NOVA OPASNOST: W32/Sasser.worm - LSA Shell problem + restart Windows

[nagoja1]

Imam instalirane i W98 i XP. U zadnje vreme mi XP j... kevu. Poceo je da mi prvo iskljucuje sve redomd explorera,pa sve ostalo sto probam da otvorim i nesto odradim (word,nero,divx i dr playeri,...) i non stop mi izbacuje prozor da program mora da se zatvori. E sada je poceo da ide jos "dublje".Prvo me je juce celi dan drndao tako sto nije hteo nista da otvori i ispisuje mi da mi je memorija nedovoljna (imam 512mb) a nista nije otvoreno i onda je krenuo da mi izbacuje prozor u kome pise da mora da mi iskljuci komp zato sto je doslo do greske u: NT AUTHORITY/SYSTEM i onda mi posle 60 sek iskljuci komp. E tu nije kraj, kada ga zatim ukljucim onda mi izbacuje prozor u kome pise: LSA SHELL (EXPORT VERSION) ima gresku i mora da se zatvori i onda mi posle par sekundi ponovo izbacuje prozor u kome pise da ce ga za 60 sek iskljuciti i tako idem u krug.Uradio sam RESTAURIRANJE SISTEMA i onda mi posle 10 restartovanja dozvoli da udjem u internet na 2 min (kao sada) i odmah izbacuje pomenuti prozor da ce iskljuciti komp.
Nemam pojma sta sve ovo znaci i kako da ga vratim u normalu pa vas zato molim za pomoc jer sam na ivici da ga razbijem.
Hvala svima unapred

 

[Mauzer]

Brate zakacio si virus W32/Sasser.worm
evo link za pomoc : http://www.elitesecurity.org/tema/52343
Nadam se da sam pomogao

 

[drapin]

http://www.benchmark.co.yu/forum/showthread.php?t=43354
http://www.benchmark.co.yu/forum/showthread.php?t=43350

 

[Swiper]

gasenje XP-a

Imam problem slican onom kao kod MSBlastera... ISta poruka kao kod msblastera da ce da se ugasi sistem za 60 sec, pocne odbrojavanje i ugasi se... Instalirao sam patch odmah posle same instalacije XP-a i sad sam ponovo to uradio kad mi se to desilo i evo vec 4 puta veceras se gasi... Kako da resim problem ? Napominjem poruka je ISTA kao kod msblastera...

 

[nagoja1]

Mauzeru hvala ti ko bratu :banana: ,naravno i postovanom moderatoru :guitar: .
Medjutim jedna sitnica ,ja sam spustio STINGER.EXE kako mi je rekao Mauzer,ali mi nije skinuo sve :smackbum: ,pa sam tek preko PANDA ActiveSCAN-a skinuo jos 2 SASSER virusa koji nisu bili sklonjeni Stingerom i tek onda potpuno ocistio sve .
Sta mislite o tome sto Microsoft predlaze UPDATE za sve OS :wall: ?
Pozdrav za sve i jos jednom VELIKO HVALA :wave:

 

[nagoja1]

Ej, cekajte malo,izgleda da sam se prerano poradovao.Pa samo sto sam isterao jedan Active Scan koji je nasao 2 komada odmah sam zatim ponovo ativirao Active Scan i on pronadje jos 3 ista virusa!!! Sta je to,u cemu je fora kada sam ih izbrisao i Stingerom i ActiveScanom i na kraju su mi i jedan i drugi rekli da su virusi ocisceni i da ih vise nema i evo sada kada vam ovo pisem opet mi se pojavio prozor koji ce za 60 sek da mi iskljuci kompjuter.
Sta sada ???

 

[nagoja1]

Otvori moj naslov "Pomagajte ili razbijam ....." koji se nalazi iznad tvog i uradi sto kaze Mauzer!

 

[drapin]

Merge-ovana dva thread-a o istoj napasti, uz dva thread-a iz Internet sobe to su cetiri za jedno vece - bojim se da ce se ponoviti Blaster...u svakom slucaju ovo zasluzuje barem privremeni sticky.

 

[drapin]

Kako izgleda:

Informacija MS-a o sigurnosnom propustu:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Download patch-a za XP (KB835732 - 12 april 2004):
http://www.microsoft.com/downloads/...9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

Ako ste ga vec dobili, sveze update-ovani antivirus bi trebao da ga cisti. Cisti ga i NAJNOVIJA verzija Stingera od 30.04.2004: http://download.nai.com/products/mcafee-avert/stinger.exe ( prethodne verzije verovatno ne ). Obavezno iskljuciti System Restore pre ciscenja.

Sasser nije destruktivan.

 

[nagoja1]

Drapine,sve je ok sto ti to pises,ali se kod mene sve vraca.
STINGER mi pri svakom aktiviranju ocisti jedno te isto: Qhosts.apd Trojan,a onda kada ukljucim Pandin ActiveScan on mi takodje nalazi jedno te isto,po 2 ili 3 SASSERA,ali mi je poslednji put pronasao Sasser.B.worm, a u predhodnim prilikama Sasser.A.worm. (ne znam da li ima razlike izmedju verzije A i B?).
Da li neko zna sta mogu da uradim i da mi se smradovi ne vracaju tj. ne plivaju po kompu!!!
Pozdrav

 

[golum]

Pojma nemam sta se desava izgleda da sam ga i ja zakacio. Instalirao patch, upotrebio Stinger (koji ga nije video prilikom skeniranja), a najveca mi je frka jer ne znam sta se desava prilikom svakog kacenja na net meni se sa kompa upload-uju neki silni MB informacija????? WTF is going on? Pri tome mi net uzasno sporo radi za DL - normalno otvaranje stranica i surfovanje?
Pozdrav

 

[Rasa]

Imas ovde nortonov removal tool
http://securityresponse.symantec.com/avcenter/tools.list.html
i direktan link
http://securityresponse.symantec.com/avcenter/FxSasser.exe

 

[npetar]

Moze li neko da napise kako se siri, tj. kako ste ga zadobili ?

EDIT:
Pronasao sam...

It behaviour is similar to Blaster. The worm scans random IP addresses until it finds systems with this vulnerability. Once found, it copies itself in Windows directory with the name AVSERVE.EXE and creates the following registry entry, to ensure it is launched when the system is booted:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

avserve.exe = %windir%\avserve.exe

In addition, the vulnerability uses a buffer overflow to make the LSASS.EXE application crash. Because of this, the system can fail.

 

[Filo]

Drapine,sve je ok sto ti to pises,ali se kod mene sve vraca.
STINGER mi pri svakom aktiviranju ocisti jedno te isto: Qhosts.apd Trojan,a onda kada ukljucim Pandin ActiveScan on mi takodje nalazi jedno te isto,po 2 ili 3 SASSERA,ali mi je poslednji put pronasao Sasser.B.worm, a u predhodnim prilikama Sasser.A.worm. (ne znam da li ima razlike izmedju verzije A i B?).
Da li neko zna sta mogu da uradim i da mi se smradovi ne vracaju tj. ne plivaju po kompu!!!
Pozdrav

a jesi li video da treba da iskljucis system restore kad ubijas taj virus?

 

[nagoja1]

a jesi li video da treba da iskljucis system restore kad ubijas taj virus?

Ma iskljucio sam i System Restore kako su rekli na Pandinoj i drugim anti-virus stranicama i opet mi se javlja isto. Ovde na ovoj Pandinoj strani http://www.pandasoftware.com/support/card.aspx?id=18&IdIdioma=2
nisam bas dobro shvatio kada treba da ukljucim System Restore.
Ja sam ga prvo iskljucio, pa ocistio sa Stingerom i Pandinim ActiveScanom, zatim restartovao PC i onda ponovo ukljucio System Restore i pri ponovnom ciscenju mi je nasao isto. Na gore pomenutom linku kazu da XP u svom Restore Folderu cuva zakljucane pronadjene viruse koji nisu opasni po PC vec ih samo anti-virus detektuje da postoje i to je OK,ali ono sto mene brine je to sto mi se sada PC ne iskljucuje (bar za sada),ali mi i dalje ne dozvoljava da radim odredjene stvari (download bilo kojim asistentom,ne dozvoljava mi na primer da kliknem na neku od gornjih ikona: Pretraga,Istorijal,a posebno Favoriti,....) i odmah mi smrzne stranicu i izbacuje prozor: Program ne Odgovara i mora da se finalizira. Ne znam da li i ovo ima veze sa Sasserom?
Voleo bih da neko pogleda gore napisani link i malo razjasni stvar.
Pozdrav

 

[drapin]

Mislim da ovi ostali problemi nemaju veze sa Sasser-om, barem se nigde ne spominje da se inficirana masina tako ponasa. Uostalom i sam si napisao u prethodnom postu da ti se to ili nesto slicno desavalo i pre nego sto si zakacio Sasser.

 

[voodoo_]

Download patch-a za XP (KB835732 - 12 april 2004):
http://www.microsoft.com/downloads/...9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

Hehe, ne verujem , ovo je prvi patch koji sam skinuo apsolutno bez ikakvog povoda i pre nego sto je crv poceo da se siri internetom...
E jos da sam to uradio i pre pojave blastera...

 

[vukota]

Mislim da ovi ostali problemi nemaju veze sa Sasser-om, barem se nigde ne spominje da se inficirana masina tako ponasa. Uostalom i sam si napisao u prethodnom postu da ti se to ili nesto slicno desavalo i pre nego sto si zakacio Sasser.

Drapine da li imas predstavu o cemu se radi jer se i meni stranice (i ostale stranice) smzavanju sporadicno kao i Nagoji, a nemam Sasser u masini.
Thanks

 

[vukota]

Drapine da li imas predstavu o cemu se radi jer se i meni stranice (i ostale stranice) smzavanju sporadicno kao i Nagoji, a nemam Sasser u masini.
Thanks

Ispravka: hteo sam da kazem u zagradi (i ostale stvari tipa:GetRight,ikone,....). Najvise se ipak desava kada hocu gore da izaberem:Favorite,Historial,Multimediju,Pretragu,...i onda se smrzava i izbacuje: IEXPLORE.EXE. ne odgovara i mora biti zatvoren!
U cemu je stvar

 

[Sasa]

Hehe, ne verujem , ovo je prvi patch koji sam skinuo apsolutno bez ikakvog povoda i pre nego sto je crv poceo da se siri internetom...
E jos da sam to uradio i pre pojave blastera...

Hmm, nisi li ti pre par meseci pricao "si ti lud da skidam update za windows, sa piratskim windowsom, bla bla, bla bla, ko bi bio toliki ******" ?



Pozdrav!

 

[Mauzer]

Evo mene opet
Ja sam sve rucno ocistio i skinuo patch sa Microsofta i nema problema evo celi dan.
Postoji i vise varijanti avserve.exe fajla kojeg stinger verovatno ne vidi. Kod mene je konkretno bio kao avserve2.exe.

For those on XP you should first delete the AVserve.exe file in your windows folder.
Then in your System 32 folder deleted the Numbered_up.exe files (there were three in mine)

then delete the Avserve.exe reg key.

After that you need to d/l both of those two patches first mentioned:
http://www.microsoft.com/downloads/...8b-fe98-493f-ad76-bf673a38b4cf&displaylang=en

that one, and this one:
http://www.microsoft.com/downloads/...9e-da3f-43b9-a4f1-af243b6168f3&displaylang=en

In Registry Editor, locate and delete the following registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe


Da bi zaustavili automatsko gasenje ukucajte u RUN "shutdown -a",kada se pojavi onaj prozorcic, da bi mogli da ocistite masinu nba miru.

Pozdrav

 

[IGGSy]

Ok a da li se ikome masina gasi bez ikakve najave ?!
Samo Paf!
I onda morash da je odvojish od napajanja pa da je ukljuchis da bi radilo ?!
To mi se danas desilo X puta!!!
Skenirao sa danasnjim updateom kasperskog i nista!!!!

 

[proximo]

Samo da vam se zahvalim, jer i mene je Sasser ubijao a nisam imao pojma sta se desava dok nisam pogledao na Benchmark-u!

 

[Sasa]

Ok a da li se ikome masina gasi bez ikakve najave ?!
Samo Paf!
I onda morash da je odvojish od napajanja pa da je ukljuchis da bi radilo ?!
To mi se danas desilo X puta!!!
Skenirao sa danasnjim updateom kasperskog i nista!!!!

To sigurno nije virus.
Dovoljno je malo razmisliti i skapirati da virus ne moze da utice na napajanje i njegov rad, eventualno kako ono funkcionise sa tvojom plocom.

 

[shtaps]

http://news.bbc.co.uk/2/hi/europe/3695857.stm

 

[voodoo_]

Hmm, nisi li ti pre par meseci pricao "si ti lud da skidam update za windows, sa piratskim windowsom, bla bla, bla bla, ko bi bio toliki ******" ?



Pozdrav!

ovaj, mislim da si me pomesao sa nekim... :d

 

[minketa]

Moram da vas zamolim nesto... u situaciji sam da nemam vremena da radim search i proucavam pojavu Sassera, kazite mi da li je dovoljno primeniti removal tool Windows-KB841720-ENU-V2 i patch WindowsXP-KB835732-x86-ENU - da bih sprecio da mi se masina gasi za 60 sec?

Ceo smisao ovog mog pitanja je da ja ove dve alatke treba da posaljem na mail coveku koji nema veze sa kompjuterima, i objasnim sta sa njima da radi da bi se otarasio napasti... a ne moze da ceprka po sys file-ovima i registry-ju.

 

[minketa]

Da li patch-ovanje zaustavlja delovanje worm-a, i sve efekte infekcije?

 

[zmanic]

Moram da vas zamolim nesto...Windows-KB841720-ENU-V2 i ..... -KB835732-x86-ENU - ....?

Majku mu *****, pogledajte te oznake update patch-eva. Nazivi patch-eva isti ko serijali iz M$ produkcije !

 

[minketa]

up-date:
Run: shutdown -a
ne pomaze. Masina se i dalje gasi... i nema se vremena da se odradi dezinfekcija i patch-ovanje.
Sta da radim?