ACHTUNG: SUPER LÖSUNG - War übrigens Worm/Sasser
Also danke erst mal, aber das hat alles nichts gebracht.
Ich hatte den Worm/Sasser auf dem Rechner.
Erstes Auftreten: Mai 2004
Länge: 15872
Sasser.B, der das erste Mal am 02. Mai 2004 gefunden wurde, ist eng mit Saser.A verwandt. Er besitzt die gleiche Länge und die gleiche Funktionalität. Unterschiede gegenüber Sasser.A:
Der Name der Datei, die geispchert wird, ist:
AVSERV2.EXE
die Log-Datei ist:
WIN2.LOG
die Suchroutine startet 128 Prozesse
Die Datei „WindowsXP-KB835732-x86-DEU.EXE“
unter: http://www.microsoft.com/downloads/details.aspx?Fami…
zu finden, schließt die Sicherheitslücke.
Als hässlicher Nebeneffekt stürzt nach spätestens 60 Sekunden LSASS.EXE ab, die den lokalen Anmeldedienst verwaltet und die System-Richtlinien für Benutzer steuert. Diese Meldung wird auch angezeigt. Und mein F E H L E R war, dass ich die lsass.exe umbenannt habe (abgesichert Modus mit Eingabeaufforderung). Naja, ich dachte, dass es die Virusdatei wäre. Aber da habe ich voll daneben gehauen. Und deshalb startete Windows nicht mehr. Ich konnte also erst mal gar nichts machen.
Ich habe mich auch nicht getraut die Windows XP CD für die Reparatur zu benutzen. Damit sollen ja die XP Route Dateien erneuert werden. Aber ich wußte nicht, ob der Wurm das irgendwie auch verhindert oder nachher noch die Platte formatiert wird.
Man kann auch keine Startdiskette benutzen, um dann im DOS-Modus die Datei einfach wieder umbenennen. Denn die Diskette ist FAT und die Platte NTFS. Und da gibt es die herkömmliche Windows C:\ Struktur nicht. Nur die Treiber und Retten.exe von Medion (ist ein Medion Laptop). Also wie bekommt man es hin, dass man eine CD erstellt, die bootfähig ist UND man Dateien umbennen kann etc. oder sogar mit Hilfe einer Netzwerkfunktion sich Dateien von einem anderen Rechner ziehen kann??
Stunden später habe ich die Anntwort gefunden. CHIP und andere Experten haben nur Links zu bootfähigen XP Installations CDs. Und das hat mir Null geholfen. Aber diese Seite:
http://www.nu2.nu/pebuilder/
stellt ein Tool „PE Builder v3.0.32“ zur Verfügung, dass zusammen mit der XP InstallationsCD und diesem Programm ein Image erstellt, dass dann mit NERO etc. gebrannt werden kann. Damit startet man dann den Rechner und bekommt eine ganz abgespeckte Windows-Oberfläche. Da habe ich dann „Ausführen“ „CMD“ - durchgeführt. Bin im Eingabe-Modus ins Windows/system32 Verzeichnis gegangen und habe die lsass.exe wieder richtig umbenannt. Danach konnte ich Windows wieder starten.
Den Wurm hält man dann dadurch auf, dass man einfach AUSFÜHREN und SHUTDOWN -a eingibt und Return drückt. Danach kann man ein Programm (z.B. ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.exe) von http://www.f-secure.com/v-descs/sasser.shtml herunterladen und der Wurm ist weg. Danach das Windows Sicherheitsupdate (siehe oben) ausführen und die Geschichte ist Vergangenheit.
So, ich hoffe, dass damit jemandem geholfen wird, der vielleicht mal genau so blööööööd war wie ich 
Beste Grüße
Sisko
P.S. Hatte das schon mal gespostet. Ist das gelöscht worden? Darf man hier keine Links einstellen??
aber erfolgreich 