Wohl der Sasser Wurm:
Teilweise fahren die Rechner sogar herunter, temp.Abhilfe->
START-AUSFÜHREN- shutdown -a
Dieses ist höchstwahrscheinlich auf den Wurm Sasser zurück zu führen.
Dieser nutzt ne Lücke im Local Security Authority Subsystem Service (LSASS).
Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter
erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er
Code, der den eigentliche Wurm von bereits infizierten Systemen
nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein
FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf
eingehende Verbindungen lauschen. Sasser verursacht zudem – wie
seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des
LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst
innerhalb von 60 Sekunden führt.
Patch bei Microsoft:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htmwenn Windows runterfahren will shutdown -a
Prozess nennt sich *avserve.exe =Wurm -> Prozess beenden im Taskmanager
unter Prozesse*
Dann hat er wieder Seitenaufbau und kann Windows updaten, und
Removaltool bei Symantec o.ä.herunterladen
es gibt auch noch die möglichkeit über die registry das teil aus der
autostart rauszunehmen.
schlüssel auf der linken seite im regeditor
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
auf der rechten seite avserve.exe = %Windows%\avserve.exe löschen
Infolink für kunden
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_SASSER.A Bei NAI gibt es inzwischen ein Tool um den Wurm zu entfernen:
http://vil.nai.com/vil/stinger/direkter download:
http://download.nai.com/products/mcafee-avert/stinger.exe
Thema: Virus/Wurm mit W32-Wurmfehlermeldung - Bitte helfen! (Gelesen 1816 mal)
