böser Sasser

ponguin · Mitglied Angemeldet: 18.10.2004 Beiträge: 214

Hi, ja, ich hab ein großes Problem, mit dem ich leider nicht fertig werde und deshalb Hilfe suche.
Ich habe einen Sasser-Wurm drauf, der bis jetzt 2mal formatieren überlebt hat. Außerdem habe ich schon alle Sasser-Entferner ausprobiert die ich finden konnte, aber keiner konnte ihn überhaupt finden. Die Symptome für eine Sasser-Infektion sind eindeutig, also habe ich für das Versagen der Entferner auch keine Erklärung.
Zu den Symptomen: Erst habe ich nur bemerkt, dass der PC recht langsam wurde, vor allem beim Rendern und beim Spielen (logisch.... Weinen

). Dann habe ich mal die Prozesse nachgesehen und fand dort den Prozess "LSass.exe" und einige andere mir unbekannte, von denen im Laufe der Zeit immer mehr aufgetreten sind (auch prätestinierend für diesen Wurm, soweit ich weiß). Diese Prozesse konte ich bis jetzt dem Sasser zuordnen: Smss.exe ; Csrss.exe ; SVCHost.exe (der hat sich gleich mehrmals vermärt und ist mitlerweiler gleich vier mal zu finden; davon zweimal als Systemprozess, einmal als Netzwerk und einmal als lokaler Dienst).
Das besondere an einem der SVCHost-Systemprozesse ist, dass wenn man versucht ihn zu beenden dieses tolle kleine Fenster auftrit, in dem einem erzählt wird, dass der PC in einer Minute neugestartet wird. Ich habe auch mal irgendwo gelesen, das dieses Fenster immer erscheint, wenn man einen Sasser draufhat.
Da die Festplatte und RAM wohl eindeutig leer sein müssen, kann es eigentlich nur noch sein, dass er sich in einer Spur oder im Masterbootrecord festgesetzt hat. (Das ist jetzt nur von einem Spezialisten nachgeplappert, der auch schon davor verzweifelt ist Traurig

; ich habe weder eine Ahnung, was und wo ein Spur ist und was der Masterbootrecord ist Geschockt

)

cain. · Verfasst am: 10.01.2005, 16:41 Titel:

Ähm... ich glaube kaum dass er sich im MBR oder in einer Spur festgesetzt hat, denn das formatieren lköscht die Festplatte auf quasi mechanischem Wege, und da ist es relativ egal wie die einsen und nullen an der Stelle angeordnet sind Winken

und nun ja, im MBR sind sage und schreibe 512 Byte Platz. Und der wird bei einer Formatierung afaik auch gelöscht - außerdem glaube ich kaum dass zu den Wurm auf 512 Byte beschränkt kriegst, vor allem weil er sich den Platz mit den Bootinformationen teilen muss. Und ein Bootvirus, der sich tatsächlich im MBR festsetzt, ist Sasser nicht - er zeigt auch gar nicht die Charakteristiken eines Bootvirus.

Und das SVChost ein Virus sein soll, glaube ich kaum, es ist vielmehr ein essentieller Bestandteil deines Systems: siehe dazu zB http://www.liutilities.com/products/wintaskspro/processlibrary/svchost/

Bei mir läuft es jetzt im Augenblick auch sage und schreibe sechs mal, und das ist auch gut so.

Selbiges gilt für deine anderen "gefährlichen" Prozesse:
http://www.liutilities.com/products/wintaskspro/processlibrary/smss/
http://www.liutilities.com/products/wintaskspro/processlibrary/csrss/
http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/

Nun ja, wenn du aufhörst, aus übertriebener Paranoia zu versuchen, elementare Teile deines Betriebssystems zu beenden, würde es dir das sicherlich danken.

Die Ursache für die Verlangsamung deines Systems liegt wohl woanders. Versuche am Besten einfach, nicht zu viele Programme etc. zu installieren, was die Performance stark einschränkt, und lasse nicht stark systembindende Programme im Hintergrund laufen (Paradebeispiel wäre zB eMule und Konsorten, die die Festplatte auf Trab halten, oder auch manch ein Virenscanner).

Außerdem wäre es wohl angebracht gewesen, einfach mal vernünftig zu recherchieren, denn die Links aus meinem Post sind die jeweils erste Antwort von google auf lsass.exe, smss.exe, csrss.exe etc. Winken

Denn wenn du diese als eindeutige Bestandteile eines virus ansiehst, hast du wohl eher gar nicht recherchiert. Btw, so ein Experte scheint dein Experte auch nicht unbedingt zu sein Winken

phoenix.hi · Verfasst am: 10.01.2005, 16:48 Titel:

Ich kann nur erzählen wie es bei mir was, da mir auch nicht wirklich viel dazu einfällt bsw. darüber weiß.

Ich hatte den Sassa Virus. Mein Rechner wurde runtergefahren ( Fand das noch recht lustig ) ! Einmal zack, Norten Antivirus aufgemacht und Den Rechner auf Viren überprüfen lassen. Northen hat den Sassa Virus gefunden und ich habe ihn eliminiert. So weit ich weiß hat sich mein Sassa immer gestartet sobald man ins Internet wollte. Bei dir scheint dies anders zu sein was mich wundert. Wurde der Sassa Virus vielleicht weiter ausgebaut oder verändert? Meine Datei hieß Sassa.exe . Da du anscheinend schon vieles versucht hast kann ich mir auch nicht vorstellen das Norten das so einfach hinkriegen würde ( Haste Norten AV? ) . 2 mal Formatiert haste ja auch schon. Normalerweise dürfte garnichts mehr draufsein. Oder du fängst dir den Sassa Virus immer wieder ein. zB. übers Internet oder irgendwelche Spieldateien oder eben Software. So wäre die Sache auf jeden Fall zu erklären. Denn ein Virus kann meines wissens nach keine Formatierung überleben. Meine Vermutung ist die oben genannte. Irgendwie muss er ja auch gekommen sein. Und das geht auch einfach auf einer Lan oder mit irgendwelcher "gebrannter" Sofware,Spiele etc. Das hierzu.

ponguin · Mitglied Angemeldet: 18.10.2004 Beiträge: 214

rey · Verfasst am: 10.01.2005, 17:25 Titel:

Ich würde mir vor Allem mal folgendes ansehen:
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.sasser.removal.tool.html

arrac · Mitglied Angemeldet: 18.07.2004 Beiträge: 610

rofl lsass ist kein virus sondern ein essenzieller prozess Sehr glücklich

wie auch smss oder csrss... ohne die läuft ein pc gar nicht...

edit: ups seh gerade hat schon einer gepostet

cain. · Verfasst am: 10.01.2005, 19:13 Titel: **Re: böser Sasser**

ponguin · Mitglied Angemeldet: 18.10.2004 Beiträge: 214

Xenon.ch · Mitglied Angemeldet: 31.12.2003 Beiträge: 298

andere frage, haste nach dem formatieren alle benötigten treiber installiert.
vorallem wichtig sind die mainboard treiber, dann die der graka und die restlichen. zusätzlich sollte man auch alle windowsupdates umbedingt installieren (sp2 wäre eigentlich empfehlenswert), somit wäre eine weitere infektion eines sasser eigentlich ausgeschlossen.

ohne die treiber wäre es k das es langsam ist. zudem sollten die treiber auch immer wieder aktuallisert werden.

bl:nd · Moderator Angemeldet: 04.06.2004 Beiträge: 3499

interessantes thema hier - hab nämlich ähnliche probleme. allerdings nur ähnliche, nicht die gleichen. mein pc wird auch ganz gern mal sehr langsam - allerdings nicht, wenn ich mit programmen wie spielen oder grafikprogrammen arbeite, sondern wenn ich ordner offen habe, dort dann dateien anschau, umbenenn - die üblichen arbeite eben, die man so in offenen ordnern macht. die explorer.exe verursacht dann immense speicher- sowie prozessorauslastung, d.h. ne speicherauslastung jenseits der 300k sowie prozessorauslastung nahe der 100% - und das, obwohl ich nur ein, zwei ordner offen hab, um da irgendwas zu suchen, o.ä.
ich hab also keinesfalls irgendwelche speicheaufwendigen programme am laufen, die die performance da dermaßen runterziehen könnten.
ich hab mittlerweilen auch schonmal formatiert, virenscans verlaufen auch immer negativ. ich hab schon öfter mal per google nach lösungsvorschlägen gesucht, bin bis jetzt allerdings nicht so wirklich fündig geworden. es gibt da immer mal wieder problemlösungen, wenn ähnliche probleme mit den servicepacks auftreten - allerdings hab ich kein SP installiert, ergo kanns da auch nicht dran liegen.
nun also meine frage an euch: hat da evtl irgendwer schonmal erfahrungen mit diesem oder ähnlichen problemen gemacht, bzw. weiß rat? wäre euch sehr dankbar!

phoenix.hi · Verfasst am: 10.01.2005, 20:55 Titel:

Kleine Frage bezüglich zum Thema:

Defragmentiert ihr ab und zu mal???
Hatte solche Probleme auch schon. Nur deine @ bl:nd scheinen andere zu sein.
Mein Rechner läuft plötzlich sehr langsam und er hat Probleme nur einen Ordner zu öffnen. Da ich davon ausgehe das ihr alle gut mit PCs umgehen könnt muss ich wohl nichts mehr hinzufügen. Lasst den Rechner immer zuende laden bevor ihr eine andere Anwendung betätigt^^ Winken

Ach und die angeblichen "Experten" kann man oft in der Pfeife rauchen. Sehr glücklich

Mit besten Grüßen
ph0en!x.hi

_________________________
Edit: Defragmentieren unter:
Start -> Programme -> Zubehör -> Systemprogramme -> Defragmentierung
Das Programm ordnet Dateien neu an! Dadurch läuft der Rechner meistens schneller.

cain. · Verfasst am: 10.01.2005, 21:18 Titel:

bl:nd, vielleicht solltest du mal erwägen die service packs einfach zu installieren Winken

bl:nd · Moderator Angemeldet: 04.06.2004 Beiträge: 3499

früher ging doch auch immer alles einwandfrei ohne SPs - warum sollte ich die nu installieren?

cain. · Verfasst am: 11.01.2005, 00:03 Titel:

Nun ja, wenn du jetzt keine Probleme hättest - dann gäbe es keinen Grund sie zu installieren. Da du aber scheinbar Probleme auf deinem System hat, die direkt das Betriebssystem bestreffen, wäre es doch wahrscheinlich angebracht es einmal zu updaten.
Man kann ja auch schlecht sagen: Warum sollte ich das Auto reparieren lassen, ist früher doch auch ohne Reparatur gefahren.

bl:nd · Moderator Angemeldet: 04.06.2004 Beiträge: 3499

nur nutzen sich die betriebsteile von nem auto mit der zeit zwangsläufig ab - bei nem betriebssystem (das dazu noch neu installiert worden is) is das eher selten der fall, dass sich da irgendwas "abnutzt" Smilie