lsass.exe versucht aufs Inet zuzugreifen

Thema ist geschlossen!
Thema ist geschlossen!
#0
22.10.2003, 23:47
Moderator
Avatar joschi

Beiträge: 6466
#46 Damit keine Missverständnisse entstehen. Hier ist von der lsass.exe die Rede, nicht von einer lass.exe. wie auch immer evtl hast Du Dich ja vertippt !?
Ein Outbound der lsass muss ja nicht zwingend heißen, dass es sich um einen Virus handelt.
Was genau hat hat dein Virenscanner angezeigt und welche Datei hat er ausfindig gemacht ? Was war die Antwort von Antvir ? Und wieso hast Du ein ganzes Verzeichniss geschickt, bzw. welches ?

Was das Thema Viren und lsass.exe betrifft, gibt es eine Ausführung von Symantec über "lovegate". Dieser bedient sich in der Tat der hier behandelten Datei.
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.hllw.lovgate.c@mm.html

Ein Wurm welcher sich als lsas.exe im Windows-Systemordner einrichtet ist W32/Agobot-AA, dieser Wurm ist zugleich ein Backdoor.
Mehr Infos: http://www.sophos.com/virusinfo/analyses/w32agobotaa.html


__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
29.10.2003, 10:54
...neu hier

Beiträge: 3
#47 Hallo!
Ich habe seid gestern Abend auf meinem Laptop ein kleines Problem. Nach ungewolltem öffnen einer Mail mit mir unbekanntem Absender versucht eine Datei lssas.exe aus dem Windows\system32 Verzeichnis ins Internet zu gehen (Firewall: Zonealarm). Ich habe in o.g. Verzeichnis nachgesehen und es existieren zwei Dateien mit diesem Namen. Einmal das Original von Microsoft und dann eine Datei, die erst seid gestern Abend existiert. Im Task-Manager werden ebenfalls zwei Prozesse mit diesem Namen aufgeführt, einmal als vom System ausgeführt (wahrscheinlich das Original) und einmal als von mir mit meinem Benutzernamen ausgeführt.
Sobald also die Nachfrage von Zonealarm kommt, ob ich der Datei den Zugriff auf das Internet erlauben möchte, und ich verneine dies, wird die Verbindung beendet und der blaue Windows-Bildschirm erscheint mit dem Hinweis:
Microsoft Windows %system% error#
00000000x01 4e00a2 29 34 f2 12 db 00 c3
Console %lssas.exe% lost connection, or blocked by firewall
Die neueste Version von AntiVir Personal Edition gibt in der Reportdatei für diese Datei folgende Warnung aus:
C:\windows\system32
Lssas.exe
Zugriff verweigert! Fehler beim öffnen der Datei.
Fehlercode: 0x000D
Warnung! Zugriffsfehler/Datei gesperrt!
Dabei kann ich natürlich nicht sagen, ob es sich um die Originaldatei oder die neue Datei handelt. Ein löschen der neuen Datei ist auch nicht möglich, da die Datei benutzt wird. Wird der Prozess im Task-Manager beendet (die Version mit dem Benutzernamen) startet sie sich automatisch sofort neu!
Ich benutze auf dem Laptop übrigens eine WinXP Pro Version.
In der Registry findet sich unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
folgender Eintrag: Microsoft64279 REG_SZ C:\Windows\system32\lssas.exe
Für eine Antwort wäre ich dankbar!

Achtung! Mein Fehler! Ich kann wohl nicht lesen!
Das Original heißt LSASS.exe, die neue Datei heißt aber LSSAS.exe!
Dieser Beitrag wurde am 29.10.2003 um 14:04 Uhr von Thorin 2001 editiert.
Seitenanfang Seitenende
02.11.2003, 01:52
Member

Beiträge: 41
#48 Wird denn die Originaldatei auch als Prozess geführt? Wenn LSSAS.EXE und LSASS.EXE paralell laufen, kannst du wahrscheinlich den Registry-Eintrag mit der "falschen" Datei ohne bedenken entfernen. Danach neustarten, somit dürfte der Prozess auch weg sein und du kannst die Datei löschen.
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
02.11.2003, 09:17
...neu hier

Beiträge: 3
#49 Hallo!
Beide Prozesse laufen parallel! Sobald ich den Prozess LSSAS.EXE im Task-Manager beende, startet er sofort wieder neu.
Das mit dem löschen aus der Registry habe ich auch bereits versucht. Aber in dem Moment, in dem ich den Eintag lösche, erscheint er sofort wieder. Der Prozess läuft ja noch und scheint sich also sofort wieder in die Registry einzutragen.
Seitenanfang Seitenende
02.11.2003, 10:55
Member

Beiträge: 41
#50 Start mal MSCONFIG und entfern den Dienst aus dem Autostart. Dann start mal neu. Vielleicht funzt es so. Schau mal ob du noch einen anderen Prozess laufen hast. Irgendein Dienst muss ja dafür sorgen, dass der Prozess sich regeneriert!
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
02.11.2003, 12:20
...neu hier

Beiträge: 8
#51 Hallo!
Auch ich bin neu hier und habe ähnliche Probleme, wie andere vor mir.
Seit kurzem kann ich mich nicht mehr im Internet halten. Bei mir erscheint nachdem ich eingewählt bin, das selbe blaue Fenster wie bei Thorin 2001. In der Registrierung habe ich unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
nur c:\windows\system\lssas.exe gefunden. Lässt sich nicht entfernen.
Leider habe ich nicht ganz so viel Ahnung von PCs, dadurch teilweise Probleme eure Lösungsvorschläge zu verstehen. Die Seite von Symantec hat mir auch nicht weiter geholfen.

Wäre nett, wenn mir jemand weiter helfen kann, so das ich es verstehe!
Seitenanfang Seitenende
02.11.2003, 15:56
Moderator
Avatar joschi

Beiträge: 6466
#52 Alle die eine lssas.exe auf ihrem System vorfinden, folgendes:
Ein teil der Beschreibung zu I-Worm W32.Sober-A

Zitat

The worm creates several copies of itself using variable filenames in the %System% directory. The filenames used by the worm may be chosen from the following list:
similare.exe
swchost.exe
systemini.exe
Expoler.exe
Winreg.exe
driver.exe
driverini.exe
drv.exe
hlp16.exe
spoole.exe
lssas.exe
filexe.exe
qname.exe
antiv.exe
winchk.exe
systemchk.exe


Habt ihr eigentlich mal euer System mit einem aktuellen Virenscanner gescannt ??
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
02.11.2003, 16:41
...neu hier

Beiträge: 3
#53 Virenscanner?
Ja klar! Habe ich! (s.o.)
An dem Tag, als das Problem aufgetaucht ist, habe ich mir 3 verschiedene Virenscanner runtergeladen. Was AntiVir gesagt hat, steht oben. Die anderen (z.B. ad Aware 6.181) haben auch nichts gefunden.
Gruß
Seitenanfang Seitenende
02.11.2003, 17:11
...neu hier

Beiträge: 8
#54 Ich habe auch mit zwei verschiedenen gescannt, auch nichts gefunden!
Seitenanfang Seitenende
02.11.2003, 18:04
...neu hier

Beiträge: 8
#55 Habe eben die .exe Dateien aus der Liste gesucht und bin bei vieren fündig geworden. Zwei habe ich gelöscht und die anderen explorer.exe und lssas.exe lassen sich nicht löschen. Wie soll ich jetzt fortahren?
Seitenanfang Seitenende
02.11.2003, 18:27
Member

Beiträge: 41
#56 Ad Aware ist KEIN Virenscanner. Ad Aware ist (wie der Name eigentlich schon sagt) nur dafür ausgelegt, Spyware und ähnliche Schnüffler zu entfernen.

@Rena:
Bitte sag jetzt nicht, dass du einfach die Liste da oben durchgegangen bist und alle Dateien die so (oder ähnlich) heißen gelöscht hast?!

Explorer.exe steht zum Beispiel schon gar nicht drauf ;)

Um dir zu helfen bräuchte ich mehrere Informationen über dein System und dein Vorgehen. So wird das nix.
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
02.11.2003, 19:31
...neu hier

Beiträge: 8
#57 @Kimmi:
Nein, ich habe nicht einfach alles gelöscht. Ganz so unwissend bin ich dann doch nicht.
Also, es handelt sich bei dem Rechner um einen Firmen PC, deshalb bin ich sehr vorsichtig. Betriebssystem ist Windows 98; AntiVir Personal Edition .
Ich habe bis jetzt zum einen mir die Seite von Symantec angeschaut und bin der Reihe nach die Punkte dort durchgegangen, um zu schaun, ob es dieser Wurm sein könnte oder ein anderer Fehler.
Dann habe ich in der Registrierung unter Current_user und lokal_machine die "run" durchgeschaut. Dort habe ich manche Schlüssel gefunden, die ich gar nichts zuordnen kann und u.a. auch den lssas.exe . Diesen habe ich versucht zu löschen, doch er ruft sich von allein immer wieder auf.

Hiiilllffeeee! Gibts da denn nicht einfach ne Taste und alles ist vorbei!?! :-)
Gruss
Seitenanfang Seitenende
02.11.2003, 20:42
Member

Beiträge: 41
#58 Naja, leider nicht ;) Hast du's schon mit MSCONFIG versucht?? Über START - AUSFÜHREN starten und die lssass.exe beim autostart einfach deaktivieren. Dann neustarten. So dürfte der Prozess nicht starten und die Datei dürfte sich löschen lassen. Versuchs mal und sag mir, welche Einträge du hast. Evtl. ein Bildschirmausdruck.
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
03.11.2003, 15:19
...neu hier

Beiträge: 1
#59 Hallo,

ich hatte auch diese lssas.exe sowie syshost.exe auf meinem Rechner und bin durch ZoneAlarm Pro darauf aufmerksam geworden. Es erschien bei mir dann dieser blaue Bildschirm mit der Meldung "lssas.exe blocked by firewall", wollte also auf das Internet zugreifen. Hatte Verschiedenes probiert, unter anderem löschen, Prozess beenden und Registrierung ändern aber nichts half. Auch nicht msconfig, lssas.exe regenerierte sich neu und erschien wieder beim Systemstart in der Liste. Es stellte sich heraus das es durch den Worm W32.Sober@mm der auch unter anderem Namen auftritt ausgelöst wurde. Bei Symantec wurde ich dann fündig. Dort gibt es für diesen Worm ein Removal-Tool der diese Dateien entfernt sowie die Registrierung ändert. Hinweise und Durchführung beachten! (Nur Englisch) Dann sollte das Problem behoben sein.
Seitenanfang Seitenende
03.11.2003, 17:16
...neu hier

Beiträge: 2
#60 he leute, ich bin in rußland gelandet ;)

http://62.89.80.59/

c:\windows\system32\isass.exe
Protokoll: UDP (Ankommend)
Remote-Adresse: 62.89.80.59 : isakmp (500)

wenn ich der firewall nen positiven oder negativen befehl geb, schmiert der rechner auf kurz oder lang ab... also hab ich jetz dieses scheiß warn-fenster aufm schirm, während ich versuch den mist wechzubekommen

PS: wollen wir nicht mal ip's sammeln ;)

gruß
*chris
Seitenanfang Seitenende