Symantec Deutschland
 Symantec weltweit
Produkte
Bezugsquellen
Service und Unterstützung
Händlerzentrum
Security Response
Downloads
Über Symantec
Suche
Kontakt


©1995-2012 Symantec Corporation.
All rights reserved.

Legal Notices
Datenschutz
Sicherheitswarnungen

W32.Sasser.B.Worm

Kategorie 2
Entdeckt am: 01.05.2004
Zuletzt aktualisiert am: 28.01.2005


W32.Sasser.B.Worm ist eine Variante von W32.Sasser.Worm. Der Wurm versucht, die im Microsoft Security Bulletin MS04-011 beschriebene LSASS-Sicherheitslücke auszunutzen, und verbreitet sich, indem er über willkürlich gewählte IP-Adressen nach anfälligen Systemen sucht.

W32.Sasser.B.Worm unterscheidet sich folgendermaßen von W32.Sasser.Worm:

  • Er verwendet eine andere Mutex: Jobaka3.
  • Er verwendet einen anderen Dateinamen: avserve2.exe.
  • Er hat einen anderen MD5-Wert.
  • Er erstellt einen anderen Wert in der Registrierung: "avserve2.exe."

Hinweise:
  • Der MD5-Hash-Wert für diesen Wurm lautet 0x1A2C0E6130850F8FD9B9B5309413CD00.
  • Blockieren Sie auf der Perimeter-Firewall die TCP-Ports 5554, 9996 und 445 und installieren Sie den entsprechenden Microsoft-Patch (MS04-011), um zu verhindern, dass diese Schwachstelle ausgenutzt wird.

W32.Sasser.B.Worm kann auch auf Windows 95/98/Me-Computern ausgeführt werden (ohne diese jedoch zu infizieren). Obwohl diese Betriebssysteme nicht infiziert werden können, so können sie jedoch zur Weiterverbreitung des Wurms auf damit verbundene, anfällige Systeme verwendet werden. In diesem Fall verbraucht der Wurm sehr viele Ressourcen. Dadurch können Programme, so auch unser Entfernungsprogramm, nicht mehr richtig ausgeführt werden. (Auf Windows 95/98/Me-Computern sollte das Programm im abgesicherten Modus ausgeführt werden.)

Security Response hat einige Informationen zur Verfügung gestellt, um Netzwerkadministratoren bei ihren fortwährenden Bemühungen zu helfen, mit W32.Sasser.Worm infizierte Computer in ihren Netzwerken aufzuspüren. Weitere Informationen finden Sie im englischsprachigen Dokument Detecting traffic due to LSASS worms.		  

Auch bekannt als: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky], W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Associates]
Varianten: W32.Sasser.Worm
Typ: Wurm
Infektionslänge: 15872 Byte
Betroffene Systeme: Windows 2000, Windows XP
Nicht betroffene Systeme: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003
CVE-Referenzen: CAN-2003-0533

Schutz
  • Virusdefinitionen (LiveUpdate™ Weekly)

    • 01.05.2004
  • Virusdefinitionen (Intelligent Updater)

    • 01.05.2004

    Feststellung einer Bedrohung

    Im Umlauf

    Bedrohungsdaten
    Mittel Niedrig Hoch

    Im Umlauf:
    Mittel

    Schaden:
    Niedrig

    Verteilung:
    Hoch

    Schaden

    Verteilung

    Technische Details

    Bei Ausführung geht W32.Sasser.B.Worm folgendermaßen vor:

      1. Er versucht, eine Mutex mit dem Namen JumpallsNlsTillt zu erstellen. Schlägt dies fehl, so wird der Wurm nicht ausgeführt. Hierdurch wird sichergestellt, dass immer nur eine Instanz des Wums zur selben Zeit auf dem Computer ausgeführt wird.

      2. Er versucht, eine Mutex mit dem Namen Jobaka3 zu erstellen. Diese Mutex scheint keinen besonderen Zweck zu haben.

      3. Er kopiert sich nach %Windir%\Avserve2.exe.

        Hinweis: %Windir% ist eine Variable. Der Wurm sucht den Windows-Installationsordner (üblicherweise C:\Windows oder C:\Winnt) und kopiert sich dorthin.

      4. Er fügt den Wert

        "avserve2.exe"="%Windir%\avserve2.exe"

        dem folgenden Registrierungsschlüssel hinzu:

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.

      5. Er verhindert mithilfe der API AbortSystemShutdown den Versuch, den Computer herunterzufahren und neu zu starten.

      6. Er startet über den TCP-Port 5554 einen FTP-Server. Mithilfe dieses Servers kann sich der Wurm auf andere Hosts verbreiten.

      7. Er beschafft sich die IP-Adressen des infizierten Computers über das Windows-API gethostbyname.

        Hinweis: Der Wurm ignoriert die folgenden Adressen:
        • 127.0.0.1
        • 10.x.x.x
        • 172.16.x.x - 172.31.x.x (einschließlich)
        • 192.168.x.x
        • 169.254.x.x


      8. Auf der Grundlage einer dieser IP-Adressen vom infizierten Computer generiert der Wurm dann eine weitere IP-Adresse.
        • In 25 % der Fälle werden die letzten zwei Oktetts der IP-Adresse durch willkürliche Zahlen ersetzt. Wenn die unter Schritt 7 erhaltene IP-Adresse beispielsweise A.B.C.D ist, so werden C und D willkürlich gewählt.
        • In 23 % der Fälle werden die letzten drei Oktetts der Adresse durch willkürliche Zahlen ersetzt. Wenn die unter Schritt 7 erhaltene IP-Adresse beispielsweise A.B.C.D ist, so werden B, C und D willkürlich gewählt.
        • In 52 % der Fälle wird die IP-Adresse völlig willkürlich gewählt.

          Hinweise:
        • Da der Wurm in 52 % der Fälle völlig beliebige Adressen erstellen kann, können alle IP-Bereiche infiziert werden, also auch die unter Schritt 7 ignorierten.
        • Der Prozess besteht aus 128 Threads und beansprucht daher sehr viel CPU-Zeit. Daher kann ein infizierter Computer sehr stark verlangsamt oder gar kaum mehr benutzbar werden.

      9. Er stellt über den TCP-Port 445 eine Verbindung zur generierten IP-Adresse her, um festzustellen, ob ein entfernter Computer online ist.

      10. Wenn eine Verbindung zu einem Computer hergestellt werden konnte, sendet der Wurm Shellcode an diesen Computer, durch den der Wurm eine Remote-Shell auf dem TCP-Port 9996 öffnen kann.

      11. Der Wurm verwendet die Shell auf dem Remote-Computer, um auf Port 5554 wieder eine Verbindung zum FTP-Server des infizierten Computers herzustellen und eine Kopie des Wurms abzurufen. Der Name dieser Kopie besteht aus vier oder fünf Ziffern und der angehängten Zeichenfolge _up.exe (z. B. 74354_up.exe).

      12. Der Prozess Lsass.exe stürzt ab, nachdem der Wurm die LSASS-Schwachstelle von Windows ausgenutzt hat. Windows zeigt eine Warnmeldung an und schaltet das System dann innerhalb von einer Minute ab.

      13. Er erstellt eine Datei unter C:\win2.log, die die IP-Adresse des Computers enthält, den der Wurm als letztes zu infizieren versucht hat. Außerdem enthält die Datei die Anzahl der infizierten Computer.


      5400-Serie von Symantec Gateway Security und Symantec Gateway Security V. 1.0
      • Virenschutzkomponente: Es ist eine Aktualisierung für die Symantec Gateway Security AntiVirus-Engine verfügbar, die Ihr System vor W32.Sasser.B.Worm schützt. Benutzern der 5000-Serie von Symantec Gateway Security wird empfohlen, LiveUpdate auszuführen.
      • IDS/IPS-Komponente: Eine Signatur für die 5400-Serie von Symantec Gateway Security, die Angriffe auf die Microsoft LSASS-Sicherheitslücke erkennt, ist in der am 14. April herausgebrachten Sicherheitsaktualisierung SU 8 enthalten.
        Außerdem wurde eine Signatur für SGS 1.0 herausgebracht, die Angriffe auf die Microsoft LSASS-Schwachstelle erkennt. Benutzern der 5000-Serie von Symantec Gateway Security wird empfohlen, LiveUpdate auszuführen.
      • Vollständige Anwendungsinspektions-Firewall-Komponente: Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Sasser.B.Worm, indem Angreifern der Zugriff auf den TCP-Port 445 sowie die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien auf diesen Ports keinen eingehenden Verkehr zulassen.


      Symantec Enterprise Firewall 8.0
      Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Sasser.B.Worm, indem Angreifern der Zugriff auf den TCP-Port 445 sowie die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien auf diesen Ports keinen eingehenden Verkehr zulassen.

      Symantec Enterprise Firewall 7.0.x und Symantec VelociRaptor 1.5
      Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Sasser.B.Worm, indem Angreifern der Zugriff auf den TCP-Port 445 sowie die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien auf diesen Ports keinen eingehenden Verkehr zulassen.

      Symantec Clientless VPN Gateway 4400 Series
      Diese Bedrohung hat keine Auswirkungen auf Symantec Clientless VPN Gateway V. 5.0. Standardmäßig blockiert das Sicherheits-Gateway den Zugriff auf die TCP-Ports 445, 5554 und 9996.

      Symantec Gateway Security 300 Series
      Die vollständige Inspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig davor, dass Angreifer bei internen Systemen auf den TCP-Port 445 und auf die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern zugreifen können. Wir empfehlen Administratoren, sicherzustellen, dass die Sicherheitsrichtlinien keinen eingehenden Verkehr auf den TCP-Ports 445, 5554 und 9996 zulassen. Außerdem sollte die AVpe-Funktion der 300-Serie von SGS verwendet werden, um sicherzustellen, dass alle Antivirus-Clients über die aktuellsten Virusdefinitionen verfügen.

      100/200-Serie von Symantec Firewall/VPN
      Die vollständige Inspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig davor, dass Angreifer bei internen Systemen auf den TCP-Port 445 und auf die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern zugreifen können.

      Symantec Host IDS 4.1/4.1.1
      Prävention gegen diesen Wurm und alle bekannten Varianten ist für Symantec Host IDS 4.1/4.1.1 über LiveUpdate verfügbar.

      Intruder Alert 3.6
      Für diesen Wurm ist Erkennung verfügbar: Symantec hat Intruder Alert 3.6 W32_Sasser_Worm.pol herausgebracht.

      Symantec ManHunt
      Am 13. April 2004 wurde das Security Update 22 herausgebracht, mit dem alle Versuche, die LSASS-Sicherheitslücke auszunutzen, mit der Signatur "Microsoft RPC LSASS DS Request" erkannt werden. Daher waren Benutzer von Symantec ManHunt bereits geschützt und zu keinem Zeitpunkt anfällig, als W32.Sasser.B.Worm in Umlauf gebracht wurde.

      Symantec Client Security
      Symantec hat einen Patch für Symantec Client Security 1.x und 2.0 herausgebracht, durch den die LSASS-Sicherheitslücke mit der Signatur MS_Windows_LSASS_RPC_DS_Request erkannt wird, sobald der Wurm versucht, das System zu infizieren. Wenn der Sasser-Wurm sich bereits auf dem System befindet, wird der Benutzer durch alle Versionen von Symantec Client Security, die über die standardmäßigen Firewall-Richtlinien verfügen, dazu aufgefordert, eine Zulassungs-/Blockierungs-/Konfigurierungsregel für den Wurm zu erstellen, wenn dieser versucht, den FTP-Server zu starten und ausgehende Daten zu senden. Virusdefinitionen vom 1. Mai 2004 oder später schützen Sie vor diesem Wurm und sind über LiveUpdate oder den Intelligent Updater verfügbar.

      Symantec NetRecon
      Das Symantec NetRecon Security Update 17, das am 4. Mai 2004 herausgebracht wurde, entdeckt und meldet die LSASS-Sicherheitslücke.

      Empfehlungen

      Symantec Security Response bietet diese Vorschläge über die Einstellungen Ihrer Symantec-Produkte an, um die Folgen der Bedrohung zu mildern.

      Gateway

      Symantec Gateway Security

      Symantec Enterprise Firewall

      Symantec Clientless VPN

      Symantec Gateway Security 300 Appliance

      Symantec Firewall / VPN Appliance


      Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

      • Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
      • Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
      • Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
      • Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
      • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
      • Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
      • Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
      Entfernungsanweisungen

      Bitte zuerst lesen:
      Wenn Sie mit Windows 2000 oder XP arbeiten, müssen Sie den im Microsoft Security Bulletin MS04-011 beschriebenen Patch installieren, wenn Sie dies nicht schon getan haben. Andernfalls wird Ihr Computer sehr wahrscheinlich erneut infiziert werden.

      Wie gehen Sie vor, wenn der Computer heruntergefahren wird, bevor Sie den Patch installieren bzw. das Entfernungsprogramm herunterladen können?
      Diese Bedrohung kann dazu führen, dass Windows wiederholt heruntergefahren und neu gestartet wird. Dies kann Sie daran hindern, den Microsoft-Patch zu installieren oder das unten beschriebene Entfernungsprogramm herunterzuladen. Um das Problem zu lösen, gehen Sie bitte wie folgt vor. (Unter Umständen benötigen Sie hierzu mehrere Versuche, da Sie nur etwa 20 Sekunden Zeit haben, um die Schritte 3 bis 6 durchzuführen.) Diese Schritte funktionieren nicht unter Windows 2000.
      1. Trennen Sie die Internet-/Netzwerkverbindung des Computers. (Entfernen Sie ggf. das Kabel.)
      2. Starten Sie den Computer neu.
      3. Sobald Windows geöffnet ist und Sie den Windows-Desktop sehen, klicken Sie auf Start > Ausführen.
      4. Geben Sie Folgendes ein:

        cmd

        und drücken Sie die Eingabetaste.

      5. Geben Sie Folgendes ein:

        shutdown -i

        und drücken Sie die Eingabetaste.

      6. Wenn das Dialogfeld Remotecomputer herunterfahren angezeigt wird, gehen Sie folgendermaßen vor:
        1. Klicken Sie auf Hinzufügen, geben Sie den Namen Ihres Computers im Dialogfeld Computer hinzufügen ein und klicken Sie auf OK.
        2. Geben Sie im Feld Warnung anzeigen für den Wert "9999" ein.
        3. Geben Sie folgenden Text unter Kommentar ein:

          Ausschalten durch Lsass.exe verzögern
        4. Klicken Sie auf OK.

          Dadurch erhalten Sie in etwa 3 Stunden Zeit, in denen Sie u. a. den Patch installieren und die Definitionen aktualisieren können.
      7. Stellen Sie die Internetverbindung oder die Netzwerkverbindung wieder her.
      8. Öffnen Sie Ihren Browser und laden Sie den Patch herunter. Fahren Sie mit den folgenden Schritten fort.
      Wenn Sie den Patch installiert und die Bedrohung entfernt haben, können Sie die Warnungseinstellungen wieder auf 20 Sekunden zurücksetzen.


      Entfernung mit dem W32.Sasser-Entfernungsprogramm
      Symantec Security Response hat ein Programm zur Entfernung von W32.Sasser.B.Worm-Infektionen entwickelt. Dies ist die einfachste Methode zur Beseitigung dieser Bedrohung. Sie sollte als erstes versucht werden.
        Manuelle Entfernung
        Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
        1. Beenden Sie den bösartigen Prozess.
        2. Deaktivieren Sie die Systemwiederherstellung (Windows XP).
        3. Aktualisieren Sie Ihre Virusdefinitionen.
        4. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32.Sasser.B.Worm infiziert erkannt werden.
        5. Machen Sie die an der Registrierung vorgenommenen Änderungen rückgängig.

        Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.
          1. Beenden Sie den bösartigen Prozess
            So beenden Sie den bösartigen Prozess:
            1. Drücken Sie zugleich Strg+Alt+Entf.
            2. Klicken Sie auf Task-Manager.
            3. Klicken Sie auf die Registerkarte Prozesse.
            4. Doppelklicken Sie auf die Spaltenüberschrift Name, um die Prozesse alphabetisch zu ordnen.
            5. Durchsuchen Sie die Liste nach den folgenden Prozessen:
              • avserve.exe
              • Jeder Prozess, dessen Name aus 4 oder 5 Ziffern und der angehängten Zeichenfolge _up.exe besteht (z. B. 74354_up.exe)
            6. Wenn Sie einen solchen Prozess finden, klicken Sie darauf und klicken Sie anschließend auf Prozess beenden.
            7. Schließen Sie den Task-Manager.


          2. Deaktivieren der Systemwiederherstellung (Windows XP)
          Wenn Sie mit Windows XP arbeiten, empfehlen wir Ihnen, die Option Systemwiederherstellung vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese durch die Systemwiederherstellung möglicherweise mitgesichert.

          Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Virenschutzprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Virenschutzprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

          Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

          Anweisungen zum Deaktivieren der Systemwiederherstellung finden Sie in Ihrer Windows-Dokumentation oder im Dokument Wie wird die Systemwiederherstellung in Windows XP aktiviert oder deaktiviert?
          Hinweis: Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen in den zuvor genannten Dokumenten wieder aktivieren.


          3. Aktualisieren der Virusdefinitionen
          Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
          • Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Diese Virusdefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (LiveUpdate).
          • Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).

            Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie werden die Virusdefinitionsdateien mit dem Intelligent Updater aktualisiert.


          4. Prüfen des Computers und Löschen infizierter Dateien
          1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
          2. Führen Sie eine vollständige Systemprüfung durch.
          3. Wenn Dateien als mit W32.Sasser.B.Worm infiziert gemeldet werden, klicken Sie auf Löschen.

          5. Entfernen eines Werts aus der Registrierung
          WARNUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.
          1. Klicken Sie auf Start > Ausführen. Das Dialogfeld Ausführen wird geöffnet.
          2. Geben Sie regedit ein und klicken Sie auf OK. Der Registrierungseditor wird geöffnet.
          3. Suchen Sie den Schlüssel

            HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
          4. Löschen Sie diesen Wert im rechten Teilfenster:

            "avserve2.exe"="%Windir%\avserve2.exe"
          5. Schließen Sie den Registrierungseditor.

          Bisherige Aktualisierungen:

          • 27. Oktober 2004: Aufgrund der sinkenden Anzahl von Meldungen von Kategorie 3 auf Kategorie 2 herabgestuft.
          • 26. Mai 2004: Aufgrund der sinkenden Anzahl von Meldungen von Kategorie 4 auf Kategorie 3 herabgestuft.
          • 2. Mai 2004:
            • W32.Sasser.B.Worm auf Kategorie 4 hochgestuft.
            • Alias-Informationen hinzugefügt.
          • 1. Mai 2004: Link zum Entfernungsprogramm hinzugefügt.


          Englische Version dieses Dokuments

          Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.

          Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.


          Zuletzt aktualisiert von: Heather Shannon