Sasser-Klon ?

[DarK_RaideR 10]

Wir haben in unserem Netzwerk folgendes Problem :

 

Wir haben eine Domäne basierend auf Windows 2003 Server,

dort sind Windows XP und Windows 2000 Rechner angebunden,

Seit gestern haben 3 der Rechner das typische Sasserproblem,

mit dem 60 Sekunden Shutdown (NT-Autorität) Problem,

jedoch wurde auf keinen der Rechner der Sasserwurm gefunden,

ich habe explizit mit dem Microsoft und Pandasoftware Removal

Tool für Version A-F die Maschienen gescannt, aber bekam

immer die Meldung das keine Infektion vorliegt.

 

Gibt es etwa einen neuen Wurm, der ein ähnliches Problem verursacht ?

 

Seltsam ist auch folgendes :

 

Im Gegensatz zu einer normalen Infektion, tritt der Fehler

nicht direkt auf, sondern sporadisch, ohne das man ein System

dahinter erkennt.

 

Was aber auch noch sehr schlecht ist, ist das Phenomän, daß

seitdem die 3 Rechner die Meldung brachten, die Internet-

verbindung, die auf zwei DSL Routern basiert bei keinem

Rechner im Netzwerk mehr konstant funktioniert. Man kommt

meistens keine 10 Klicks weit im Internet, dann kommt direkt der

DNS Error im Internet Explorer. Beim auftreten dieses

Phenomäns sind laut Webinterface die Router beide Online und

das anpingen von Web Adressen funktioniert auch, daher ist

es sehr seltsam, das der Internet Explorer die Adressen nicht

auflösen kann. Ebenfalls seltsam ist der dadurch bedingte

Slowdown des Netzwerks, es ist als wäre es total überlastet.

 

Das alles macht die Fehlersuche extrem schwer, da ich keinen

Ansatz habe, wo ich den Fehler suchen muss.

 

Ich hoffe mir kann einer diesbezüglich helfen oder einen

Ansatzpunkt geben, damit ich das Problem beseitigen kann.

 

mfg

 

Marco Gothhardt

[Dr.Melzer 191]

Das hört sich eher nach Blaster, als nach Sasser an.

 

Hol dir mal bei Symantec das removaltool und lasse es drüberlaufen.

 

http://www.symantec.com/avcenter/tools.list.html

[Malinero 10]

Offline Sasser?

 

Ein Mitarbeiter hat sich in USA per Modem ins Internet eingewählt.

Danach kamm die typische Blaster / Sassermeldung mit Herunterfahren und so weiter.

Heute ist er wieder bei mir da und ich hab das Notebook angeschaut:

1. MS04-11 war nicht installiert

2. Vollständiger Systemscan mit Norton: kein Virus gefunden

3. Im Norton Logfile keine Hinweise das ein Virus entfernt wurde, während der User in USA war.

4. Sasser-Removal-Tool von Symantec hat auch nichts gefunden

 

Es ist seitdem nicht mehr aufgetaucht, dass der Rechner neu gestartet hat.

Gibt es eine Sasser-Variante die zwar den PC neustarten lässt, aber sich nicht lokal einnistet?

 

Blaster ist es definitiv nicht!

[DarK_RaideR 10]

Blaster ist es ebenfalls nicht, genau wie der Poster vor mir

sagte ist keine Spur vom Blaster sichtbar, diesbezüglich habe

ich auch schon alle Removal Tools ausgeführt.

 

mfg

 

Marco Gotthardt

[gr@mlin 10]

hi,

 

seit etwa 5 tagen gibt es sasser.g, der sollte sich aber genau so gut finden und löschen lassen, wie sasser.e - zumindest laut symantec.

 

gruss, gr@mlin

[DarK_RaideR 10]

So wie Malinero bereits sagte, trat das Problem bei uns nicht

mehr auf, was weiterhin auftritt ist das Internet und Netzwerk

Problem.

 

Gibt es ein Tool, was es erlaubt sich den Netzwerktraffic

darstellen zu lassen um eventuelle "Dauersender" und

"Bremser" im Netzwerk ausfindig zu machen um dort das

Problem einzugrenzen ?

 

Den wenn ein Rechner das Problem hat haben es alle.

 

Sprich : 10-20 Mausklicks und dann werden Seiten nicht mehr

im Internet Explorer aufgelöst.

 

Was allerdings erstaunlich ist, ist die Tatsache das ein

Web-Radiosender über Real Player keinen Verbindungs-

abbruch bekommt, sondern ohne Probleme weiter empfängt,

selbst wenn Internet Explorer nicht mehr geht und das Netz-

laufwerk ewig bracuht um angezeigt zu werden .

 

 

Auf Hilfe und Ratschläge hoffend,

 

Marco Gotthardt

[gr@mlin 10]

hi,

Gibt es ein Tool, was es erlaubt sich den Netzwerktraffic

darstellen zu lassen

dafür könntest du z.b. ethereal/packetytzer nehmen. oder einfach mal nach netzwerksniffer googeln.

 

gruss, gr@mlin