riesen problem

hi folks..!

Ich habe ein riesiges problem! Ich hab die Datei Lsass.exe in meinem Taskmanager.. und ich kann den Prozess auch nicht beenden. Bei google wird immer auf den Sasser hingewiesen doch ich hab gescannt, gescannt und gescannt und Sasser wird nicht gefunden und alle Versionen davon auch nicht..! wenn das fenster aufspringt, dass 60 sekunden herunterzählt zeigt er mir irgendetwas von LSA SHELL EXPORT Version an..!

hier hab ich den logfile von hijackthis..

Logfile of HijackThis v1.97.7
Scan saved at 18:18:40, on 28.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Messenger Plus! 3\MsgPlus.exe
D:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\regedit.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis1977[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sms.at/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85D399E3-AE8A-4623-AB76-2758E750CB57}: NameServer = 195.58.160.2 195.58.161.3



bitte helft mir...

lg jörg..

 

der "Sasser-Patch" enthält alle alten RPC Patches, man muss also nur den installieren

 

Die Patchs schützen zwar, aber sie entfernen nichts. :p
Besorg dir mal die HIER angebotene Entfernungtools.

mfg. dedie

 

eigentlich hab ich die patches + die firewall eingeschaltet..
JA BEIDE ;-)

 

Hallo,

schalte mal deine verdammte Firewall ein, bei XP ist doch eine im Lierferumfang. Wenn es der Blaster ist sollte dann erstmal eine Besserung auftreten.

Sind bei dir die zwei Patches installiert SASSER u. BLASTER ??

Grüße
Wolfgang

 

lieber dedie ich hab das update gegen den blaster installiert ! das war das allerste das ich gmacht hab

Ich hab die datei Lsass mit L also hab ich da mal keinen Virus.. wenn ihr sagt, dass das Fake mit I geschrieben wird.!

mfg..

 

Mooooment mal: das Ding heisst Isass.exe ? Mit I wie "Igitt" ?

http://www.liutilities.com/products/wintaskspro/processlibrary/isass/

 

@eurohooks

LSASS ist systemprozess, ISASS ist FAKEEEEEEEEEEEEE !

das mit dem windowsprozess, wo sich dahinter ein virus tarnen kann ist nicht neu....das sollste ja halt kontrollieren in den dateieigenschaften z.b. !!
C:\WINDOWS\regedit.exe

File Version Information :

Version language : Deutsch (Deutschland)
CompanyName : Microsoft Corporation
FileDescription : Registrierungs-Editor
FileVersion : 5.1.2600.2120 (xpsp.040423-1852)
InternalName : REGEDIT
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : REGEDIT.EXE
ProductName : Betriebssystem Microsoft® Windows®
ProductVersion : 5.1.2600.2120

dies wäre z.b. die ECHTE regedit.exe.....

 

Hast du schon mal das Wort Blaster gehört

 

hallo..! also danke mal für eure antworten..! das mit shutdown -a weiss ich. das mit den prozessen weiss ich auch..! nur wenn ich den einen prozess beenden will, dann kommt "Der Taskmanager kann diesen kritischen Systemprozess nicht beenden". Und ist nicht ein unterschied zwischen Lsass und Isass.exe ?

@bond wie kann ich die eigenschaften im regedit anschauen?
ich mein.. wenn ich keinen virus hätte.. dann würd ja mein system nicht herunterfahren.. und das fenster aufspringen das 60 sekunden herunterzählt ..

lg..

 

@Eurohooks

am besten du kuckst in die Dateieigenschaften bei
C:\WINDOWS\system32\wuauclt.exe

File Version Information :

Version language : Deutsch (Deutschland)
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
FileVersion : 5.4.3790.2134 built by: SRV03_rtm(ntvbl04)
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe
ProductName : Betriebssystem Microsoft® Windows®
ProductVersion : 5.4.3790.2134

und im rechten Reiter der eigenschaften muss stehen das diese datei ein gültiges Zertifikat von microsoft XP Publisher besitzt.

 

Hallo,

mir fällt bei deinem LOG nur die Microsoft Petze (wuauclt.exe) auf... über die bekommst du hier ein paar Informationen:

http://www.reger24.de/prozesse/wuauclt.exe.php

Die WUAUCLT.EXE kann aber auch ein Trojaner seien...

siehe hierzu:

http://www.sophos.de/virusinfo/analyses/trojcultb.html

Also es wäre von dir zu überprüfen ob der Schlüssel existiert:

Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunMicrosoft auto update = WUAUCLT.EXE

Existiert der dann ist es wohl der Trojaner..!

Grüße
Wolfgang

 

@ eurohooks

in deinem log ist kein sasser oder ein anderer schmutzfink zu sehen.
ist das logfile komplett ?!
wenn du sasser-befall-symptome hast, müsste man ja was sehen bei dir...am besten du erzählst uns mal was über die prozessnamen im task-manager (STRG+ALT+ENTF) , wenn du meldefenster bekommst....vielleicht verwendet ja der wurm ein anderen überschriebenen prozessname (z.b. die sichtbare regedit.exe bei dir)

 

@ eurohooks

Dein Log-File ist sauber, ich kann also keine Infektion durch Sasser feststellen.

Info lsass.exe:

Ansonsten kann du dich hier über den Sasser informieren.

Wenn der Countdown gestartet wird, dann gehe auf Start -> Ausführen -> shutdown -a eingeben. Der Countdown wird dann abgebrochen.

 

Hi,

die lsass.exe ist eine Systemdatei und gehört dahin, das ist schon O.K. Welche Prozesse gibt es da noch ?

Das hier unter Anderem schreibt Symantec zum Thema:

...
1. Beenden des bösartigen Prozesses
So beenden Sie den bösartigen Prozess:
Drücken Sie zugleich Strg+Alt+Entf.
Klicken Sie auf "Task-Manager".
Klicken Sie auf die Registerkarte "Prozesse".
Doppelklicken Sie auf die Spaltenüberschrift "Name", um die Prozesse alphabetisch zu ordnen.
Durchsuchen Sie die Liste nach den folgenden Prozessen:
avserve.exe
Jeder Prozess, dessen Name aus 4 oder 5 Ziffern und der angehängten Zeichenfolge _up.exe besteht (z. B. 74354_up.exe)
Wenn Sie einen solchen Prozess finden, klicken Sie darauf und klicken Sie anschließend auf "Prozess beenden".
Schließen Sie den Task-Manager.

2. Deaktivieren der Systemwiederherstellung (Windows XP)
Wenn Sie mit Windows XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese durch die Systemwiederherstellung möglicherweise mitgesichert.


Hier die entsprechende Seite von MS:
http://www.microsoft.com/germany/ms/security/incident/sasser/sasserhilfe.mspx


Das log schauen wir uns jetzt mal in Ruhe an...