lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

#76 Hallo, folgendes Problem,
da ich wenig Ahnung habe,
habe ich leider die lsass.exe aus C:\Windows\ und C:\Windows\System32\
einfach gelöscht, jetzt startet mein Windows zwar,
aber der Bildschirm bleibt schwarz und ich habe nur einen weissen
Mauszeiger und sonst ist nichts zu sehen.
Ich würde ja gerne die Dateien weiderherstellen und alles ordentlich machen,
aber ohne was zu sehen kann ich wenig tun.
Muss ich Windows neu installieren oder geht es auch anders ?
Bitte um Tipps.
Gruß

#77 Hallo also ich hab alles gemacht wie ich es hier und woanders gelesen hab.
Hab also den Isass.exe Worm 32E der den PC innerhalb von 60 Sec. runterfahren lässt wobei das bei mir recht selten ist

Bekomme ihn aber nicht aus dem Taskamanager
Habe mir schon sämtliche Tools runtergeladen ca 5 Stück
Es wurde nichts gefunden
Anti Vir hat nichts gefunden
Habe die Wörter aus der registry gelöscht
Nichts gebracht

Weiss nicht mehr weiter bin auch schon mal im abgesicherten Modus hochgefahren hat aber auch nichts gebracht
Habe mir natürlich schon alles Seiten hier durchgelesen aber .....ach den Microsoft Patch bekomme ich gar nicht erts installiert auch dieses Tool von MS bricht sofort ab

#78 Bitte lest euch doch mal den Thread von Anfang an durch, oder benutzt doch mal die Board-Suche !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Das gabs schon 100 mal.
MFG
DAFRA

#79 Ich habe es mir schon alles durchgelesen und hat doch nichts genutzt,
also diesen Thread und ca 2 weitere aber nichts bin sogar noch auf andere Seiten gestossen über google auch nicht s ehrlich

Habs mal versucht


MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Ordner sasser\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ED199F75] C:\WINDOWS\System32\atixyixmwk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O9 - Extra button: AIM (HKLM)
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37941.3038194444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E7AF1AE-00AC-4C0C-AF2D-639E68597A52}: NameServer = 145.253.2.203 145.253.2.139

#80 @Frezzer

Fixe mal das hier

O4 - HKLM\..\Run: [ED199F75] C:\WINDOWS\System32\atixyixmwk.exe
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab

Virenscanner updaten

Dann neustart

Dann nochmal Logfile

NOCHMAL FÜR ALLE
Die "lsass.exe" ist kein Virus,Trojaner oder sonstwas, sondern nur angegriffen und zum Absturz gebracht. Es ist eine ganz reguläre und sehr wichtige Windowsdatei.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#81 Ich hatte genau dasselbe problem dachte auch das ich Sasser aufm rechner hätte alle tools gegen sasser haben aber den virus nicht gefunden hab dann den Stinger von Mc afee runtergeladen der hat den virus gefunden welcher nicht Sasser ist sondern W32/Sdbot.worm.gen, er tut anscheinend genau wie Sasser agieren, nur ich hab jetzt keine True color(32 bit) mehr sondern nur noch 16 farben auf dem monitor kann mir da einer helfen ???

#82 http://www.tuneup.de/download/tu2003/
Lade den TuneUp 2003...30 Tage free und checke den Comp.
Das Tool ist echt gut .
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#83 Hallo!
Ich glaube, ich habe auch den Virus. Nachdem ich Probleme gehabt habe, habe ich die C-Platte formatiert. nachdem ich Win 2000 wieder installiert habe, ist nach der iNTERNETVERBINDUNG DER pc DAUERND MIT DEM lSASS.EXE Bild heruntergefahren. Nun habe ich die Norton Firewall und NAV 2002 mit allen Updates, Spybot und Adaware mit allen Updates drüberfahren lassen, aber die finden alle nichts. Meine Firewall ist ständig auf 100 und wenn ich sie deaktiviere ist lt. Taskmanager mein System auf 100, auch wenn ich nichts mache. Ich habe jetzt Hijack drüberlaufen lassen, vielleich erkennt ihr etwas.
Grüße
Thomas

Logfile of HijackThis v1.97.7
Scan saved at 15:31:46, on 18.06.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\PROGRA~1\NORTON~2\navapw32.exe
C:\WINNT\system32\feqwfs.exe
C:\WINNT\system32\fqfqevqx.exe
C:\WINNT\system32\servicess.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\fqfqevqx.exe
C:\WINNT\system32\servicess.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\taskmgr.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKLM\..\Run: [msmgsgms] C:\WINNT\system32\feqwfs.exe
O4 - HKLM\..\Run: [Monitor Test] fqfqevqx.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] servicess.exe
O4 - HKLM\..\RunServices: [Monitor Test] fqfqevqx.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] servicess.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Monitor Test] fqfqevqx.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] servicess.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#84 @tkolafa

Deaktiviere die Wiederherstellung, falls Win2000 das hat.

Fixe mit dem HijackThis

O4 - HKLM\..\Run: [msmgsgms] C:\WINNT\system32\feqwfs.exe
O4 - HKLM\..\Run: [Monitor Test] fqfqevqx.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] servicess.exe
O4 - HKLM\..\RunServices: [Monitor Test] fqfqevqx.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] servicess.exe
O4 - HKCU\..\Run: [Monitor Test] fqfqevqx.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] servicess.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

neustarten


Gehe in die Registry
Start\Ausfuehren\regedit

# HKEY_LOCAL_MACHINE \Software\Microsoft\
Windows\CurrentVersion\Run\Microsoft Synchronization Manager] servicess.exe
#HKEY_LOCAL_MACHINE \Software\Microsoft\
Windows\CurrentVersion\Run\: [Monitor Test] fqfqevqx.exe
#HKEY_LOCAL_MACHINE \Software\Microsoft\
Windows\CurrentVersion\RunService\[Microsoft Synchronization Manager] servicess.exe
#HKEY_LOCAL_MACHINE \Software\Microsoft\
Windows\CurrentVersion\Run\feqwfs.exe
#HKEY_LOCAL_MACHINE \Software\Microsoft\
Windows\CurrentVersion\RunService\ fqfqevqx.exe

#HKCU\Software\Microsoft\
Windows\CurrentVersion\Run: [Monitor Test] fqfqevqx.exe
#HKCU\Software\Microsoft\
Windows\CurrentVersion\Run: [Microsoft Synchronization Manager] servicess.exe


..........................................................................................
#C:\WINNT\system32\servicess.exe
#C:\WINNT\system32\Instals.exe
#C:\WINNT\system32\[Monitor Test] fqfqevqx.exe
#C:\WINNT\system32\feqwfs.exe
loeschen

lade mwav.exe und scanne den Comp.
http://www.mwti.net/antivirus/free_utilities.asp

und poste das Endergebnis
und das Log vom HijackThis
MfG
Sabina

http://securityresponse.symantec.com/avcenter/venc/data/soft6.html
__________
MfG Sabina

rund um die PC-Sicherheit

#85 @tkolafa

Geh bitte in den abgesicherten Modus von Windows 2000

und fixe dies
O4 - HKLM\..\Run: [msmgsgms] C:\WINNT\system32\feqwfs.exe
O4 - HKLM\..\Run: [Monitor Test] fqfqevqx.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] servicess.exe
O4 - HKLM\..\RunServices: [Monitor Test] fqfqevqx.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] servicess.exe
O4 - HKCU\..\Run: [Monitor Test] fqfqevqx.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] servicess.exe

Sie dateien suchen und löschen

Dann neustart und nochmal log posten

Außerdem sollest du mal dein Windows updaten. Win2000 hat inzwi. Service PAck 4

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#86 Hallo nur noch eine Frage befor ich das mache.
Warum zeigt Hijacker IP 5 servicepack1 an, wo ich IP6 oben habe.
ich habe jetzt nocheinmal sutup6 gemacht und trotzdem zeigt Hijacker 5 SP1 an
Grüße
Thomas

#87 Ich weiss es so zwar nicht genau, aber vieleicht setzt der IE6 bei NT2000 das SP3 oder SP4 voraus und installiert sich sonst nicht?
__________
MfG Ralf
SEO-Spam Hunter

#88 Versuche die Installation von IE 6 SP1 und das WindowsUpdate nach der Reinigung noch einmal.
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#89 Hallo!
Habe jetzt upgedatet mit SP4 und IE6 nocheimal installiert.
Sabine: anbei das Lod vom Scannen und des Hijacker. ich hoffe jetzt ist alles in Ordnung. Zumindest die Prozessorauslastung ist wieder normal.

Total Number of Files Scanned: 16578
Fri Jun 18 20:21:19 2004 => Total Number of Virus(es) Found: 8
Fri Jun 18 20:21:19 2004 => Total Number of Disinfected Files: 0
Fri Jun 18 20:21:19 2004 => Total Number of Files Renamed: 2
Fri Jun 18 20:21:19 2004 => Total Number of Deleted Files: 6
Fri Jun 18 20:21:19 2004 => Total Number of Errors: 1
Fri Jun 18 20:21:19 2004 => Time Elapsed: 01:03:05
Fri Jun 18 20:21:19 2004 => Virus Database Date: 2004/06/12
Fri Jun 18 20:21:19 2004 => Virus Database Count: 94597

Logfile of HijackThis v1.97.7
Scan saved at 12:52:53, on 19.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\NORTON~2\navapw32.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\WINNT\system32\internat.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: Windows Update-Installation fortsetzen.lnk = C:\WINNT\Windows Update Setup-Dateien\ie6setup.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Grüße
Thomas

#90 Fixe das noch, danach neustarten

O4 - Startup: Windows Update-Installation fortsetzen.lnk = C:\WINNT\Windows Update Setup-Dateien\ie6setup.exe

Es ist alles sauber...Glueckwunsch
Denke mal ueber einen Wechsel vom Virenscanner nach.......

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit