Supportnet / Forum / Security/Viren
Wurm SASSER
Frage
Hallo zusammen,
können sie mir bitte behilflich sein.
Auf dem Rechner meiner Tochter
( Win XP professional, aktuelle Updates ausgeführt, Raid 1 Mirrored installiert, meherere Partitionen
C: DOS 6.2,
J: WIN XP, andere Daten und Programmfile-Partitionen
Internet Security 2005 von Symantec auch aktuell upgedated hat sich der Wurm " Sasser " eingenistet.
Sie hat versehentlich einen Anhang einer e-mail ( vom BKA bezüglich illegaler Software geöffnet, und ist geschehen.)
Es ist in den Einstellungen von IS 2005 e-mail Ein- und Ausgang überprüfen eingestellt
Jetzt kommt beim Booten kurz nach dem Windows Logo die Mitteilung:
LSASS.exe - Abbild fehlerhaft
Die Anwendung der DLL J:\windows\system32\lsasrv.dll ist keine gültige Windows Datei. Überprüfen Sie dies mit der Installationsdiskette.
Es startet der Rechner auch nicht im abgesicherten Modus. Es erscheint der gleiche Bildschirm.
Ich habe im Netz nach Software zum Entfernen von Würmern usw. gesucht, es setzen aber alle ein gestartetes Betriebssystem voraus.
Auch die Notfall CD Internet Security 2005 habe ich laufen lassen. Sie durchsucht natürlich nur LW C und da ist DOS 6.2 drauf
Können Sie mir bitte bei der Lösung dieses Problemes behilflich sein.
Danke für Ihre Mühe.
Mit freundlichen Grüßen
Hillingel
[*][quote][sup][i]Admininfo: Thread verschoben. Bitte beachte [url=https://supportnet.de/groupfaqs/3][u]FAQ 2[/u][/url] für deine nächste Anfrage.[/i][/sup][/quote]
[*][quote][sup][i]Admininfo: bitte vermeide Mehrfachanfragen in verschiedenen, bzw. gleichen Gruppen. Siehe [url=https://supportnet.de/groupfaqs/3][u]FAQ2.[/u][/url][/i][/sup][/quote]
Antwort 1 von Lutz1965
Antwort 2 von Das_Urmel
Hi
eigentlich nicht weiter schwierig, nur
könnte dir Probleme bereiten.
Treiberdiskette zu dem Raid bereithalten.
XP-CD einlegen, davon booten
F6 drücken, nachdem die Frage
"booten von CD" mit Leertaste bestätigt worden ist.
XP fragt kurz darauf nach der Diskette, einlegen, Treiber installieren lassen.
Im erscheinenden Menü:
Reparaturconsole (Wiederherstellungsconsole) auswählen
Es sollte die Windows-Installation gefunden werden.
j:\windows>
Die auswählen, Administrator-Password eingeben, oder nur Enter wenn keines eingestellt war.
j:\windows> <----- hier bleiben, nicht Verzeichnis wechseln!
copy servicepackfiles\i386\lsasrv.dll \windows\system32
copy servicepackfiles\i386\lsass.exe \windows\system32
CD und Diskette entnehmen.
EXIT {Enter}
Wenn es nur das war, bootet dein System wieder.
Nun am besten in den Abgesicherten Modus,
ich würde bevorzugt die Eingabeaufforderung wählen!
Stinger, oder dein Virenscanner laufen lassen -
obwohl Norton ja schon jämmerlich versagt hatte?
Ansonsten brauchst du wohl eine Unterstützung vor Ort fürchte ich.
mfg
Michael
eigentlich nicht weiter schwierig, nur
Zitat:
Raid 1 Mirrored installiert
Raid 1 Mirrored installiert
könnte dir Probleme bereiten.
Treiberdiskette zu dem Raid bereithalten.
XP-CD einlegen, davon booten
F6 drücken, nachdem die Frage
"booten von CD" mit Leertaste bestätigt worden ist.
XP fragt kurz darauf nach der Diskette, einlegen, Treiber installieren lassen.
Im erscheinenden Menü:
Reparaturconsole (Wiederherstellungsconsole) auswählen
Es sollte die Windows-Installation gefunden werden.
j:\windows>
Die auswählen, Administrator-Password eingeben, oder nur Enter wenn keines eingestellt war.
j:\windows> <----- hier bleiben, nicht Verzeichnis wechseln!
copy servicepackfiles\i386\lsasrv.dll \windows\system32
copy servicepackfiles\i386\lsass.exe \windows\system32
CD und Diskette entnehmen.
EXIT {Enter}
Wenn es nur das war, bootet dein System wieder.
Nun am besten in den Abgesicherten Modus,
ich würde bevorzugt die Eingabeaufforderung wählen!
Stinger, oder dein Virenscanner laufen lassen -
obwohl Norton ja schon jämmerlich versagt hatte?
Ansonsten brauchst du wohl eine Unterstützung vor Ort fürchte ich.
mfg
Michael
Antwort 3 von Hillingel,
Hallo Michael,
danke für die Hilfe. Hat bestens funktioniert.
Der Wurm war nicht Sasser sondern W32.sober.x@mm!zip
Ich habe nach dem erfolgreichen Booten im Internet gleich das Internetprotokoll von IS 2005 eingesehen.
Da stand dann drinn oh staun, oh staun, daß dieser Wurm schon insgesamt 5 mal gelöscht wurde von meiner Tochter, die offensichtlich nicht wußte mit wem sie es zu tun hat. Wie auch immer , alles ist wieder fein. Schönen Dank!!
Gruß Hilmar
danke für die Hilfe. Hat bestens funktioniert.
Der Wurm war nicht Sasser sondern W32.sober.x@mm!zip
Ich habe nach dem erfolgreichen Booten im Internet gleich das Internetprotokoll von IS 2005 eingesehen.
Da stand dann drinn oh staun, oh staun, daß dieser Wurm schon insgesamt 5 mal gelöscht wurde von meiner Tochter, die offensichtlich nicht wußte mit wem sie es zu tun hat. Wie auch immer , alles ist wieder fein. Schönen Dank!!
Gruß Hilmar
Antwort 4 von Das_Urmel
Das ist dochmal eine gute Nachricht.
Danke auch für die Rückmeldung.
mfg
Michael
Danke auch für die Rückmeldung.
mfg
Michael