Supportnet / Forum / WindowsXP
automatisches runterfahren aus dem Netz
Frage
Ich habe seit einiger Zeit einen XP-Rechner.
Seit letzter Woche fährt er, wenn ich im Internet bin, automatisch nach 3-4 Minuten runter.
Es kommt die Meldung: LSA Shell hat einen Fehler erkannt und musste beendet werden.
antivir hat keinen Virus etc. erkannt. Nur einen dialer den der entfernt hat.
Heute habe ich das Service-Pack 2 aufgespielt.
Kann ich jetzt wieder gefahrlos ins Internet?
Wäre euch für eine Antwort dankbar.
Gruß Dorothe
Antwort 1 von Poison
Du hast allem Anschein nach den Netzwerk-Wurm "Sasser" drauf.
Maßnahmen zu Schutz und Entfernung :
Betroffene Systeme: Windows 2000, Windows XP, Windows Server 2003
Nicht betroffen: Windows 95, Windows 98, Windows ME, Windows NT 4.0
A.) Symptome:
a.) Bei allen Varianten:
Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren"). Dies kann auch geschehen, ohne dass später eine Wurmdatei auf dem System gefunden wird!
Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden".
Sasser nutzt die AbortSystemShutdown-API, um Versuche zu unterbinden, das System herunterzufahren oder neu zu starten.
b.) Unterschiedlich, je nach Wurmvariante:
Sasser.a
Folgende Dateien werden erzeugt:
avserve.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht;
win.log im Rootverzeichnis (C:), also C:\win.log;
In die Registry erfolgt dieser Eintrag:
Pfad zur avserve.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sasser.b
Folgende Dateien werden erzeugt:
avserve2.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht;
win2.log im Rootverzeichnis (C:), also C:\win2.log;
In die Registry erfolgt dieser Eintrag:
Pfad zur avserve2.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sasser.c
Siehe Sasser.b. Die bestehenden Unterschiede sind an dieser Stelle (hinsichtl. Schutz und Entfernung) nicht relevant.
Sasser.d
Folgende Dateien werden erzeugt:
skynetave.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
win2.log im Rootverzeichnis (C:), also C:\win2.log;
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht;
In die Registry erfolgt dieser Eintrag:
Pfad zur skynetave.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
B.) Ursache:
Dieser Wurm gelangt über eine Sicherheitslücke in Windows im "Local Security Authority Subsystem Service" (LSASS) auf nicht gepatchte Systeme, das heißt auf Systeme, für die diese
Sicherheitsupdates von Mitte April 2004
nicht installiert wurden. Achtung! Die Datei lsass.exe selbst ist nicht der Wurm. Es handelt sich dabei um eine Windows Systemdatei!
Für eine Infektion reicht - unter obiger Voraussetzung - also bereits das bloße Herstellen einer Internetverbindung aus! Allerdings muss nicht zwangsläufig jede lsass-Fehlermeldung auf eine erfolgte Installation des Wurmes hindeuten - auch ein fehlgeschlagener Installationsversuch kann derartige Meldungen zur Folge haben. Ob nun eine wurmtypische Datei auf dem System entdeckt werden kann oder nicht - auf den fehlenden Patch sind diese Probleme in jedem Fall ein Hinweis.
Hier die Patches (Deutsche Versionen) zum Direktdownload für die beiden gängigsten Betriebssysteme Windows 2000 und Windows XP:
Patch für Windows 2000
Patch für Windows XP
C.) Vorgehen beim Auftreten der Symptome:
1. Ein durch den Wurm verursachter Systemshutdown kann wie folgt abgebrochen werden: Start, Ausführen aufrufen, dort shutdown -a eingeben und Enter drücken.
2. Den passenden Patch für das Betriebssystem laden (siehe oben).
3. Dieses Entfernungstool von NAI (für Sasser.a, .b und .c, oder SASSGUI)
oder von Sophos für Sasser.a, .b und .d laden.
4. Die Internetverbindung beenden.
5. Das Entfernungstool ausführen (dazu die Datei stinger.exe bzw. sassgui.com doppelklicken). Zudem bitte die Hinweise zur manuellen Entfernung unter C.) 8. und C.) 9. auf dieser Seite beachten, sowie die wichtigen Hinweise zum Neuaufsetzen des Systems nach einer Kompromittierung durch Schadsoftware!
6. Windows im abgesicherten Modus neu starten.
7. Für Windows XP: Systemwiederherstellung deaktivieren. Dieser Schritt entfällt bei Windows 2000.
8. Trotzdem das Entfernungstool bereits ausgeführt wurde, empfehle ich dennoch: Auf dem System nach den oben erwähnten Dateien avserve.exe, avserve2.exe, skynetave.exe, win.log bzw. win2.log sowie xxxxx_up.exe suchen und diese, falls sie gefunden werden, löschen.
Hinweis: Eine Suche nach xxxx_up.exe erfolgt in Windows über die Sucheingabe: *_up.exe. Das kleine Sternchen ersetzt also die zufällig generierten Zahlen.)
Falls sich avserve.exe, avserve2.exe oder skynetave.exe nicht löschen lassen, muss zuvor mittels Strg + Alt + Entf der Taskmanager aufgerufen werden. Dort kann man diese Prozesse markieren und beenden, um die Dateien anschließend per Hand aus dem Windows-Ordner herauszulöschen.
9. Die Registry-Einträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, die auf avserve.exe, avserve2.exe oder skynetave.exe verweisen, müssen ebenfalls gelöscht werden. Dies ist z. B. mit "HijackThis"
komfortabel möglich. HijackThis ist dazu gemäß Anleitung auszuführen, dann wird der entsprechenden Registry-Eintrag markiert und mittels "Fix checked" entfernt.
10. Nun die Patchdatei Windows2000-KB835732-x86-DEU.EXE (für Windows 2000) bzw. WindowsXP-KB835732-x86-DEU.EXE (für Windows XP) ausführen (doppelklicken), um dem Patch zu installieren.
11. Windows neu starten.
12. Dienste sicher konfigurieren gemäß
Anleitung,
wobei ein Script zur Verfügung steht, welches einen Großteil der Konfigurationsarbeit übernimmt - der Rest muss von Hand erledigt werden. Wie das geht, ist auf der Seite erläutert.
13. Ins Internet einwählen und sofort Windowsupdate.microsoft aufsuchen,
um alle weiteren aktuellen Patches zu installieren.
D.) Wichtige Hinweise:
Mit Hilfe der erläuterten Maßnahmen können der offensichtliche Wurm entfernt sowie die Sicherheitslücke geschlossen werden, über die sich dieser Wurm verbreitet.
Das heißt aber ausdrücklich nicht, dass damit ein sauberes System sichergestellt ist, denn eine Systemkompromittierung, also ein Befall mit einem Wurm oder einer anderen Schadsoftware sollte immer ein Neuaufsetzen des Systems nach sich ziehen. Nur auf diese Weise ist wieder ein vertrauenswürdiges System zu gewährleisten, mit dem man auch beruhigt arbeiten kann.
Allerdings müssen dann vor der ersten Internetverbindung die hier erläuterten Absicherungsmaßnahmen getroffen werden. Heißt also: Einspielen von Service-Packs und Patches,
Konfigurieren der Dienste
Des Weiteren ist im Allgemeinen das stete Aktuellhalten des Betriebssystems, also auch das Versorgen mit wichtigen Sicherheitsupdates ein Muss für jeden Internetnutzer. Alle 14 Tage sollte z. B. über einen Besuch der Seite http://windowsupdate.microsoft.com (siehe oben) geprüft werden, ob neue Patches zur Verfügung stehen. Weitere Updatemöglichkeiten:
Kostenfreie Update-CD von Microsoft zum Aufspielen grundlegender großer Update-Pakete (der Rest muss allerdings weiterhin über das Internet nachgeladen werden).
Diese großen Update-Pakete finden sich auch auf einigen Zeitschriften-CD's. Hier gilt ebenso: die aktuellsten Patches sind aus dem Internet nachzuladen.
Quelle: www.pc-spezial.net
Gruss Poison
Wer einen Fehler macht und ihn nicht korrigiert, begeht einen zweiten.
Konfuzius
Maßnahmen zu Schutz und Entfernung :
Betroffene Systeme: Windows 2000, Windows XP, Windows Server 2003
Nicht betroffen: Windows 95, Windows 98, Windows ME, Windows NT 4.0
A.) Symptome:
a.) Bei allen Varianten:
Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren"). Dies kann auch geschehen, ohne dass später eine Wurmdatei auf dem System gefunden wird!
Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden".
Sasser nutzt die AbortSystemShutdown-API, um Versuche zu unterbinden, das System herunterzufahren oder neu zu starten.
b.) Unterschiedlich, je nach Wurmvariante:
Sasser.a
Folgende Dateien werden erzeugt:
avserve.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht;
win.log im Rootverzeichnis (C:), also C:\win.log;
In die Registry erfolgt dieser Eintrag:
Pfad zur avserve.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sasser.b
Folgende Dateien werden erzeugt:
avserve2.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht;
win2.log im Rootverzeichnis (C:), also C:\win2.log;
In die Registry erfolgt dieser Eintrag:
Pfad zur avserve2.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sasser.c
Siehe Sasser.b. Die bestehenden Unterschiede sind an dieser Stelle (hinsichtl. Schutz und Entfernung) nicht relevant.
Sasser.d
Folgende Dateien werden erzeugt:
skynetave.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
win2.log im Rootverzeichnis (C:), also C:\win2.log;
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht;
In die Registry erfolgt dieser Eintrag:
Pfad zur skynetave.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
B.) Ursache:
Dieser Wurm gelangt über eine Sicherheitslücke in Windows im "Local Security Authority Subsystem Service" (LSASS) auf nicht gepatchte Systeme, das heißt auf Systeme, für die diese
Sicherheitsupdates von Mitte April 2004
nicht installiert wurden. Achtung! Die Datei lsass.exe selbst ist nicht der Wurm. Es handelt sich dabei um eine Windows Systemdatei!
Für eine Infektion reicht - unter obiger Voraussetzung - also bereits das bloße Herstellen einer Internetverbindung aus! Allerdings muss nicht zwangsläufig jede lsass-Fehlermeldung auf eine erfolgte Installation des Wurmes hindeuten - auch ein fehlgeschlagener Installationsversuch kann derartige Meldungen zur Folge haben. Ob nun eine wurmtypische Datei auf dem System entdeckt werden kann oder nicht - auf den fehlenden Patch sind diese Probleme in jedem Fall ein Hinweis.
Hier die Patches (Deutsche Versionen) zum Direktdownload für die beiden gängigsten Betriebssysteme Windows 2000 und Windows XP:
Patch für Windows 2000
Patch für Windows XP
C.) Vorgehen beim Auftreten der Symptome:
1. Ein durch den Wurm verursachter Systemshutdown kann wie folgt abgebrochen werden: Start, Ausführen aufrufen, dort shutdown -a eingeben und Enter drücken.
2. Den passenden Patch für das Betriebssystem laden (siehe oben).
3. Dieses Entfernungstool von NAI (für Sasser.a, .b und .c, oder SASSGUI)
oder von Sophos für Sasser.a, .b und .d laden.
4. Die Internetverbindung beenden.
5. Das Entfernungstool ausführen (dazu die Datei stinger.exe bzw. sassgui.com doppelklicken). Zudem bitte die Hinweise zur manuellen Entfernung unter C.) 8. und C.) 9. auf dieser Seite beachten, sowie die wichtigen Hinweise zum Neuaufsetzen des Systems nach einer Kompromittierung durch Schadsoftware!
6. Windows im abgesicherten Modus neu starten.
7. Für Windows XP: Systemwiederherstellung deaktivieren. Dieser Schritt entfällt bei Windows 2000.
8. Trotzdem das Entfernungstool bereits ausgeführt wurde, empfehle ich dennoch: Auf dem System nach den oben erwähnten Dateien avserve.exe, avserve2.exe, skynetave.exe, win.log bzw. win2.log sowie xxxxx_up.exe suchen und diese, falls sie gefunden werden, löschen.
Hinweis: Eine Suche nach xxxx_up.exe erfolgt in Windows über die Sucheingabe: *_up.exe. Das kleine Sternchen ersetzt also die zufällig generierten Zahlen.)
Falls sich avserve.exe, avserve2.exe oder skynetave.exe nicht löschen lassen, muss zuvor mittels Strg + Alt + Entf der Taskmanager aufgerufen werden. Dort kann man diese Prozesse markieren und beenden, um die Dateien anschließend per Hand aus dem Windows-Ordner herauszulöschen.
9. Die Registry-Einträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, die auf avserve.exe, avserve2.exe oder skynetave.exe verweisen, müssen ebenfalls gelöscht werden. Dies ist z. B. mit "HijackThis"
komfortabel möglich. HijackThis ist dazu gemäß Anleitung auszuführen, dann wird der entsprechenden Registry-Eintrag markiert und mittels "Fix checked" entfernt.
10. Nun die Patchdatei Windows2000-KB835732-x86-DEU.EXE (für Windows 2000) bzw. WindowsXP-KB835732-x86-DEU.EXE (für Windows XP) ausführen (doppelklicken), um dem Patch zu installieren.
11. Windows neu starten.
12. Dienste sicher konfigurieren gemäß
Anleitung,
wobei ein Script zur Verfügung steht, welches einen Großteil der Konfigurationsarbeit übernimmt - der Rest muss von Hand erledigt werden. Wie das geht, ist auf der Seite erläutert.
13. Ins Internet einwählen und sofort Windowsupdate.microsoft aufsuchen,
um alle weiteren aktuellen Patches zu installieren.
D.) Wichtige Hinweise:
Mit Hilfe der erläuterten Maßnahmen können der offensichtliche Wurm entfernt sowie die Sicherheitslücke geschlossen werden, über die sich dieser Wurm verbreitet.
Das heißt aber ausdrücklich nicht, dass damit ein sauberes System sichergestellt ist, denn eine Systemkompromittierung, also ein Befall mit einem Wurm oder einer anderen Schadsoftware sollte immer ein Neuaufsetzen des Systems nach sich ziehen. Nur auf diese Weise ist wieder ein vertrauenswürdiges System zu gewährleisten, mit dem man auch beruhigt arbeiten kann.
Allerdings müssen dann vor der ersten Internetverbindung die hier erläuterten Absicherungsmaßnahmen getroffen werden. Heißt also: Einspielen von Service-Packs und Patches,
Konfigurieren der Dienste
Des Weiteren ist im Allgemeinen das stete Aktuellhalten des Betriebssystems, also auch das Versorgen mit wichtigen Sicherheitsupdates ein Muss für jeden Internetnutzer. Alle 14 Tage sollte z. B. über einen Besuch der Seite http://windowsupdate.microsoft.com (siehe oben) geprüft werden, ob neue Patches zur Verfügung stehen. Weitere Updatemöglichkeiten:
Kostenfreie Update-CD von Microsoft zum Aufspielen grundlegender großer Update-Pakete (der Rest muss allerdings weiterhin über das Internet nachgeladen werden).
Diese großen Update-Pakete finden sich auch auf einigen Zeitschriften-CD's. Hier gilt ebenso: die aktuellsten Patches sind aus dem Internet nachzuladen.
Quelle: www.pc-spezial.net
Gruss Poison
Wer einen Fehler macht und ihn nicht korrigiert, begeht einen zweiten.
Konfuzius
Antwort 2 von Poison
Jeder Gang ins Internet wird zur Zitterpartie
Der Wurm Sasser nutzt eine bekannte Sicherheitslücke in Windows aus - Mehrere Schritte zum Schutz vor Angriffen
Der Sasser-Wurm, der gerade im Internet sein Unwesen treibt, nutzt ausnahmsweise mal nicht den Leichtsinn von PC-Nutzern aus, sondern nistet sich ganz ohne deren Zutun auf dem Rechner ein. Schuld sind Sicherheitslücken, die eigentlich längst geschlossen sein könnten.
Sasser ist deswegen besonders perfide, weil er sich unbemerkt einschleicht. Es genügt schon, dass ein Anwender das Update von Microsoft nicht installiert hat. Der Wurm sucht automatisch nach Rechnern im Internet, die die Schwachstelle aufweisen, und kopiert sich dann in diese Systeme.
Schon wenige Minuten online genügen, um von irgendeiner Sasser-Kopie entdeckt und infiziert zu werden. Der Wurm richtet zwar nicht gezielt Schaden an, kann aber den PC zum Absturz oder zum Neustart bringen. Auf dem Bildschirm erscheint eine Meldung, die "Fehler in LSASS.EXE oder in LSA Shell" meldet, dann startet Windows neu.
Im Grunde sind es zwei Lücken, die Sasser ausnutzt. Die eine geht auf eine sehr verbreitete Leichtfertigkeit von Programmierern zurück. Der so genannte Pufferüberlauf ist die Ursache für die überwiegende Zahl aller Sicherheitslücken. Die Gefahr ist längst erkannt, doch der Fehler steckt im Detail unendlich vieler, vor allem älterer Programmteile. Böswillig geschriebene Programme wiederum nutzen den Fehler dazu aus, einen eigenen Programmcode auf den fremden Rechner zu schreiben und auszuführen - der Schädling übernimmt die Kontrolle. Sasser nützt eine solche Lücke in einem Systemprogramm von Windows mit dem Namen LSASS.EXE aus. Die Ironie: LSASS ist ein Sicherheitsdienst von Windows, der zum Beispiel für die Anmeldung am Firmennetzwerk zuständig ist. Das Update, so schreibt Microsoft, veranlasse den Dienst zu genauerer Pufferprüfung. Lakonisch heißt es weiter: "Das Update entfernt außerdem den angreifbaren Code aus Windows 2000 Professional und Windows XP, da diese Betriebssysteme die angreifbare Schnittstelle nicht benötigen." Offen bleibt, warum ein Code, der nicht gebraucht wird, standardmäßig aktiv ist.
Die zweite Sicherheitslücke besteht darin, dass Microsoft mit Windows XP zwar eine Sicherheitseinrichtung mitliefert, die Sasser und Co. abwehren kann, es aber dem Anwender überlässt, diese Sicherheit zu aktivieren. Die Rede ist von einer Brandmauer gegen Flammen aus dem Internet, im Fachjargon Firewall genannt.
Der erste Schritt zum Schutz vor Sasser ist denn auch das Einschalten der Firewall. Dazu ruft man über den Start-Schalter und den Punkt Einstellungen die Systemsteuerung auf und öffnet dort die Netzwerk- und DFÜ-Verbindungen. Jede DFÜ-Verbindung, die für den Internetzugang eingerichtet ist, muss man nun it der rechten Maustaste anklicken und über Eigenschaften ein Fenster mit der Registerkarte Erweitert aufrufen. Dort wählt man "Diesen Computer und das Netzwerk schützen". Fertig: von nun an sperrt die Firewall unerwünschte Versuche von außen, auf den Rechner zuzugreifen. Ist der Wurm bereits auf dem Rechner, muss zuerst der Rechner am Neustarten gehindert und der Wurm deaktiviert werden.
Über den Start-Schalter und Ausführen kann man einen PC, der gerade neu starten will, mit dem Kommando "shutdown /l /a" daran hindern. Mit einem Rechtsklick auf die Taskleiste am unteren Bildschirmrand öffnet man den Task-Manager und dort das Register Prozesse. Hier sind aktive Komponenten von Windows aufgelistet, aber auch einige U-Boote, die Sasser eingeschmuggelt hat. Diese - und nur diese - muss man beenden. Dazu gehören alle, deren Name auf _up.exe endet oder mit avserv anfängt, außerdem die drei Prozesse mit den Namen hkey.exe, msiwin84.exe und wmiprvsw.exe. Achtung: die Namen müssen exakt stimmen. Prozesse mit ähnlichen Namen dürfen nicht beendet werden! Erst danach kann das Microsoft-Update geladen, installiert und der Rechner wieder neu gestartet werden.
Informationen und das Update findet man unter http://www.microsoft.de oder unter http://www.bsi.de/av/vb/sasser.htm
Quelle: http://www.stuttgarter-zeitung.de/stz/page/detail.php/791044
Gruss Poison
Wer einen Fehler macht und ihn nicht korrigiert, begeht einen zweiten.
Konfuzius
Der Wurm Sasser nutzt eine bekannte Sicherheitslücke in Windows aus - Mehrere Schritte zum Schutz vor Angriffen
Der Sasser-Wurm, der gerade im Internet sein Unwesen treibt, nutzt ausnahmsweise mal nicht den Leichtsinn von PC-Nutzern aus, sondern nistet sich ganz ohne deren Zutun auf dem Rechner ein. Schuld sind Sicherheitslücken, die eigentlich längst geschlossen sein könnten.
Sasser ist deswegen besonders perfide, weil er sich unbemerkt einschleicht. Es genügt schon, dass ein Anwender das Update von Microsoft nicht installiert hat. Der Wurm sucht automatisch nach Rechnern im Internet, die die Schwachstelle aufweisen, und kopiert sich dann in diese Systeme.
Schon wenige Minuten online genügen, um von irgendeiner Sasser-Kopie entdeckt und infiziert zu werden. Der Wurm richtet zwar nicht gezielt Schaden an, kann aber den PC zum Absturz oder zum Neustart bringen. Auf dem Bildschirm erscheint eine Meldung, die "Fehler in LSASS.EXE oder in LSA Shell" meldet, dann startet Windows neu.
Im Grunde sind es zwei Lücken, die Sasser ausnutzt. Die eine geht auf eine sehr verbreitete Leichtfertigkeit von Programmierern zurück. Der so genannte Pufferüberlauf ist die Ursache für die überwiegende Zahl aller Sicherheitslücken. Die Gefahr ist längst erkannt, doch der Fehler steckt im Detail unendlich vieler, vor allem älterer Programmteile. Böswillig geschriebene Programme wiederum nutzen den Fehler dazu aus, einen eigenen Programmcode auf den fremden Rechner zu schreiben und auszuführen - der Schädling übernimmt die Kontrolle. Sasser nützt eine solche Lücke in einem Systemprogramm von Windows mit dem Namen LSASS.EXE aus. Die Ironie: LSASS ist ein Sicherheitsdienst von Windows, der zum Beispiel für die Anmeldung am Firmennetzwerk zuständig ist. Das Update, so schreibt Microsoft, veranlasse den Dienst zu genauerer Pufferprüfung. Lakonisch heißt es weiter: "Das Update entfernt außerdem den angreifbaren Code aus Windows 2000 Professional und Windows XP, da diese Betriebssysteme die angreifbare Schnittstelle nicht benötigen." Offen bleibt, warum ein Code, der nicht gebraucht wird, standardmäßig aktiv ist.
Die zweite Sicherheitslücke besteht darin, dass Microsoft mit Windows XP zwar eine Sicherheitseinrichtung mitliefert, die Sasser und Co. abwehren kann, es aber dem Anwender überlässt, diese Sicherheit zu aktivieren. Die Rede ist von einer Brandmauer gegen Flammen aus dem Internet, im Fachjargon Firewall genannt.
Der erste Schritt zum Schutz vor Sasser ist denn auch das Einschalten der Firewall. Dazu ruft man über den Start-Schalter und den Punkt Einstellungen die Systemsteuerung auf und öffnet dort die Netzwerk- und DFÜ-Verbindungen. Jede DFÜ-Verbindung, die für den Internetzugang eingerichtet ist, muss man nun it der rechten Maustaste anklicken und über Eigenschaften ein Fenster mit der Registerkarte Erweitert aufrufen. Dort wählt man "Diesen Computer und das Netzwerk schützen". Fertig: von nun an sperrt die Firewall unerwünschte Versuche von außen, auf den Rechner zuzugreifen. Ist der Wurm bereits auf dem Rechner, muss zuerst der Rechner am Neustarten gehindert und der Wurm deaktiviert werden.
Über den Start-Schalter und Ausführen kann man einen PC, der gerade neu starten will, mit dem Kommando "shutdown /l /a" daran hindern. Mit einem Rechtsklick auf die Taskleiste am unteren Bildschirmrand öffnet man den Task-Manager und dort das Register Prozesse. Hier sind aktive Komponenten von Windows aufgelistet, aber auch einige U-Boote, die Sasser eingeschmuggelt hat. Diese - und nur diese - muss man beenden. Dazu gehören alle, deren Name auf _up.exe endet oder mit avserv anfängt, außerdem die drei Prozesse mit den Namen hkey.exe, msiwin84.exe und wmiprvsw.exe. Achtung: die Namen müssen exakt stimmen. Prozesse mit ähnlichen Namen dürfen nicht beendet werden! Erst danach kann das Microsoft-Update geladen, installiert und der Rechner wieder neu gestartet werden.
Informationen und das Update findet man unter http://www.microsoft.de oder unter http://www.bsi.de/av/vb/sasser.htm
Quelle: http://www.stuttgarter-zeitung.de/stz/page/detail.php/791044
Gruss Poison
Wer einen Fehler macht und ihn nicht korrigiert, begeht einen zweiten.
Konfuzius