riesen problem

Dieses Thema im Forum "Sicherheit" wurde erstellt von eurohooks, 28. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. eurohooks

    eurohooks ROM

    Registriert seit:
    28. Mai 2004
    Beiträge:
    4
    hi folks..!

    Ich habe ein riesiges problem! Ich hab die Datei Lsass.exe in meinem Taskmanager.. und ich kann den Prozess auch nicht beenden. Bei google wird immer auf den Sasser hingewiesen doch ich hab gescannt, gescannt und gescannt und Sasser wird nicht gefunden und alle Versionen davon auch nicht..! wenn das fenster aufspringt, dass 60 sekunden herunterzählt zeigt er mir irgendetwas von LSA SHELL EXPORT Version an..!

    hier hab ich den logfile von hijackthis..

    Logfile of HijackThis v1.97.7
    Scan saved at 18:18:40, on 28.05.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\Programme\Messenger Plus! 3\MsgPlus.exe
    D:\Programme\MSN Messenger\MsnMsgr.Exe
    D:\Programme\WinZip\WZQKPICK.EXE
    D:\Programme\Internet Explorer\iexplore.exe
    D:\WINDOWS\System32\wuauclt.exe
    D:\WINDOWS\regedit.exe
    D:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\unzipped\hijackthis1977[1]\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sms.at/
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
    O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{85D399E3-AE8A-4623-AB76-2758E750CB57}: NameServer = 195.58.160.2 195.58.161.3



    bitte helft mir...

    lg jörg..
     
  2. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    der "Sasser-Patch" enthält alle alten RPC Patches, man muss also nur den installieren
     
  3. Gast

    Gast Guest

    Die Patchs schützen zwar, aber sie entfernen nichts. :p
    Besorg dir mal die HIER angebotene Entfernungtools.

    mfg. dedie :D
     
  4. eurohooks

    eurohooks ROM

    Registriert seit:
    28. Mai 2004
    Beiträge:
    4
    eigentlich hab ich die patches + die firewall eingeschaltet..
    JA BEIDE ;-)
     
  5. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    schalte mal deine verdammte Firewall ein, bei XP ist doch eine im Lierferumfang. Wenn es der Blaster ist sollte dann erstmal eine Besserung auftreten.

    Sind bei dir die zwei Patches installiert SASSER u. BLASTER ??

    Grüße
    Wolfgang
     
  6. eurohooks

    eurohooks ROM

    Registriert seit:
    28. Mai 2004
    Beiträge:
    4
    lieber dedie ich hab das update gegen den blaster installiert ! das war das allerste das ich gmacht hab ;)

    Ich hab die datei Lsass mit L also hab ich da mal keinen Virus.. wenn ihr sagt, dass das Fake mit I geschrieben wird.!

    mfg..
     
  7. Gast

    Gast Guest

  8. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @eurohooks

    LSASS ist systemprozess, ISASS ist FAKEEEEEEEEEEEEE ! :D

    das mit dem windowsprozess, wo sich dahinter ein virus tarnen kann ist nicht neu....das sollste ja halt kontrollieren in den dateieigenschaften z.b. !!
    C:\WINDOWS\regedit.exe

    File Version Information :

    Version language : Deutsch (Deutschland)
    CompanyName : Microsoft Corporation
    FileDescription : Registrierungs-Editor
    FileVersion : 5.1.2600.2120 (xpsp.040423-1852)
    InternalName : REGEDIT
    LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
    OriginalFilename : REGEDIT.EXE
    ProductName : Betriebssystem Microsoft® Windows®
    ProductVersion : 5.1.2600.2120

    dies wäre z.b. die ECHTE regedit.exe.....
     
  9. Gast

    Gast Guest

    Hast du schon mal das Wort Blaster gehört :D
     
  10. eurohooks

    eurohooks ROM

    Registriert seit:
    28. Mai 2004
    Beiträge:
    4
    hallo..! also danke mal für eure antworten..! das mit shutdown -a weiss ich. das mit den prozessen weiss ich auch..! nur wenn ich den einen prozess beenden will, dann kommt "Der Taskmanager kann diesen kritischen Systemprozess nicht beenden". Und ist nicht ein unterschied zwischen Lsass und Isass.exe ?

    @bond wie kann ich die eigenschaften im regedit anschauen?
    ich mein.. wenn ich keinen virus hätte.. dann würd ja mein system nicht herunterfahren.. und das fenster aufspringen das 60 sekunden herunterzählt ;)..

    lg..
     
  11. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @Eurohooks

    am besten du kuckst in die Dateieigenschaften bei
    C:\WINDOWS\system32\wuauclt.exe

    File Version Information :

    Version language : Deutsch (Deutschland)
    CompanyName : Microsoft Corporation
    FileDescription : Automatische Updates
    FileVersion : 5.4.3790.2134 built by: SRV03_rtm(ntvbl04)
    InternalName : wuauclt.exe
    LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
    OriginalFilename : wuauclt.exe
    ProductName : Betriebssystem Microsoft® Windows®
    ProductVersion : 5.4.3790.2134

    und im rechten Reiter der eigenschaften muss stehen das diese datei ein gültiges Zertifikat von microsoft XP Publisher besitzt.
     
  12. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    mir fällt bei deinem LOG nur die Microsoft Petze (wuauclt.exe) auf... über die bekommst du hier ein paar Informationen:

    http://www.reger24.de/prozesse/wuauclt.exe.php

    Die WUAUCLT.EXE kann aber auch ein Trojaner seien...

    siehe hierzu:

    http://www.sophos.de/virusinfo/analyses/trojcultb.html

    Also es wäre von dir zu überprüfen ob der Schlüssel existiert:

    Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunMicrosoft auto update = WUAUCLT.EXE

    Existiert der dann ist es wohl der Trojaner..!

    Grüße
    Wolfgang
     
  13. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @ eurohooks

    in deinem log ist kein sasser oder ein anderer schmutzfink zu sehen.
    ist das logfile komplett ?!
    wenn du sasser-befall-symptome hast, müsste man ja was sehen bei dir...am besten du erzählst uns mal was über die prozessnamen im task-manager (STRG+ALT+ENTF) , wenn du meldefenster bekommst....vielleicht verwendet ja der wurm ein anderen überschriebenen prozessname (z.b. die sichtbare regedit.exe bei dir)
     
  14. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ eurohooks

    Dein Log-File ist sauber, ich kann also keine Infektion durch Sasser feststellen.

    Info lsass.exe:
    Ansonsten kann du dich hier über den Sasser informieren.

    Wenn der Countdown gestartet wird, dann gehe auf Start -> Ausführen -> shutdown -a eingeben. Der Countdown wird dann abgebrochen.
     
  15. Gast

    Gast Guest

    Hi,

    die lsass.exe ist eine Systemdatei und gehört dahin, das ist schon O.K. Welche Prozesse gibt es da noch ?

    Das hier unter Anderem schreibt Symantec zum Thema:

    ...
    1. Beenden des bösartigen Prozesses
    So beenden Sie den bösartigen Prozess:
    Drücken Sie zugleich Strg+Alt+Entf.
    Klicken Sie auf "Task-Manager".
    Klicken Sie auf die Registerkarte "Prozesse".
    Doppelklicken Sie auf die Spaltenüberschrift "Name", um die Prozesse alphabetisch zu ordnen.
    Durchsuchen Sie die Liste nach den folgenden Prozessen:
    avserve.exe
    Jeder Prozess, dessen Name aus 4 oder 5 Ziffern und der angehängten Zeichenfolge _up.exe besteht (z. B. 74354_up.exe)
    Wenn Sie einen solchen Prozess finden, klicken Sie darauf und klicken Sie anschließend auf "Prozess beenden".
    Schließen Sie den Task-Manager.

    2. Deaktivieren der Systemwiederherstellung (Windows XP)
    Wenn Sie mit Windows XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese durch die Systemwiederherstellung möglicherweise mitgesichert.


    Hier die entsprechende Seite von MS:
    http://www.microsoft.com/germany/ms/security/incident/sasser/sasserhilfe.mspx


    Das log schauen wir uns jetzt mal in Ruhe an...
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen