lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.05.2004, 00:14
...neu hier

Beiträge: 1
#61 Hallo Zusammen,

habe eine ganz einfache Frage:
Ich habe keinen Wurm (keine Probleme), obwohl ich mir erst heute den Patch aufgespielt habe. Dannach will ZoneArlarm wissen, ob die LSASS.EXE Serverfunktion zur Verfügung stellen darf. Da ich mich für einen Freund informiere, habe ich natürlich gelesen, daß die der Sasser eine Lücke in der LSASS.EXE verwendet. Ich bin halt vorsichtig, darf ich es erlauben?

Dank schön.
Seitenanfang Seitenende
19.05.2004, 07:46
...neu hier

Beiträge: 2
#62

Zitat

ICEBREAKER postete
Heul heul......... nun schlage ich mich schon 1 woche mit allen möglichen viren rum , (fast) kein ergebniss!

MEIN PROBLEM :
1.- hatte schon am 03.mai sasser auf meinem comp. , gemerkt hatte ich es erst als mein internet nichtmehr ging . Stand die typische fehlermeldung dort .
2.- am nächsten tag ging plötzlich das internet wieder -> hollte mir alles (windows update, stinger,bit defender....... )
3.-durchjagen von stinger mit ERFOLG 74 DATEIEN DIE INFIZIERT waren hat er gefunden u. (gelöscht)
4.-Am nächsten tag ging das internet wieder nicht genauso wie jetzt. Hole mir von einem anderen comp. sehr viele programme finden bis auf anti vir nichts`mehrere dateien sind infiziert . infizierte Dateien werden nicht gelöscht ` (oder so ähnlich)
5.- im task manager befindet sich 1x Isass.exe
4-5x svchost.exe
1x avserve
6.- als ich svchost beendet habe hat sich mein comp. nach den berühmten 60 sek. wegen dem RPC runtergefahren
Dies konnte ich im tiefsten Win. Dschungel aber ausschalten über
Ausführen->system.sys \s (oder so ähnlich)

7.- WAS IST MIT MEINEM COMPUTER LOS ???????
ICH WÜRDE MICH RIIIIIEEEEEESSSSSIIGG FREUEN , WENN MIR JEMAND HELFEN WÜRDE !!!!!

_________________________
tut mir leid wegen den massig rechtschreibfehlern!
Hallo Ihr Lieben,

genau das selbe Problem habe ich auch.
Keiner der Virenscanner findet was, im den Prozessen sehe ich 3-6 mal SVCHOST.exe und einmal die lsass.exe.
Er fährt auch runter wenn ich ins Netz gehe.
Ich finde aber keine ..serv.exe o.ä.
Außerdem sehe ich unter Start/Einstellungen/Netzwerkverbindungen nicht meine Verbindungen, die ich angelegt habe.
Gehe ich aber auf den Internet Explorer, dann kommt ein Popup hoch wo ich die verbindungen auswählen kann.
Dann kommt noch dazu, dass ich das Sicherheitsupdate vom MS installiert habe, es nichts bringt.
Der Rechner ist auch zum x.ten Mal installiert und gleich danach das Sicherheitsupdate drauf und nichts funktioniert.

Habt Ihr nicht Rat, ich könnte langsam das Laptop zum Fenster raus schmeißen!

Bitte helft mir!

Danke.

LG kleene
Seitenanfang Seitenende
19.05.2004, 09:43
Member

Beiträge: 1095
#63 @kleene142
Poste mal dein HiJackthis Logfile

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
19.05.2004, 16:52
...neu hier

Beiträge: 2
#64

Zitat

paff postete
@kleene142
Poste mal dein HiJackthis Logfile

Gruß paff
hallo, so ich bin zuhause und habe alles gemacht.
Heute hat er sich mal wieder nicht runtergefahren, aber das inet geht wieder langsam.

Logfile of HijackThis v1.97.7
Scan saved at 16:50:37, on 19.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Besitzer.BIANCA\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

Bei den anderen, also adware kam folgendes:


Lavasoft Ad-aware Personal Build 6.181
Logfile created on :Mittwoch, 19. Mai 2004 16:35:42
Created with Ad-aware Personal, free for private use.
Using reference-file :01R298 20.04.2004
______________________________________________________

Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry


19.05.2004 16:35:42 - Scan started. (Smart mode)

Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 19.05.2004 14:22:55
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 19.05.2004 14:22:57
BasePriority : High


#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 19.05.2004 14:22:58
BasePriority : Normal
FileSize : 99 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Anwendung f
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Betriebssystem Microsoft
Created on : 18.08.2001 12:00:00
Last accessed : 19.05.2004 14:19:04
Last modified : 18.08.2001 12:00:00

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 19.05.2004 14:22:58
BasePriority : Normal
FileSize : 11 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
OriginalFilename : lsass.exe
ProductName : Microsoft
Created on : 18.08.2001 12:00:00
Last accessed : 19.05.2004 14:22:55
Last modified : 18.08.2001 12:00:00

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 19.05.2004 14:22:59
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 18.08.2001 12:00:00
Last accessed : 19.05.2004 14:22:55
Last modified : 18.08.2001 12:00:00

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 19.05.2004 14:22:59
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 18.08.2001 12:00:00
Last accessed : 19.05.2004 14:22:55
Last modified : 18.08.2001 12:00:00

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 19.05.2004 14:23:02
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 18.08.2001 12:00:00
Last accessed : 19.05.2004 14:22:55
Last modified : 18.08.2001 12:00:00

#:8 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 19.05.2004 14:23:02
BasePriority : Normal
FileSize : 980 KB
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Betriebssystem Microsoft
Created on : 18.08.2001 12:00:00
Last accessed : 19.05.2004 14:23:02
Last modified : 18.08.2001 12:00:00

#:9 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 19.05.2004 14:23:03
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 18.08.2001 12:00:00
Last accessed : 19.05.2004 14:22:55
Last modified : 18.08.2001 12:00:00

#:10 [ad-aware.exe]
FilePath : C:\PROGRA~1\Lavasoft\AD-AWA~1\
ThreadCreationTime : 19.05.2004 14:35:05
BasePriority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 19.05.2004 14:34:10
Last accessed : 19.05.2004 14:34:10
Last modified : 12.07.2003 19:00:20

Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0


Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Alexa Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}


Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1


Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 1


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Tracking Cookie Object recognized!
Type : File
Data : besitzer@adtech[1].txt
Object : C:\Dokumente und Einstellungen\Besitzer.BIANCA\Cookies\

Created on : 19.05.2004 14:26:33
Last accessed : 19.05.2004 14:26:33
Last modified : 19.05.2004 14:26:33



Tracking Cookie Object recognized!
Type : File
Data : besitzer@atdmt[2].txt
Object : C:\Dokumente und Einstellungen\Besitzer.BIANCA\Cookies\

Created on : 19.05.2004 10:23:16
Last accessed : 19.05.2004 14:36:48
Last modified : 19.05.2004 10:23:16



Tracking Cookie Object recognized!
Type : File
Data : besitzer@cgi-bin[1].txt
Object : C:\Dokumente und Einstellungen\Besitzer.BIANCA\Cookies\

Created on : 19.05.2004 10:21:19
Last accessed : 19.05.2004 14:36:48
Last modified : 19.05.2004 10:21:19



Tracking Cookie Object recognized!
Type : File
Data : besitzer@mediaplex[1].txt
Object : C:\Dokumente und Einstellungen\Besitzer.BIANCA\Cookies\

Created on : 19.05.2004 10:16:55
Last accessed : 19.05.2004 14:29:12
Last modified : 19.05.2004 10:16:55



Tracking Cookie Object recognized!
Type : File
Data : besitzer@qksrv[1].txt
Object : C:\Dokumente und Einstellungen\Besitzer.BIANCA\Cookies\

Created on : 19.05.2004 14:26:51
Last accessed : 19.05.2004 14:26:51
Last modified : 19.05.2004 14:26:51



Tracking Cookie Object recognized!
Type : File
Data : besitzer@tribalfusion[1].txt
Object : C:\Dokumente und Einstellungen\Besitzer.BIANCA\Cookies\

Created on : 19.05.2004 14:26:34
Last accessed : 19.05.2004 14:26:34
Last modified : 19.05.2004 14:26:34


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Deep scanning and examining files (C;)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 7


16:37:31 Scan complete

Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:01:48:736
Objects scanned :35042
Objects identified :7
Objects ignored :0
New objects :7


Kannst du was erkennen?!
Seitenanfang Seitenende
19.05.2004, 16:57
Member

Beiträge: 1095
#65 @Kleene142

Die Ad-Aware sachen kannst du ohne Problem löschen lassen.

Ansonsten sieht dein LogFile gut aus ;)
Ein bißchen kurz vielleicht, bist du sicher das du ebim kopieren nichts vergessen hast?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 19.05.2004 um 16:58 Uhr von paff editiert.
Seitenanfang Seitenende
28.05.2004, 17:10
...neu hier

Beiträge: 4
#66 Hallo,
Ich hab windows 2000 mit sp4, antivir und Kerio firewall, ich hab auch das problem mti dem shutdown wegen der lsass.exe, aber ich habe alle sasser removal tools erfolglos ausprobiert... deshalb glaube ich ich hab was anderes, hab aber keine ahung was... was soll ich als nächstes tun??

hier noch mein hijack log:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
O2 - BHO: (no name) - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINNT\System32\ELAN.exe
O4 - HKLM\..\Run: [RefreshLock] D:\Downloads\RefreshLock.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DNS Server] winlogons.exe
O4 - HKLM\..\Run: [Configuration Loader] winguard.exe
O4 - HKLM\..\RunServices: [Security Patch] WinUpdate32.exe
O4 - HKLM\..\RunServices: [DNS Server] winlogons.exe
O4 - HKLM\..\RunServices: [Configuration Loader] winguard.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.0309143519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

dazu merk ich grad dank firewall dass meine msgfix.exe und winlogons.exe extrem viel traffic verursacht, 144 abgehende verbindungen ist das normal ?
Dieser Beitrag wurde am 28.05.2004 um 17:15 Uhr von darkst0rm editiert.
Seitenanfang Seitenende
28.05.2004, 17:22
Moderator

Beiträge: 7805
#67 Das sind alles Viren/Wuermer/Bots ider aehnliches, also "fix"en:

O4 - HKLM\..\Run: [DNS Server] winlogons.exe
O4 - HKLM\..\Run: [Configuration Loader] winguard.exe
O4 - HKLM\..\RunServices: [Security Patch] WinUpdate32.exe
O4 - HKLM\..\RunServices: [DNS Server] winlogons.exe
O4 - HKLM\..\RunServices: [Configuration Loader] winguard.exe

Damit kann ich so nichts mit anfangen:
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINNT\System32\ELAN.exe
O4 - HKLM\..\Run: [RefreshLock] D:\Downloads\RefreshLock.exe

Du solltest die mal ein gutes AV-Programm zulegen. Als Notfallscanner nimm mal erst den: http://www.mwti.net/antivirus/free_utilities.asp und lasse ihn deinen Rechner im abgesicherten Modus pruefen.
Dann arbeite dich hier durch: http://www.rokop-security.de/main/article.php?sid=703
und poste nach dem ganzen ein aktuelles *ganzes* Hijackthis log.

BTW: Deine MSGFIX.exe ist auch ein BOT.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 28.05.2004 um 17:24 Uhr von raman editiert.
Seitenanfang Seitenende
28.05.2004, 17:25
...neu hier

Beiträge: 4
#68 ok mach ich

ps. refreshlock ist ein prog das ich brauche aber ELAN hab ich keine ahnung was es ist ....
Seitenanfang Seitenende
28.05.2004, 17:28
Moderator

Beiträge: 7805
#69 Dann schick das mal an virus@protecus.de
C:\WINNT\System32\ELAN.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.05.2004, 18:31
...neu hier

Beiträge: 4
#70 so bin fertig Logfile of HijackThis v1.97.7
Scan saved at 18:32:01, on 29.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Downloads\RefreshLock.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\darkij1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RefreshLock] D:\Downloads\RefreshLock.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.0309143519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

sieht n stück besser aus
der shutdown dialog kommt immer noch... ich bin verzweifelt ;(
Dieser Beitrag wurde am 28.05.2004 um 18:48 Uhr von darkst0rm editiert.
Seitenanfang Seitenende
28.05.2004, 18:58
Moderator

Beiträge: 7805
#71 Das Log an sich sieht sauber aus. Dein Antivir/kerio und Windows ist auf dem neusten Stand?
Du koenntest dich auch noch hir mal durchlesen: http://ntsvcfg.de/
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.05.2004, 20:07
...neu hier

Beiträge: 4
#72 Jo alles updatet,
das eine da mach ich jetzt noch, obwohl der shutdown dialog nicht mehr kommt, aber der hat sich auch schon andere male zeit gelassen ;)
danke jedenfalls für deine hilfe raman
MfG dark

btw. dïe virusse sdbot.mz und windowz.exe findet das virenprogramm immer wieder obwohl ich sie lösche, immer am gleichen ort, gleicher name... was mach ich am besten?
Dieser Beitrag wurde am 28.05.2004 um 21:26 Uhr von darkst0rm editiert.
Seitenanfang Seitenende
28.05.2004, 21:44
Member

Beiträge: 328
#73

Zitat

conmad postete
Hallo,

ich habe genau das gleiche Problem. Aber leider funktioniert bei mir das nicht mit shutdown -a
da kommt dann immer der Hinweis, dass das Programm shutdown nicht gefunden werden konnte, daher habe ich jetzt ,wenn das lsass Fenster kommt die Systemuhr um ein paar Stunden zurück gestellt, dann dauert es noch etwas, bis der PC wieder heruntergefahren wird.

Mein eigentliches Problem ist aber, und das finde ich irgendwie seltsam, dass alle Virenscanner den Virus einfach nicht finden! Ich habe die neuste Version vom 1.5. von Anti Vir heruntergeladen und habe auch diverse andere Scanner benutzt, keins findet den Virus bei mir!
Und auch die manuelle Entfernung funktioniert nicht, da sich 1. kein win.log in C: befindet, 2. kein avserve.exe und in der registry steht auch nix davon!
Aber das lsass Fenster erscheint trotzdem ständig!
Ich habe Win2000 und das neuste Win Patch jetzt auch installiert. Trotzdem erscheint weiterhin das lsass Fenster obwohl ich angeblich kein Virus drauf habe!
Ich weiß zwar nicht ob es was hilft, aber vielleicht muss du nach Start>Ausführen noch cmdeingeben, bestätigen und dann den Befehl shutdown -a ausführen, so hatte ich es jedenfalls gemacht. Du kannst auch shutdown -i ausführen und dann statt der Zahl 20(glaube ich jedenfalls) auf 999 stellen, was das Herunterfahren hinaus zögert.
Es ist sehr empfehlenswert auf die Seite des Bundesamtes für Sicherheit in der Informationstechnik www.bsi.de/av/vb/index.htm zu gehen, wo ihr alle aktuellen Viren findet...
Dieser Beitrag wurde am 28.05.2004 um 22:15 Uhr von J1M1 editiert.
Seitenanfang Seitenende
03.06.2004, 21:33
...neu hier

Beiträge: 1
#74 in der eingabe wird der Befehl "shutdown -a" nicht angenommen

wie kann man sonst die Message Satuscod 128 , lsass.exe. system wird in 50 sek heruntergefahren und neu gestartet beenden.
für rasche antworten wäre ich sehr dankbar
Seitenanfang Seitenende
03.06.2004, 21:57
Member

Beiträge: 1095
#75

Zitat

J1M1 postete
dann den Befehl shutdown -a ausführen, so hatte ich es jedenfalls gemacht. Du kannst auch shutdown -i ausführen und dann statt der Zahl 20(glaube ich jedenfalls) auf 999 stellen, was das Herunterfahren hinaus zögert.
Dann Virenscanner updaten und Virus jagen

oder im abgesicherten Modus hochfahreb
Dann mal HIJAckTHis LogFile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende