Rechner gekidnappt?

[NenNetter 10]

Gegen Spyware hilft auch schon sehr gut Microsoft AntiSpyware ist zwar ne Beta, aber da sich Microsoft am besten mit dem System auskennt solltest du das auch noch mal rüberrutschen lassen

[Velius 10]

Wenn LSASS.exe abschmiert, dann ist sehr wahrscheinlich Sasser!

 

http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fSasser

 

When Win32/Sasser runs on a computer, it copies itself to the %WINDOWS% folder. In most cases, it adds a value to the registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. This value causes the worm to start when Windows is started.

Win32/Sasser acts as an FTP server listening on TCP port 5554. For each connection made on this port, the worm sends a copy of itself to that connected host using the file name <random number>_up.exe.

 

The worm generates random IP addresses using a certain logic and then sends the exploit shell code to these IP addresses on TCP port 445

 

 

Bist du sicher, dass dein Rechner nicht auf dem Port 445 hört, bzw. keine Verbindungen auf den Port 5554 unternimmt? :suspect:

Ausserdem kann ich mir schwer vorstellen, dass dein Rechner gepatcht ist, denn auch wenn Sasser auf einem gepatchten Rechner ist, es passiert Nichts.

 

Ausserdem würde micht interessieren, woher du das mit den Performance Countern hast....

 

 

Gruss

Velius

 

 

P.S.: Ausserdem folgendes:

 

Later variants of the worm may drop a variant of Netsky worm. Later variants may not infect Windows 2000 because they import IcmpSendEcho from IPHlpAPI.dll, which is not present in Windows 2000.

 

...will heissen, dass durch Sasser auch andere Viren angezogen werden können!

 

IMPACT OF ATTACK: Remote Execution of Code

 

...soll bedeuten, dass auf einem kompromitierten System weiterer Code ausgeführt werden kann (was bei Windows XP zugegebenermasen schwer fallen dürfte, da der Rechner nach einer Minute neu startet).

[Haremhab 10]

Wenn LSASS.exe abschmiert, dann ist sehr wahrscheinlich Sasser!

 

http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fSasser

 

 

 

 

Bist du sicher, dass dein Rechner nicht auf dem Port 445 hört, bzw. keine Verbindungen auf den Port 5554 unternimmt? :suspect:

Ausserdem kann ich mir schwer vorstellen, dass dein Rechner gepatcht ist, denn auch wenn Sasser auf einem gepatchten Rechner ist, es passiert Nichts.

 

Ausserdem würde micht interessieren, woher du das mit den Performance Countern hast....

 

 

Gruss

Velius

 

 

P.S.: Ausserdem folgendes:

 

 

 

...will heissen, dass durch Sasser auch andere Viren angezogen werden können!

 

 

 

...soll bedeuten, dass auf einem kompromitierten System weiterer Code ausgeführt werden kann (was bei Windows XP zugegebenermasen schwer fallen dürfte, da der Rechner nach einer Minute neu startet).

 

 

guten morgen

 

noch wach?

 

port 445/5554 ...hmmm schwierig zu sagen. ich scanne ja regelmäßig die tcp-ports bis 65000 hoch. es wurde bis jetzt kein offener port gemeldet, kann natürlich sein, dass da irgendetwas temporär diese ports geöffnet hat, aber was, wenn ich den rechner regelmäßig nach trojanern usw scanne (vorallem das windows verzeichnis)? ich habe alle patches installiert gehabt. oder nutzen diese gar nix. weißt du ob es für diesen sasser ein patch gibt, welche nummer soll es sein, dann kann ich mal checken ob ich das update schon drauf hab. das wäre ein ding , wenn ich ein update verschlafen hätte! zur info habe winxp prof +sp1.

 

das mit perf-counters muß ja nicht unbedingt damit zusammenliegen. ich habe nun an diesen gearbeitet als dieser absturz kam: hier die adresse.

http://www.eventid.net/display.asp?eventid=2002&eventno=648&source=PerfNet&phase=1

auch mit datei-druckerfreigabe herumexperimentiert, wie es dort empfohlen wird, jedoch habe ich es nie aktiviert (in form des häckchens!)

[Velius 10]

Ja, noch wach ;)

 

Steht doch im Link, einfach bei MS nach MS04-011 (Name des Sicherheits Bulletins) suchen, und du hast ihn, oder aber auf den Link klicken......

 

 

Nur weil der Rechner beim Port-Scannen keine Antwort auf dem Port 445 gibt, muss das nicht viel bedeuten, denn Sasser sendet einfach. Spätere Varianten wie E und F machen vorher zuerst ein ICMP Echo (ping), und dann wird der Code gesendet. Das führt zum Pufferüberlauf, und man hat damit "Root" Rechte auf dem Rechner......etc. bla. usw.

 

 

Kuck erst mal nach, ob du diesen Patch hast.

 

 

 

Gruss

Velius

[Haremhab 10]

habe diese seite gefunden

http://www.microsoft.com/germany/technet/servicedesk/bulletin/bulletinms04-011.mspx

 

 

und auf meinem rechner habe ich xp-hofix mit der bezeichnung KB835732 installiert, wie passt das zusammen? wenn ich den link in der systemsteuerung/software drücke komme ich auf die seite

http://support.microsoft.com/?kbid=835732

 

[Velius 10]

Hmmmm, das ist schon der Patch, der die Sasser Lücke stopft...

 

 

Du musst irgend ein anderes Problem haben mit dem Rechner. Mit Spyware hat das wohl nicht viel zu tun, das geht meiner Meinung nach eher Richtung Viren.

[*Cat* 19]

@Haremhab

 

ich empfehle dir nen NATrouter und wenn da noch mist durchkommt nen anderen Browser.

 

lg Cat

[humpi 11]

hi,

der sasser wurm wird nicht durch einen virenscanner gefunden. da musst du den patch einspielen.

sonst wird dein system immer wieder runtergefahren, weil lsass.exe beendet wird.

Die Datei "lsass.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei lsass.exe um einen Virus, Spyware, Trojaner oder Worm.

bei xp ist doch eine firewall dabei. nutze sie!

 

gruss humpi

[Velius 10]

@humpi

 

Stimmt leider nur teilweise. Sasser kann sehr wohl von Scannern gefunden werden, aber nur wenn er sich lokal auf den Rechner kopiert hat.

 

Sasser bringt den Rechner bei lokaler Infektion, als auch über das Netz zum Absturtz, wenn nicht gepatcht wurde. Eine Firewall ist deswegen nur Teil einer Lösung.

[humpi 11]

@velius

Da hast du recht.

Vielleicht habe ich mich unklar ausgedrückt. Der Sasserwurm wird zwar von einem Virenscanner gefunden, aber beim nächsten Besuch des Internets wird der Rechner trotzdem wieder runtergefahren. Er kommt ohne Patch wieder und beendet lsass.exe. Aufhalten kann man das runterfahren aber mit shutdown /A. Meistens jedenfalls.

Bei mir hat es nur geholfen, den Patch einzuspielen, um diese Sicherheitslücke zu stopfen. Trotz Firewall, Virenscanner und Stinger.

[Nonaminus 10]

Bei den vielen Problemen gibt es eigentlich nur eins: Neu aufsetzen.

 

Wer weiss, ob du alle Viren und Adwares wirklich findest.

[Haremhab 10]

@Haremhab

 

ich empfehle dir nen NATrouter und wenn da noch mist durchkommt nen anderen Browser.

 

lg Cat

 

 

als dies passiert ist, war der IE ja gar nicht geladen, aber activeX war installiert, also "on", habe jetzt alles auf off eingestellt. zur info ich nutze den IE so gut wie nie. bin netscape/mozilla fan ;)

[WSUSPraxis 48]

ich habe das Problem auch nur mit Kalvsys ?

 

 

Kein Sasser oder so ? Wie bekomme ich das weg ???

[Haremhab 10]

Hmmmm, das ist schon der Patch, der die Sasser Lücke stopft...

 

 

Du musst irgend ein anderes Problem haben mit dem Rechner. Mit Spyware hat das wohl nicht viel zu tun, das geht meiner Meinung nach eher Richtung Viren.

 

 

aber wie passt das zur der medlung? mit dem plötzlichen runterfahren des rechners, du sagst ja selbst, wenn man den patch hat, kann das nicht mehr passieren, ich hatte den patch drauf und es ist passiert! gibt es denn ein ms-tool der nach fehlenden patches scannen kann, möglichst offline?

 

aber schau mal noch mal diesen link an:

http://support.microsoft.com/?kbid=835732, das gibt mir dieser patch in der sys-steuerung/software als link an, dort steht aber unter Windows XP:

 

840997 You cannot view enhanced metafile format graphics files (or EMF image files) that were created in Adobe Illustrator. was soll denn dieser mist? jetzt bin ich völlig perplex.

 

und schau dir diese seite an:

http://www.microsoft.com/germany/technet/servicedesk/bulletin/bulletinms04-011.mspx

mit der bezeichnung>> Microsoft Security Bulletin MS04-011

Sicherheitsupdate für Microsoft Windows (835732)! du siehst die nummern stimmen überein! warum gibt mir dann dieses installierte patch einen link der völlig auf ein anderes thema leitet, habe ich vielleicht mit dem installierten 835732, diesen 840997 installiert? :shock:

 

was gibt er denn bei euch an (wasfür einen link in der system-steuerung7software) kann das mal einer von euch checken?

[Haremhab 10]

hi,

der sasser wurm wird nicht durch einen virenscanner gefunden. da musst du den patch einspielen.

sonst wird dein system immer wieder runtergefahren, weil lsass.exe beendet wird.

Die Datei "lsass.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei lsass.exe um einen Virus, Spyware, Trojaner oder Worm.

bei xp ist doch eine firewall dabei. nutze sie!

 

gruss humpi

 

also die datei befindet sich im ordner system32

mit der dateiversion 5.1.2600.1106/LSA Shell (Export Version)/© Microsoft Corporation. All rights reserved.

 

die xp-firewall ist ziemlich schwach, deshalb bin ich auf agnitum/outpost umgestiegen. ihr müßt wissen (bis jetzt) war ich auch ein anhänger von " ein gut gepflegtes sys brauche keine firewall" >alle unnötigen prozesse, ports schließen und patches drauf, das wäre die beste firewall! so irrt man sich!