Coolsero 10 Geschrieben 9. September 2004 Melden Teilen Geschrieben 9. September 2004 Hallo Leute, Hab nen großes Problem !! Alles fing damit an das ich das nicht richtig funzende Notebook meines Freindes mit zu mir genommen habe und es dort an Netz angeschlossen habe um ins Internet u gehen und die neusten Updates von Mircrosoft zu Downloaden !! Jetzt habe ich das Problem das mein Server ( Windows 2000 SP4 ) Dauernt mit dem Fehler Lsass.exe nach 30 Sek Heruntergefahren wird !! Erst habe ich gedacht das ich mir den Sasser eingefangen habe obwohl ich den Patchdrauf habe !! Also habe ich meinen Norton Aktualisiert und suchen lasse !! Leider nichts gefubnden !! Dann habe ich mir das Tools FixBlaster von Symantec Heruntergeladen und laufen lassen, aber leider auch nix !! Was kann es den noch für ein Problem sein ??? Danke Coolsero Zitieren Link zu diesem Kommentar
Coolsero 10 Geschrieben 9. September 2004 Autor Melden Teilen Geschrieben 9. September 2004 Hallo noch mal, Komisch ist noch was ich gerade festgestellt habe, nach dem der Server neu gestartet ist kann ich nicht mehr via Terminal Sesion auf ihn zugreifen !!! Gruß Coolsero Zitieren Link zu diesem Kommentar
Sigma 10 Geschrieben 9. September 2004 Melden Teilen Geschrieben 9. September 2004 Hi, Dir fehlt wohl der entsprechende Patch. Am besten Du lädst ihn dir mit nem anderen Rechner runter und installierst ihn dann oder Du nutzt eine PFW. Der Absturz des LSASS ist nicht mit einer Infektion gleichzusetzen. Findet der Virus den richtigen Einsprungpunkt nicht, stürzt LSASS ab ohne das Du infiziert wirst. Dann findet natürlich auch kein AV-Programm was. Das Herunterfahren kannst Du mit shutdown - a in der Kommandozeile abbrechen. Tschau, Sigma Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 9. September 2004 Melden Teilen Geschrieben 9. September 2004 Hi, macht er denn auf die selbe weise zu wie bei sasser? wenn ja brich das ab unter ausführen dann cmd dann shutdown-a Bist dann wahrscheinlich aber ohne admin- rechte Dann hast du aber die möglichkeit, nen wormcatcher und antivir drüberlaufen zu lassen. deaktiviere aber vorher die systemwiederherstellung, sonst findet der nicht alles. Cat Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 9. September 2004 Melden Teilen Geschrieben 9. September 2004 Geh' mal auf einem sauberen Rechner hier hin, und lade alle kritischen Patches für W2K SP4. Anschliessend kannst du dei Files brennen, oder auf 'nen Stick kopieren, und auf deinem Rechner installieren, dann solltest du vorerst Ruhe haben.... Gruss http://www.microsoft.com/technet/security/CurrentDL.aspx Zitieren Link zu diesem Kommentar
Coolsero 10 Geschrieben 9. September 2004 Autor Melden Teilen Geschrieben 9. September 2004 Hallo Leute, Danke erst mal, werde ich alles mal versuchen !! :D :D :D :D Gruß Coolsero Zitieren Link zu diesem Kommentar
ultrascan 10 Geschrieben 9. September 2004 Melden Teilen Geschrieben 9. September 2004 Hi , ich hatte das gleiche Problem, alle Patches und securies drauf und trotzdem dieses ****e runterfahren. Ich habe das ganze mit der stinger.exe von nai weg bekommen, war doch ein wurm (irgendwas mit@w32 keine Ahnung). Danach war ruhe. SYSTEM wiederherstellen, vorher deaktivieren, sonst findet auch der stinger nichts. Viel Glück!!!! Zitieren Link zu diesem Kommentar
karlie 10 Geschrieben 4. Oktober 2004 Melden Teilen Geschrieben 4. Oktober 2004 @Coolsero Hi, würde mich sehr interessieren was aus Deinem Problem geworden ist. Ich habe bei einem Kunden exakt die gleichen Auswirkungen erleben dürfen - incl. Terminalservices. Hier im Board sind einige Anfragen, die scheinbar auch von dem gleichen Virus - Wurm - was auch immer befallen sind, aber keiner schrieb am Ende dieses oder jenes war es. Gruss Karlie Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 4. Oktober 2004 Melden Teilen Geschrieben 4. Oktober 2004 Hi Karlie Die Lösung wurde doch schon gepostet. Sollte da immer noch was nicht klar sein, dann lies doch 'mal den folgenden Link aufmerksam durch. http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.sasser.worm.html P.S.: Willkommen im Board! :D Gruss Velius Zitieren Link zu diesem Kommentar
karlie 10 Geschrieben 6. Oktober 2004 Melden Teilen Geschrieben 6. Oktober 2004 @velius Hi Velius, danke für die Begrüssung. Mein Wurm (oder so) - Problem geht ja etwas weiter: auf der Maschine (W2K-Server) laufen zeitweise 2 Oracle817 Instancen und zusätzlich Terminalservices zum administrativen Gebrauch. Nach der lsass-Attacke kann ich mich nicht mehr an den Terminaldiensten anmelden und beide Oracleinstancen waren breit. Die Oracle reparieren war kein Problem aber der Terminalzugriff. Im Ereignisprotokoll steht, dass der Server sich nicht mit DCOM registrieren kann. Natürlich haben diverse Scanversuche nichts gefunden (siehe Sigmas Beitrag). Es wäre einfach schön gewesen, wenn Coolsero eine Lösung gefunden hätte, so suchen wir halt gemeinsam weiter. Gruss Karlie Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 7. Oktober 2004 Melden Teilen Geschrieben 7. Oktober 2004 Hi Karlie Wenn du den Artikel aufmerksam gelesen hättest, dann wüsstest du, wie es zu lösen ist. Ausserdem, wenn der LSASS nicht läuft (heisst im Übrigen Local Security Authority Subsystem Service), dann können sich auch keine Benutzer mehr anmelden. Deswegen das Prob. mit dem Teminalservice, da man sich auch da, ganz normal anmelden (auch "authentifizieren" genannt) muss. Bei Fragen, einfach fragen...... Hier nich die Definition vom Net Logon Service, der ohne LSASS nicht läuft: Net Logon Service Name: Netlogon Executable Name: lsass.exe Log On As: LocalSystem Description: Maintains a secure channel between your computer and the domain controller for authenticating users and services. It passes the user's credentials through a secure channel to a domain controller and returns the domain security identifiers and user rights for the user. This is commonly referred to as pass-through authentication. Net Logon is started automatically when the computer is a member of a domain. In Windows 2000 Server family and Windows Server family, the Net Logon service publishes service resource records in the Domain Name System (DNS and uses DNS to resolve names to the Internet Protocol (IP) addresses of domain controllers. Net Logon also implements the replication protocol based on RPC for synchronizing Microsoft Windows NT version 4.0 backupdomain controllers (BDCs) and the primary domain controller (PDC). If this service is stopped or disabled, the computer may not be able to authenticate users and services, the domain controller cannot register DNS records and any attempt to join a machine to a domain will fail. Specifically, it might deny NTLM authentication requests and, in case of a domain controller, it will not be discoverable by client computers. Available on: Windows XP Home, Windows XP Professional; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition and Windows Server 2003, Web Edition. Installed through: Default operating system installation Startup type: Manual Service status: Stopped (until a domain is joined) This service depends on the following system components: Workstation The following system components depend on this service: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.