lsass.exe verseucht...was nun?

Hi!

Mein System ist vor drei Wochen neu aufgesetzt worden.
XP SP3, Firewall+Antivirenprogramm.

Nun wurde mir angezeigt, das meine lsass.exe verseucht sein soll!
Und zwar mit dem AgentXO Wurm. der gleiche soll sich auch in einem Volume befinden!

Ich kann ja nicht einfach die lsass löschen!

Was kann ich tun?
Ist das überhaupt die "echte" lsass.exe? Die befallene befindet sich in den Anwendungssdaten im Ordner SystemProc....hört sich irgendwie komisch an!
Auch eine autoexec.exe ist befallen....diese kenne ich aber mit der endung .exe auch nicht!

Hier mal ein MalwareBytes Scan


Danke und Gruß,
Ben

 

Tja, was nun?

Das sieht ziemlich nach Downloader.W32.Haxdoor aus.
http://www.processlibrary.com/de/directory/files/autoexec/

Du hast 2 Möglichkeiten:

Entweder du vertraust dich blind irgendwelchen Helfern an, die dir raten werden, mit der verseuchten Kiste ins Internet zu gehen, alle möglichen Programme runterzuladen und dann vlt mal behaupten, die Kiste sei jetzt, oh Wunder, gesäubert.

Oder du schafftst klare Verhältnisse und setzst neu auf. Der Umstand, dass du das gerade hinter dir hast, sollte dir Anlass geben, über dein Surfverhalten nachzudenken und dir ein Image-Programm anzuschaffen. Unmittelbar nach dem Neuaufsetzen solltest du ein Image ziehen und über eine Backup-Strategie nachdenken.

 

Dem kann ich nur beipflichten!

@ VTEC Power

Wenn du dein System neu aufgesetzt hast und offline das SP2, SP3 und das aktuelle Update-Pack für Windows XP installiert hast, dann lege dir zum Surfen im Internet ein Benutzerkonto mit eingeschränkten Rechten an.

Das Admin-Konto solltest du ausschließlich zur Installation bzw. Deinstallation von Programmen und zur Aktualisierung des Systems und der installierten Programme nutzen.

Gruß
Nevok

 

Ist XP vor drei Wochen mit internet verbunden gewesen bei der neu-installation?

 

Vor drei Wochen XP zerbröselt, jetzt wieder...
Surf Verhalten nicht geändert.
Da ist jeder Ratschlag wie Perlen vor Säue werfen....
Endlos Schleife neu Auf setzen und wieder verbiegen bis es im Hirn klick macht....

 

Bis es im Hirn klick macht...super nützliche Aussage!

Ich hatte komischerweise 5 Jahre lang keine Probleme mit Viren! Das System war 5 Jahre unverseucht und unformatiert!
Neu aufsetzen musste ich wegen eines Festplattenschadens!

Und meine Doofheit war es, das ich nach der Neuinstallation erst den Internet Explorer nutzen musste und da alle Sicherheitseinstellungen runtergefahren habe, da ich ein Werkstattprogram habe, was nur mit niedrigen Sicherheitseinstellungen läuft!

Ich hatte lediglich vergessen, die Einstellungen wieder hochzufahren und bin mit dem IE dann im Netz gewesen...und heutzutage kommt man nunmal leider schnell auf Seiten, wo man sich plötzlich nen Downloader einfängt!

Ganz einfach DAS war der Grund, warum ich mir etwas eingefangen habe!

@alle ausser neppo:
Nein, habe mit Absicht die Internetverbindung getrennt bei der Installation und alle SPs manuell installiert, erst als Firewall aktiv + Firewall Programm und Virusprogramm installiert und im Router die Ports eingestellt/blockiert waren, habe ich die Internetverbindung eingeschaltet!

ich kann mir also NUR über den ungeschützen IE etwas einegfangen haben! Und ich war in diesen 3 Wochen WEDER auf Prono Seiten, noch auf Warez Seiten und habe mir auch nichts runtergeladen, was von unseriösen Quellen stammen könnte, lediglich Treiber wie von Nvidia und HP.

Die einzige Seite die ich mit dem noch ungeschützen IE besucht hatte, wo ich es mir vorstellen könnte, war eine Cheats Seite, da mein Cousin ein paar Tipps&Tricks zu einem Spiel gesucht hat!!! Danach hatte ich dann schon den neuen Forefox in Gebrauch!

Soviel zu einer Vorverurteilung zum negativen Surfverhalten eines Users!

 

Ändert ja leider nichts am Schadensbild.

Die Frage bzgl. des Internetkontakts bei der Installation ist IMO nicht ganz ernst zu nehmen. Wie du schreibst, hast du XP SP3 installiert, da spielte der "Wurm von der Wümme" keine Rolle mehr.

Aber was soll's: Wie schon gesagt, lege dir ein Image-Programm zu.Der Zeitpunkt ist ideal. Außerdem mal ein wenig über die Sicherheitsgrundlagen zu recherchieren wäre auch nicht schlecht. So ein Schädling plumpst ja nicht vom Himmel und wahrscheinlich warst du mit Admin-Rechten unterwegs.

 

Okay Danke Dir!

Ja, genau! Ich bin immer mit Admin Rechten unterwegs, sprich nen zweites Benutzerkonto habe ich nicht eingerichtet! Werde da wohl mal wirklich näher recherchieren!

Ich denke, ich werde eventuell doch nochmal neu aufsetzen.

Das blöde daran ist nur immer, das ich als KFZler entsprechend aufwendig zu installierende grosse KFZ Anwendungen nutzen muss, die beim aufspielen recht zeit- und aufwandsintensiv sind!

Trotzdem danke an alle, die geholfen haben!

 

Nee schon klar, mit Admi rechten unterwegs ist so, als wenn man ein Porsche mit laufenden Motor Parkt, alle Papiere drin lässt und darauf hofft das er nicht gestohlen wird.
Seit 2003 hier, mut aber recherchieren.....wurde auch nie nicht Gewarnt in der ganzen zeit hier......also doch Perlen vor Säue

 

Warum verschwendest du dann überhaupt noch deinen allseits geschätzten und kostbaren Rat in diesem Thread? Nix los auf der Wiese?

@ VTEC Power
Um das Aufsetzen kommst du nicht drumherum.

Deshalb ja der Tipp, mal Images zu ziehen. Angenommen, du hättest ein Image mit sauberem OS sowie den installierten Programmen und eine halbwegs vernünftige Backupstrategie, dann hättest du den Unfall in einer halben Stunde beseitigt gehabt.