lsass.exe, smss.exe, benötige hilfe

#1 Hallo @all,

mein erster Eintrag.... Und dann (so wie es aussieht eine so einfache und doch schwere frage) Ich habe Seit heute (eigentich schon seit einiger Zeit (Unwissend)) Probleme mit der Datei lsass.exe... Und u.a. plagt mich auch einige fragen zu smss.exe sowie zu einer in letzter Zeit häufig vorkommenden Meldung meines NPF 2004 ( MS_SQL_BlankPassword_Access). Also erstmal Angefangen damit as mein Rechner seit einiger Zeit sehr langsam läuft (teilweise nicht immer) beim beenden mancher Programme läuft er ca. 20 - 25 min. mit 100% Prozessor Leistung!!! Meines erachtens nach (dachte ich zumindest) lag es am vielen öffnen mehrer Dateien! Bis heute mein Bruder mich anrufte un mir erzählte das sein PC nicht mehr startet und zwar mit folgender Fehlermeldung: lsass.exe Systemfelher vorgang kann nicht vortgesetzt werden (oder so ähnlich!) Also ich habe per such funktion in allen bekannten Suchmachinen gesucht und kam auf die erkenntnis das es sich an(geblich)scheinend um 1-3 verscheiden Viren bzw Trojaner handeln soll. Ich habe alle Threads darübewr in eurem sowie in anderen Foren durchgelesen und habe mittlerweile knapp 10 Entfernungstools sowie AntiTrojaner Tools auf meinem Rechner, aber anscheinend hilft keines dieser Tools... Ich habe gelesen das es sich angeblich durch E-Mails und P2P Filesharing überträgt - Mails nehme ich nur von Leuten an sie ich kenne und da auch nur wenn es sich um kleine (ca. max. 10 kb )Mails handelt P2P Filesharing benutze ich also E m u l e aber ich habe das SIcherheitspaket Plus von T-Online also Norton Anti Virus 2004 sowie Personal Firewall 2004 mit den akt. Virendefinitionen und Updates aber trotzdem finden Sie nicht meine Firewall zeigt allerdings im 15 min. takt diese Meldung: MS_SQL_BlankPassword_Access Sowie Sie auch schon Meldungen angezeigt hat das lsass.exe versucht von meinem Rechner auf einen anderen Rechner zu gelangen. Der PC von meinem Bruder ist Lahmgelegt ich hoffe ihr könnt mir in beiden fällen helfen und endgültig mit dieser ewigen suche nach Tools und Anti-Tojaner helfen.... Denn mit der Suche in Foren und anderen Seiten findet man nichts und ich hoffe hierdurch kann auch anderen geholfen werden!!!!!!!

Ich bin jedem Hilfreichen Post Dankebar!!!

Achja und sorry für die Rechtschreibfehler aber um die Uhrzeit bin ich nicht mehr so FIT!!!


Grüße

Raphael

Achja was ich vergessen habe!!! Bitte keine Belehrungen über existierende Threads oder so denn das ist ein Problem was meines erachtens fast jeder hat und bei vielen und guten antworten auch glaube ich jedem helfen wird!!! Und noch einnmal ich habe bereits in allen gängigen Suchmachinen NAtional wie auch International gesucht aber hilfreiches war bisher nciht dabei also nochmal danke für eure Antworten und ich hoffe ich kann euch zukünftig beu euren Problemen HELFEN!!!!

#2

Zitat

NPF 2004 ( MS_SQL_BlankPassword_Access)

Dürfte der Wurm Slapper (hieß der so ?) sein. Meldet die Firewall denn auch einen Port mit dem Alarm ? Port 1433 evtl ? Ist nicht der Rede wert, wenn der Zugriff von außen kommt und Du keinen ungepatchten Microsoft-SQL-Server am laufen hast. Norton verbreitet gerne etwas Panik.....erhöht den Um$atz .

Durch das verfolgen anderer Threads ist mir klar geworden, dass Spyware u.U auch dazu führen kann, dass das System lahmt, teilweise 100% Systemauslastung ohne erkennbaren Grund besteht etc, etc.

Sober und andere Würmer (mit Ausnahme von Blaster und Opaserv) übertragen sich meist nicht einfach so. Sie verbreiten sich über diverses Programme oder Medien. Und wenn Du so vorsichtig bist mit Email&Co, dürftest Du in dieser hinsicht kein Problem haben. Meldet Norton keine Funde ?

Adaware und Spybot runterladen und anwenden.
Dann: http://merijn.org/files/HijackThis.exe und erstelle ein Logfile, poste es dann bitte hier. Aber erst mal mit Adaware/spybot säubern.

Schon gelesen ?!! Meine Empfehlung und Grüsse....
http://board.protecus.de/t7652.htm
http://board.protecus.de/t7346.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Hi,

also mit Emails bin ich vorsichtig aber bei E m u l e mit meinen Filesharing kann man ja nur hoffen das nichts kommt! Und bei Emails meldet norton keine Funde! Aber wie benutze ich Hijackthis? muss ich alles wegmachen was er anzeigt oder nur einiges? Woher weiss ich was ich wegmachen darf und was nicht?

#4 @Brummer
hier steht alles was du wissen mußt
http://board.protecus.de/t6300.htm

oder poste einfach das logfile von HiJackThis hier!
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 Logfile of HijackThis v1.97.7
Scan saved at 20:25:01, on 26.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\RVS\WCOM\SYSTEM\CCSRV.EXE
C:\PROGRA~1\T-DSLS~1\tsmsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\E m u l e\E m u l e.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\RVS\WCOM\SYSTEM\CCUI.EXE
C:\Programme\RVS\WCOM\SYSTEM\RVSRmd.exe
C:\PROGRA~1\RVS\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
D:\Setup´s\GetUsage XP\getusage2xp.exe
C:\Dokumente und Einstellungen\Raphael und Doreen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\RealBar.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\RealBar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\RVS\WCOM\SYSTEM\ccui.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\Raphael und Doreen\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38006.124525463
O17 - HKLM\System\CCS\Services\Tcpip\..\{C280CCAE-54FB-4E78-AB83-AE08564FE4C1}: NameServer = 62.155.254.208 194.25.2.129

#6 Hallo Brummer22
hab mir den log mal angeschaut. Der sieht gut aus . Da ist zumindest keine auffällige Malware oder Virus.

Das einstigste wäre
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
Wenn du den "SpeedMgr" installiert, da ist das OK!

Ein anderer Vorschlag.
Auf einen anderen Rechner hat das geholfen. Deaktiviere mal die Systemwiederherstellung. Mal sehen ob das hilft
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Vielen Dank da bin ich schonmal etwas beruhigt! Also ich habe jetzt mal diese Anleitung benutzt:

Ej also hier die Übersetzung zu entfernung:
1.)Systemwiederherstellung ausschalten.(Systemsteuereung-System-Systemwiederherstellung- alle Laufwerke deaktivieren.)
2.)Im abgesicherten Modus starten. ---- F8 dann abgesicherter Modus
3.)Nach Viren scannen, mit dem neusten Update.
4.)Reg vom Wurm befreien: (um in die Reg zu kommen : Start-ausführen-gib ein :"Regedit")
zu den beiden strings hin gehen HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und
"<random text string>"="<path and random file name>" löschen.
Dann neustarten und noch mal scannen.


Viel Glück.
--
Amerika hat Waffen, die schlauer sind als ihr President

Und habe ca. 6 AntiViren Tools im Abgesicherten Modus durchlaufen lassen und einmal Norton AV 2004 mit aktuellstem Patch. Und es wurde nichts gefunden! Achja den Speed-Manager habe ich installiert und er fährt auch mit Windows hoch! Also vielen Dank nochmal und sollte doch jemand was finden Dann nur her damit!!!!