W32.Sasser virus ... HJÆLP!

Software d.  16. maj. 2004, skrevet af Chiq
Vist: 308 gange.

Chiq
 
Superbruger
Tilføjet:
16-05-2004 12:50:56
Svar/Indlæg:
168/35
Jeg har et C og D drev på min 120gb disk, og har ikke mulighed for at tage backup på andet end min egen harddisk (hvilket udelukker min mulighed for at formatere hele lortet og slippe af med denne virus).

Jeg har hele tiden kørt med Norton Antivirus 2004 som jeg liveupdater en gang om dagen, og alligevel fandt jeg igår følgende vira:

W32.Sasser.E.Worm
W32.Sasser.D
W32.Spybot.Worm

De to Sassere, er vidst på en eller anden måde blevet sat igang, og jeg har inde i joblisten under "processer" en masse filer kaldet svchost.exe.

Når jeg forsøger at lukke en af dem, kommer den med den der skærm som vi alle kender fra Blaster Ormen (din comp lukker om 60 sek).

Og mens jeg lige satte ovenstående punktum, fandt den endnu en fil der var inficeret med W32.Sasser.D

Maskinen kører ufattelig langsomt efter den har fået denne virus. Jeg skal skrive en rapport til i morgen, samt en mundlig fremlæggelse i engelsk, og selvfølgelig kan jeg godt gøre det med denne virus på, men det ville nu være dejligt hvis nogen af jer kunne hjælpe mig med at få den fjernet.

På forhånd tak for hjælpen :P

Chiq
 
Superbruger
Tilføjet:
16-05-2004 12:53:54
Svar/Indlæg:
168/35
Skal lige siges at jeg har kørt en fuld system skan, men det har ikke hjulpet. Ligeledes har jeg downloaded en W32.Sasser fix fra Nortons HP, men det hjalp heller ikke.

Den kommer ca hvert anden minut med en besked om at der er fundet endnu en fil som er inficeret ...

Jeg smider lige et screenshot op som i lige burde se ...


(der går lige 2 min før det virker - skal lige uploade ;))



epi^zepto
 
Elitebruger
Tilføjet:
16-05-2004 12:54:43
Svar/Indlæg:
3329/182
I din jobliste skal der være 4 filer der hedder svchost.exe og de er alle åbnet af forskellige programmer. Dem må du ikke lukke.



ZeroHerO
 
Superbruger
Tilføjet:
16-05-2004 12:56:05
Svar/Indlæg:
166/16
Start med at slette dem du har i karantæne og følg så instruktionerne på Nortons hjemmeside.

mvh ZeroHerO



OcDevil
 
Elitebruger
Tilføjet:
16-05-2004 13:00:22
Svar/Indlæg:
1262/95
Find et removal tool til alle version af sasser. Start op i safe mode UDEN netværk og scan spanden med removal tools og derefter antivirus programmet, hvis det virker i safe mode.



Stratos
 
Elitebruger
Tilføjet:
16-05-2004 13:01:30
Svar/Indlæg:
189/18
for at lukke nedtællingen midlertidigt kan du i start-->kør skrive:
shutdown -a

Gå så ind i windows\system32 og tjek om der ligger nogle filer som hedder noget i retningen af: XXXX_up.exe (hvor XXXX er nogle tal)
Slet de filer

tryk ctrl + alt + del og se under processer om der kører nogle som hedder: avserve, windowsb , skynetave ... hvis der gør afslut dem.

søg nu efter filer som hedder: avserve, windowsb , skynetave og slet disse.

skriv i kør: msconfig og se efter at nogen af de programmer fra før (avserve, windowsb , skynetave) ikke er sat til at starte sammen med din computer

derefter bør du hente følgende patch fra microsoft:
http://www.microsoft.com/downl...
(husk at vælge dk-sprog, hvis du kører med det)

derefter hent denne patch, som dræber sasser:
http://www.microsoft.com/downl...

til sidst kører du en windows update ... og så burde du være ormefri :)



Chiq
 
Superbruger
Tilføjet:
16-05-2004 13:02:00
Svar/Indlæg:
168/35
If you are running Windows 2000 or XP, and have not yet done so, you must patch for the vulnerability described in Microsoft Security Bulletin MS04-011. If you do not, it is likely that your computer will continue to be re-infected.

Security Bulletin MS04-011: http://www.microsoft.com/techn...

Hvad er det jeg skal downloade her?



Chiq
 
Superbruger
Tilføjet:
16-05-2004 13:03:46
Svar/Indlæg:
168/35
Oki, tror jeg følger Stratos guide .. thx ;)



Chiq
 
Superbruger
Tilføjet:
16-05-2004 13:08:57
Svar/Indlæg:
168/35
Har ikke nogen af de nævnte filer på pc'en, hverken i processer eller når jeg søger .... :/



Stratos
 
Elitebruger
Tilføjet:
16-05-2004 13:11:31
Svar/Indlæg:
189/18
Så kør bulletin patchen og sasser removal tool og opdater windows



criminalis
 
Superbruger
Tilføjet:
16-05-2004 13:15:15
Svar/Indlæg:
201/42
#2 Hvad dælen er en svchost.exe ?? jeg har 5 af dem, men min pc går slet ikke ned eller noget! kører med Noton 2004



#11
Chiq
 
Superbruger
Tilføjet:
16-05-2004 13:16:54
Svar/Indlæg:
168/35
Har nu downloade bulletin patchen og removal toolet ... jeg vender frygteligt tilbage og fortæller hvordan det gik når den er kørt :P



Smash
 
Elitebruger
Tilføjet:
16-05-2004 13:18:26
Svar/Indlæg:
194/13
#12 - Svchost.exe er din Service host og er vigtig for maskinen. Nogle vira og orme, "forklæder" sig, som en Service og derved kommer svchost.exe til at bruge 100% cpu-kraft



OcDevil
 
Elitebruger
Tilføjet:
16-05-2004 13:26:36
Svar/Indlæg:
1262/95
#7 Du er for langsom :D



#14
Chiq
 
Superbruger
Tilføjet:
16-05-2004 15:15:11
Svar/Indlæg:
168/35
#16 hehe ... Tjah, skulle jo bare op til min mor med min comp for at se om hendes inet virkede ... må jeg så kunne konkludere at det gjorde ... men kommer først hjem i aften ..



#15
Chiq
 
Superbruger
Tilføjet:
16-05-2004 15:18:19
Svar/Indlæg:
168/35
Nårjo, glemte at skrive hvad jeg egentligt ville :D

Har downloaded den bulletin patch, og kørt både den fix fra windowsupdate og fra symantec's

Begge skrev de at de ikke havde fundet nogen W32.Sasser, men der kører stadig en lsass.exe inde i joblisten under processer ...

(symantec skriver at sass ormen "forklæder" sig som lsass.exe). Jeg kan ikke få lov at afslutte den, da "dette er en kritisk systemprocces" ...



Coctail
 
Elitebruger
Tilføjet:
16-05-2004 15:35:40
Svar/Indlæg:
2353/24
#19
den kan kan også forklæde sig som lsasser.exe , hvilket jat jeg har haft.
jeg lukkede den ned i jobliste, og kørte en gang housecall, og så var den skid slået.



#17
Chiq
 
Superbruger
Tilføjet:
16-05-2004 15:40:05
Svar/Indlæg:
168/35
#20 min fylder 1736kb ...

#21 Housecall .. hvad er det?