System32\lsass.exe ?? -->W32/Sasser.worm

#0
12.08.2004, 09:02
Member

Beiträge: 1095
#31 @Djibba

Mein Problem ist, ich mag Firewalls nicht und hab mich deswegen noch nicht damit beschäftigt ;)

Schau doch einfach mal hier
http://board.protecus.de/board.php?boardid=2

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.08.2004, 09:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 @Djibba
Lade das HijackThis
Scanne, save und kopiere das Log ins Forum
Downloadlinks:
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Firewall-Empfehlung:Sygate free
http://smb.sygate.com/products/spf_standard.htm
http://scan.sygatetech.com/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2004, 21:09
...neu hier

Beiträge: 5
#33 ich hab dieses problem verschärft!
ich kann mich nicht mal anmelden. windows rebooter einfach! das passiert also nachweislich früher als dass eine internetverbindun besteht! ich wäre sehr erfreut wenn jemand eine lösung hätte!
Seitenanfang Seitenende
19.10.2004, 00:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 Hallo @studi_cool

Gehe in den abgesicherten Modus :
dann bitte die Eingabeaufforderung öffnen: (Start -> Ausführen )
und dort im Eingabefenster: shutdown -a eingeben! (deaktiviert das herunterfahren)

Versuche im abgesicherten Modus das Tool zu laden und zu posten.
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)

Vielleicht kannst du das von einem anderen PC aus durcharbeiten.
http://sasser.klaffke.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 00:27 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.10.2004, 15:06
...neu hier

Beiträge: 5
#35 ich hab eine form von lsass.exe,die meinen computer rebootet,bevor ich mich angemeldet habe,das heisst es ist nix mit abgesicherter modus. sobald das system geladen ist(dann wenn im normalbetrieb der anmeldebildschirm erscheint) ist fertig!
Dieser Beitrag wurde am 19.10.2004 um 15:10 Uhr von studi_cool editiert.
Seitenanfang Seitenende
19.10.2004, 17:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 Hallo@studi_cool

Lade von einem sauberen PC das Entfernungstool auf Diskette

http://www.f-secure.de/v-desk/sasser_e.shtml

Das Tool steht unter folgenden Adressen zur Verfügung:
ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.zip
ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.exe
ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.txt
oder über HTTP:
http://www.f-secure.com/tools/f-sasser.zip
http://www.f-secure.com/tools/f-sasser.exe
http://www.f-secure.com/tools/f-sasser.txt

# Die Internetverbindung beenden.

Gehe in den abgesicherten Modus :
dann bitte die Eingabeaufforderung öffnen: (Start -> Ausführen )
und dort im Eingabefenster: shutdown -a eingeben!

# Das Entfernungstool ausführen .
# Windows im abgesicherten Modus neu starten.
# Für Windows XP: Systemwiederherstellung deaktivieren.
# Trotzdem das Entfernungstool bereits ausgeführt wurde, empfehle ich dennoch: Auf dem System nach den oben erwähnten Dateien avserve.exe, avserve2.exe, skynetave.exe, lsasss.exe, napatch.exe, win.log bzw. win2.log, ftplog.txt, winlog2 sowie xxxxx_up.exe suchen und diese, falls sie gefunden werden, löschen.

Dann die WindowsUpdates machen.


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 17:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.10.2004, 12:56
...neu hier

Beiträge: 2
#37 Seit 2 Tagen online und schon ein Virus ;)

Hallo alle zusammen! Ich bin das erste Mal hier und hätte folgende Frage an Sabina!

Ich hab das selbe Problem wie die anderen mit dem lsass.exe und der Meldung LSA Shell (export version). Ich hab mir alle Beiträge mal durchgelesen und werde das heute zuhause ausprobieren.
Nun meine Frage wäre: Wenn ich das MS Update ausgeführt habe kann ich dann die Firewall deaktivieren und bin nicht der Gefahr augestzt das ich diesen Virus wieder oben habe? Ich deaktiviere die firewall immer wenn ich online Spiele (BFV seit kurzem)
Seitenanfang Seitenende
29.10.2004, 14:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 Hallo@GoddamnedPC

Wenn du alle CriticalUpdates geladen hast, die Dienste auf "sicher" umgestellt und den XP-Firewall ausschaltest, dann versuche es mal mit Sygate.
#NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios
oder www.dingens.org

<Sygate (Deutsch)Firewall
http://www.sygate.de/

<Supportforum(Sygate, Firewall)
http://forum.webmart.de/wmmsg.cfm?id=2104181&d=30&a=1&t=2141055

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.10.2004 um 14:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.10.2004, 15:00
...neu hier

Beiträge: 2
#39 Super! Danke für die schnelle Antwort. Mal sehen was ich heute abend erreiche. Im Büro sind mir die Hände gebunden ;)

Falls ich was verbocke weiß ich ja wo ich nachfragen kann ;)
Seitenanfang Seitenende
03.11.2004, 01:47
...neu hier

Beiträge: 5
#40

Zitat

Seren.dipity postete
Hallo!

Ich habe seit heute ein ähnliches Problem und hoffe mir kann jemand weiterhelfen.

Ich starte mein Notebook, nach ein paar Minuten erscheint eine Fehlermeldung eines Programmes namens LSA Shell (Export Version) mit der Meldung, dass der PC heruntergefahren werden muss.

Kurz darauf erscheint ein neues Fenster mit der Nachricht, dass lsass.exe mit dem Statuscode -1073741818 unerwartet das Programm beeendet hat und in 45 Sekunden den PC neu starten wird.

wenn die meldung kommt dann ahst du 10000%den sasser virus/wurm wie auch immer, am besten gehst du ganz schnell auf start>ausführen>cmd
dann gibst du folgendes ein:
shutdown -a
und die meldung müsste dann verschwinden
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: