lsass.exe - sasser oder nicht? finde keinen virus/wurm

#1 hallo,

kurze warnung vorweg: ich bin absoluter laie was pc anbetrifft!!!

mein problem ist wie bei den vielen anderen auch, die meldung mit minutencountdown - und einem problembericht der datei LSA Shell (Export Version)

was habe ich gemacht? nach erfolglosem scannen mit AntiVir und einem removal tool erstmal fleißig bei euch im forum gelesen.

habe dann das patch bei windows "gedownloaded" und installiert. danach wieder gescannt mit AntiVir, Symantec und avast. kein fund.

das gleiche nochmal im abgesicherten modus. auch wieder nichts.

so. und nu?

das hier ist übrigens meine log file (oder wie auch immer das heißt). ich werde da null schlau draus. könnt ihr mir weiterhelfen?


Danke!!!!

Logfile of HijackThis v1.99.1
Scan saved at 18:34:44, on 04.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\ping1w.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\BT500\BTTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\BT500\BTStackServer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Olli\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.8.2:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Ping1w] C:\WINDOWS\ping1w.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Windows] exlporer.exe
O4 - HKLM\..\RunServices: [Microsoft Windows] exlporer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Adaware Bootup] C:\Programme\Lavasoft Ad-Aware\Ad-aware.exe /Auto /Log "C:\Programme\Lavasoft Ad-Aware\"
O4 - HKCU\..\Run: [Microsoft Windows] exlporer.exe
O4 - HKCU\..\RunServices: [Microsoft Windows] exlporer.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

#2

Zitat

kurze warnung vorweg: ich bin absoluter laie was pc anbetrifft!!!

Keine Sorge, das sind fast alle, die hier Hilfe suchen, denn sonst bräuchten sie ja keine Hilfe

Zunächst empfehle ich Dir, alle Servicepacks und Updates für Windows und den Internet Explorer zu installieren, denn ansonsten ist Dein System zu unsicher.

Ich frage mich, was das hier ist:
C:\WINDOWS\ping1w.exe
O4 - HKCU\..\Run: [Microsoft Windows] exlporer.exe
O4 - HKCU\..\RunServices: [Microsoft Windows] exlporer.exe

Hier sieht man mal - und ich wäre selbst fast drauf reingefallen: Buchstabendreher! Exlporer statt Explorer.

Such die exlporer.exe und lasse sie bei http://www.virustotal.com überprüfen. Dasselbe mache mit der ping1w.exe.

Da es sich vermutlich um Schadsoftware handelt (Virus, Trojaner o.ä.) empfehle ich Dir, einen eScahCheck durchzuführen und das Ergebnis hier zu posten.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 hallo,

also, die ping1 habe ich gefunden...

aber diese exlporer.exe finde ich über die such-funktion nicht... wie finde ich diese datei denn noch?


EDIT

virustotal hat keinen virus in der datei ping1w.exe gefunden... und nu?!

#4 Jetzt noch die exlporer.exe finden. Dazu (de-)aktiviere im Explorer unter Extras -> Ordneroptionen -> Ansicht folgende Optionen:
[ ] = da soll kein Häkchen stehen
[x] = da soll ein Häkchen gesetzt sein

[ ] Geschützte Systemdateien ausblenden (empfohlen)
[x] Inhalte von Systemordnern anzeigen
-> Versteckte Dateien und Ordner
[x] Alle Dateien und Ordner anzeigen

Dann erneut suchen.

Nachtrag: die ping1w.exe ist wohl relativ harmlos. Dennoch sollte sie entfernt werden. Das geht vermutlich schon mit AdAware oder Spybot Search & Destroy.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 finde es trotzdem nicht.... :o(

ist es vielleicht unter einem anderen namen gespeichert? obwohl das kann ja garnicht sein, da es doch sonst nicht gefunden wäre über log file... oder?

#6 Noch ne Idee zum Ausfindigmachen. Schau erstmal nach, ob Du die Datei manuell findest - unter c:\Windows oder C:\Windows\System32

Ansonsten aktiviere bei der Suche unter "Weitere Optionen" auch folgende Optionen und führe die Suche erneut durch:

Systemordner durchsuchen
Versteckte Elemente durchsuchen
Unterordner durchsuchen (das ist evtl. schon aktiviert)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 shiro

wenn du mir alle diese Daten postest, kann ich dir helfen:

Start--> Ausfuehren--> cmd (reinschreiben)-->

ein schwarzes Fenster wird sich oeffnen

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

nun oeffnet sich automatisch der Editor...kopiere c. 30 Tage von den Daten raus (ist per Datum geordnet)

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit

#8 hallo erstmal!


ich hab seit ca. 1 woche auch denk ich mal, den sasser-virus auf meinem pc! ich hab meinen pc 3-4 mal neu formatiert und hat alles nix gebracht...

hab mir jz euer forum durchgelesen und hab mir das » Symantec: Download FxSasser.exe gedowngloadet und installiert aba ich kann das programm nicht benutzen weil wenn ich das programm starten möchte steht dann "you do not have administrator rights to run the tool." obwohl ich das an meinem Heim-Pc mach!?!?

hab auch das problem dass sich der pc manchmal nach 1minute selbst herunterfährt wobei ich das mit dem befehl shutdown -a schon unterdrücke!

hab mir vor kurzem AtiVirenKit2006 gekauft und das findet auch nix
auch sämtl. online-scans habn nix gefunden!

nur komisch is, bei vielen usern hier im forum schaltet sich der pc nach 1min aus, sobald sie im i-net sind, aba bei MIR is das eig. nicht so! ich kann eig. "normal" im i-net herumsurfn und MANCHMAL kommt dann halt die meldung das sich der pc von selbst herunterfährt...

wäre nett wenn IHR mir helfen könntet!

DANKE, mfg kontor

#9 Hallo@kontor

das ist wahrscheinlich nicht der Sasser, sondern ein anderer Virus, und du musst im abgesicherten Modus scannen, denn dort hast du Administratorenrechte.

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above --> just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Logfile of HijackThis v1.99.1
Scan saved at 15:08:24, on 09.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.deu.chello.at/ssi/welcome/welcome.php?url=search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.deu.chello.at/ssi/welcome/welcome.php?url=landing
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v.
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128781034749

#11 ist das log komplett ?? oder fehlt da was?
Du hast kein SP2 geladen, also keine Windowsupdates.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 das log is komplett...wieso?!

#13 na, weil normalerweise auch die Dienste unter 017 angezeigt werden, aber du hast keine aktiv.

gehe in den abgesicherten modus, F8 druecken, wenn der PC hochfaehrt und melde dich als Administrator an, dann scanne und berichte

und mache die Windowsupdates ...alle.... SP2
+
http://virus-protect.org/windsdoorcleaner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 wie komm ich in den abgesicherten modus?? einfach nur vorm booten F8 drücken?!

#15 ja, wenn das booten beginnt, drueckst du F8 , dann erscheint ein schwarzes Fenster...waehle abgesicherter Modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml
__________
MfG Sabina

rund um die PC-Sicherheit