lsass.exe = Trojaner / Virus ??

#46 hab die besagte mail auch bekommen -auf meinen web.de account über pop3 und OE (Web.de filtert sowas nur wenn man das Webinteface benützt). Wenn ich rechtsklick/Eigenschaften/Details ansehe ist da folgender mailheader:

Received: from [62.158.83.74] (helo=FRANKC.de)
by mx05.web.de with esmtp (WEB.DE 4.101 #66)
id 1Aq7xK-0006Fv-00; Mon, 09 Feb 2004 10:43:54 +0100
From: [vermutlich ein unschuldiges Opfer]
To: mailpageX@WEB.DE
Date: 9 Feb 2004 10:47:46
Subject:[Virus entfernt] du wirst ausspioniert
Importance: Normal
X-Mailer: Fax Mail
Message-ID: <35c60382223c29.903d7remailer@baier-michels.de>
MIME-Version: 1.0
Sender: [vermutlich ein unschuldiges Opfer]
Content-Type: multipart/mixed; boundary="DORIS3EED8B04"

Was ich jetzt nicht verstehe ist:
meine mailadresse ist keineswegs "mailpageX@WEB.DE"
wie hat es der Absender dann geschafft die mail an mich abzusenden?
wer hat die Adressangabe gelöscht? -Outlook Express?
bzw.wieso liefert Web.de so eine mail ohne Emfängerangabe eigentlich weiter?

P.S. die Angabe zum "From" und "Sender:" habe ich unkenntlich gemacht

#47 Das ist kein Fehler von Oulook oder Web.de.
Deine Adresse stand vermutlich im BCC[blind carbon copy]-Feld.
Dies dient eigentlich dazu vertrauliche Kopien einer Mail zu versenden.
Selbst wenn im BCC-Feld 20 Adressen stehen, Du würdest sie nicht sehen und auch der Empfänger im regulären TO-feld sieht die die Empfänger der BCC natürlich nicht.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#48 Wie ihr anderen auch, habe ich heute genau die gleiche mail mit dem sober c.virus bekommen. Vor 2 Wochen habe ich schon einmal eine mail von einen mir bekannten absender bekommen attached ein großer anhang! Da ich aber den "Absender" kannte, öffnene ich den anhang natürlich. Dann erschien die message "Error" und schwupps fand mein virenscanner den Virus W32/sober.c Wie ich nachher rausgefunden habe, hat sich der Virus natürlich ohne Wissen meines Bekannten in seinem adressbuch vervielfältigt und war eigentlich nur eine Art Deckname, denn der eigentliche Absender war der gleiche wie von der Trojaner lsass.exe...mail heute.
Welcher Virenscanner ist zu empfehlen und for free runterzuladen? Ich hoffe nur, dass der Virus nun wirklich entfernt ist. :-o Danke für eure Hilfe.

#49 Hallo zusammen, bin total happy, dieses board gefunden zu haben, die postings haben mir auch hoffentlich etwas genutzt, hatte nämlich in den letzten Tagen so einige der angeführten mails. Mein PC war zuletzt im Dezember einer Attacke ausgesetzt, würde jetzt mal gern hier mein log posten und hoffe, daß sich jemand dieser Sache annimmt, der was davon versteht. Ich tue es nämlich nicht. Danke im Voraus, auch für die eingestellten Hilfen in diesem board.
Hier nun mein Log :

Logfile of HijackThis v1.97.7
Scan saved at 17:14:38, on 18.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\PROGRA~1\T-DSLS~1\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Office2000\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "d:\yaw 3.5\fast.exe"
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Office2000\Office\OSA9.EXE
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37982.2149884259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#50 Nimm dieses mal heraus:

O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U
O4 - Global Startup: Microsoft Office.lnk = C:\Office2000\Office\OSA9.EXE

Du koenntest auf www.nvidia.com mal nach einem neuen Treiber fuer deine Grafikkarte suchen.
__________
MfG Ralf
SEO-Spam Hunter

#51 hallo!! ich bin so froh dass ich euch hier gefunden habe!!
Habe die mail auch bekommen...
aber gott sei dank nicht geöffnet... hab gleich ein paar leute gefragt ob sie lsass.exe auch haben...
nur komisch war... ich habe bei haefft.de 2 email addys... und die mail wurde von der einen emailaddy auf die andere geschickt. obwohl ich keine verbindung zwischen den beiden bis jetzt gefunden habe... wie geht das? vielleicht hab ich aber auch was übersehen bis jetzt... weil es sind addys die ich nur selten benutze.

mann bin ich froh dass ich die datei nicht geöffnet hab und euch hier gefunden hab!

#52 Tach Also die mail ist der Absolute Schwachsinn da sie LSASS.exe eine vom System verwendete Anwendung ist also gebraucht wird. Das einzige Problem ist wirklich die angehängte Datei die einen Wurm enthält zu deinem anderen Problem mit den 2 email addys es kann sein das du einen wurm auf deinem rechner hast der einfach mails an andere aus deinem Adressbuch versendet.