[Morpheus@20xx]

hi, undzwar habe ich folgendes Problem wenn ich ins Internet verbinden möchte
kommt nach ein paar minuten ein Fenster wo steht das der rechner in ein paar sek herunterfähr und neu startet (wegen dieser datei C://windows/system32/lsass.exe) das eben der rechner
runter fahren will. ich dachte erst es ist der Blaster Wurm, habe dann von
Microsoft den Patch geladen aber der fehler kommt immer noch. muss man noch was anderes
machen? ausser den patch installieren? oder was kann das sonst sein?..könnt ihr mir
helfen? bitte!!!! ich bin fast am ausrasten. sitze seit heut früh dran.

mfg Morph

[immerreggen]

hi
ich hab hierzu leider keine quellenangabe ... habs auch grad in einem forum gelesen !

aber könnte es daran liegen ? ich hoffe eher nicht

Zitat

Man musste kein Prophet sein, um nach den letzten Veröffentlichungen von Security Advisories zu Sicherheitslücken in Windows einen Wurm vorauszusagen, der genau über diese Lücken in Systeme eindringt. Solch ein Wurm ist nun aufgetaucht. Der Schädling, den die Hersteller von Antivirensoftware Sasser nennen, nutzt einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme. 

Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft einspielen.

hmm aber du sagtest ja,daß dein sys gepatcht ist ...?

[Rika]

Du hast aber zig andere Patches übersehen. Unter anderem den KB835732 vom letzten Patch-Day. Also Wurm entfernen und System patchen, und das auch in Zukunft tun.

[Morpheus@20xx]

und wo bekomme ich die patches her? haste addy ?..bitte

mfg Morph

[kxxx]

Kuck mal im Forum bei neuem Wurm.
Entfernungstool bei einem Antivirusanbieter herunterladen.

[immerreggen]

gemeint waren wohl eher die microsoft-patches ... naja und woher man die bekommt , sollte klar sein

[stegi]

Hm, kann nicht sagen ob ich das selbe Problem habe, aber ich finde es passt schon mal hier rein:

Heute Vormittag kurz nach dem einwählen kam auch so eine Fehlermeldung wie beim Blasterwurm (eben das mit dem herunterfahren). Hm, hab mir gedacht dass es das nicht geben kann, da ich den Patch drauf hab. Jedenfalls ging nach einem Neustart das Internet auch nicht mehr. Danach hab ich mir gedacht, dass wenn ich neu aufsetze es wieder gut sein wird. Also, Windows neu drauf, Treiber installiert, Office drauf, Mozilla Firebird drauf, Winfuture UP 1.6, AVK 2004, dann AVK upgedated (folglich ging das Inet wieder). Danach hab ich einen Neustart gemacht, weil AVK mich dazu aufgefordert hat. Nach dem Neustart wollte ich gleich Windows Update machen, doch plötzlich ging das Inet wieder nicht. Dann hab ich ne Virenüberprüfung gemacht. Als der Prozessbalken bei einem Viertel war, hat AVK gemeint, dass die Virenüberprüfung vollständig sein (kA warum). Gut, dann ging ich auf Start - Programme und wollte AVK neu starten, doch bei Start - Programme wurde nichts mehr angezeigt. Es stand einfach "leer". Als ob es keinen Inhalt geben würde. Danach wollte ich den PC herunterfahren. Der Dialog der beim Herunterfahren erschien, sah auch verändert aus (war nur mehr ein kleines Fenster, das Windows XP Logo war nicht mehr da). Dann kam jedoch die Fehlermeldung: "Sie haben nicht die Berechtigung diesen Computer herunter zu fahren." Ich habe dann den PC ausgeschaltet (Stecker gezogen), mein Modem abgesteckt und an meinem Notebook angesteckt. Und hier bin ich jetzt. Was kann ich jetzt machen? Ich hoffe ihr könnt mir helfen.

Mfg Stegi

Dieser Beitrag wurde von stegi bearbeitet: 01. Mai 2004 - 16:16

[Rika]

Ganz einfach: Den verdammten Patch installieren. Es ist nicht Blaster, es ist ein neuer Wurm, der eine ganz andere Lücke benutzt. Deshalb wird dir der Patch für die Sicherheitslücke, die Blaster benutzt, auch wenig helfen.

fup2 Neuer Wurm

[immerreggen]

eventuell nach dem nächsten neuinstall vor der internetnutzung dcom deaktivieren, aber ob das den neuen wurm abhält weiß ich nicht ( wenn er denn mit deinem prob etwas zu tun haben sollte...)

bin sehr gespannt was die anderen zu deinem prob sagen...

[stegi]

Zitat (Rika: 01.05.2004, 17:19)

Ganz einfach: Den verdammten Patch installieren.

1. Wurde mein PC bereits infiziert, bevor ich die Möglichkeit hatte, Windowsupdate zu besuchen.
2. Danke für den Link
3. Bin ich eigentlich selbst Schuld, da ich vergessen habe, Windowsupdate zu besuchen, als die neuen Patches raus kamen.

Danke jedenfalls, ich hoffe es funktioniert jetzt alles.

[Rika]

@immerregen: DCOM hat damit gar nix zu tun.
@stegi:
1. Kann man (dank http://www.ntsvcfg.de sogar sehr einfach) seinen Rechner ordentlich konfigurieren und gar keine Dienste nach draußen hin anbieten. Dann kommt auch ohne Patches kein Angriffe über Remotesicherheitslücken durch.
2. fup2 = follow up to = heißt eigentlich, dort und nur dort darüber weiterzudiskutieren
3. Und genau für solche Leute hat Microsoft eine AutoUpdate-Funktion eingebaut. Nutze sie.

[Morpheus@20xx]

Vielen Dank @ Rika, hast mir sehr geholfen

mfg Morph