr begrüssen können, denn dieser wird vom Browser benutzt.

Die Würmer haben nichts mit DSL zu tun. Richtig ist aber, daß ein Router aufgrund der Hardwarefirewall den Rechner vor diesen Würmern schützt. Solange die Ports nicht freigegeben werden. Aber wer macht das schon?

Coop

Hi,

da teuscht du dich aber gewaltig den bei mir ist der Port 80 gesperrt und

ihr begrüßt mich trotzdem !!!

Edit: screenshot von meinen Einstellungen ist auch dabei !!!

Hallöle, da bin ich wieder! War kurz in den Ferien =D

@immorb
Online Scan hat nix gefunden, die beiden anderen Tools auch nicht . In der Registry hab ich auch nix gefunden....
::
@bitmaster
Virenscanner ist auf dem neusten stand! Trotzdem findet er nix.


Hijackthis log folgt noch, net verbindung geht im moment nicht, (liegt wahrscheinlich am Provider.)

Gruss Nicu =D

Hier mal das Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 13:15:20, on 30.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Ahead\nero\nero.exe
C:\Dokumente und Einstellungen\Nicu\Desktop\hijackthis_199\HijackTh is.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecu...th.srf?lc=1031
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Workflow] Z:\Installs\Workflow.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
::
Könnte es sein das es was anderes ist als der Sasser wurm? Kein Programm meldet etwas, trotzdem fährt der PC ständig runter, die Sympthome sind die gleichen wie beim Sasser. Solange ich das netzwerkkabel ausgesteckt habe meldet sich nix. mhhh..

Gruss Nicu

@Nicu.
Dein Logfile ist auch sauber.

Zitat:

Zitat von Nicu

Könnte es sein das es was anderes ist als der Sasser wurm?

Die Möglichkeit hatte ich schon angesprochen.
Aber hier in einer Ferndiagnose den Fehler finden ist schwierig..
Auf dieser Seite ->> Windows - Shutdown / Start - Probleme und ihre Lösung. stehen einige Möglichkeiten beschrieben.
Da hier allgemein Windows besprochen wird,musste dir das für dich interessante raus suchen.

Zitat:

Solange ich das netzwerkkabel ausgesteckt habe meldet sich nix.

Also ohne Internetzverbindung wird der Shutdown nicht ausgeführt?
Defektes Kabel/ Netzwerkkarte?Einstellungen?
Wie gesagt,dann wird es schwierig.

m.f.g.

Zitat:

Zitat von immorb

Also ohne Internetzverbindung wird der Shutdown nicht ausgeführt?
Defektes Kabel/ Netzwerkkarte?Einstellungen?
m.f.g.

Ich mein, es ist gleich wie beim Sasser, solange das Internet nicht besteht/kein Kabel angeschlossen ist kommt absolut nix. Er läuft Supi und man kann alles machen was man will. Sobald das interet besteht kommt der Countdown und nach 1ner Minute fährt er herunter. Gleich wie beim Sasser.
::
Wenn ich keine möglichkeit finde diesen Wurm loszuwerden, Formatier ich das ganze. Ist wohl das einfachst...

Gruss Nicu

oki hab das Problem gelöst! Formatieren war die Antwort! Vielen dank an alle die mir probiert haben zu helfen.

Gruss Nicu