Lsa Shell(export Version) Isass.exe versucht als server zu agieren |
||
---|---|---|
#0
| ||
14.07.2005, 01:59
...neu hier
Beiträge: 10 |
||
|
||
14.07.2005, 02:40
Member
Beiträge: 4730 |
#2
die Lsass.exe ist ein Systemprozess, der kein Virus ist (aber es gibt Viren, die sich durchaus auch als lsass.exe tarnen oder diese infizieren). Soweit ich aber sehen kann, ist bei Dir nichts Verdächtiges zu finden.
Du könntest ggf. O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - Global Startup: Microsoft Office.lnk = F:\Office10\OSA.EXE löschen bzw. deaktivieren, da die Prozesse unnötig sind. Ob Du nun der lsass.exe Zugriff aufs Internet gewährst, ist wohl Geschmacksache. Ich glaube nicht, dass es dadurch zu Komplikationen kommen wird. Ggf. kannst Du noch nachschauen, welche Dienste alle gestartet werden und welche Du davon nicht brauchst, also deaktivieren kannst. http://www.chip.de/artikel/c1_artikelunterseite_12872931.html?tid1=&tid2= __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
14.07.2005, 10:45
...neu hier
Themenstarter Beiträge: 10 |
||
|
||
16.07.2005, 17:16
Member
Beiträge: 24 |
#4
Hallo Schattenriss und blueslayah!
Zitat: „Ob Du nun der lsass.exe Zugriff aufs Internet gewährst, ist wohl Geschmacksache. Ich glaube nicht, dass es dadurch zu Komplikationen kommen wird.“ Vorsicht! Die „lsass.exe“ muss nicht ins Netz. Um herauszufinden, ob sie evtl. geändert wurde, schaue unter ...windows\system32.. die Dateien an oder mach einen Suchlauf nach „lsass.exe“. Wenn die Datei, die sich im System32-Ordner und im dll-cache befindet, ein jüngeres Änderungsdatum hat als die im Ordner „ServicePackFiles\i386“, dann solltest du sie unbedingt gegen das Original (also, das aus dem SP2) austauschen. Änderungsdatum für SP2-Dateien ist der 04.08.2004. Bei mir wollte sie auch einmal einen Zugriff zum Netz (von ZoneLabs gemeldet). Ich habe sie zu jotti hochgeladen und siehe, sie war infiziert, aber womit weiß ich nicht mehr. Anti-Vir hat nicht angeschlagen. Die Überprüfung der System-Dateien nach Änderungsdatum ist eine Möglichkeit, selbst schädliche Veränderungen aufzuspüren, die manche Programme nicht entdecken. Nur darf man nicht panisch werden, wenn man gleich mehrere vorfindet, die vom Original (18.08.2001) oder einer SP-Version abweichen. Meistens sind es die Daten der Installation einer Software. Das sieht man aber in den jeweiligen Eigenschaften wozu die gehören. Wenn sich herausgestellt hat, dass die lsass.exe schadhaft ist, dann auch bei ZoneLabs unter Programm-Kontrolle ---> Programme, und -- -> Komponenten entfernen. Bei mir steht sie da nirgends und muss auch nicht sein. Hoffe, es ist nichts schlimmes bei dir. Gruß Ganzneuer |
|
|
||
Ich habe erst vor ein paar tagen meinen pc formatiert... jetzt gerade hat zone alarm angezeigt das die isass exe zugreifen möchte...da ich nicht weiß ob es ein wurm ist wäre es nett wenn sich mal jemand meinen log ansehen würde...
Logfile of HijackThis v1.99.1
Scan saved at 01:55:01, on 14.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Menno.BOOOAH\Desktop\hijack killbox\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Office10\OSA.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE41ABA7-F685-4106-93EB-E38E2CB60F73}: NameServer = 145.253.2.196 195.50.140.250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
danke