lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » LösungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
04.06.2004, 18:50
...neu hier
Beiträge: 1 |
||
|
||
04.06.2004, 19:19
...neu hier
Beiträge: 2 |
#77
Hallo also ich hab alles gemacht wie ich es hier und woanders gelesen hab.
Hab also den Isass.exe Worm 32E der den PC innerhalb von 60 Sec. runterfahren lässt wobei das bei mir recht selten ist Bekomme ihn aber nicht aus dem Taskamanager Habe mir schon sämtliche Tools runtergeladen ca 5 Stück Es wurde nichts gefunden Anti Vir hat nichts gefunden Habe die Wörter aus der registry gelöscht Nichts gebracht Weiss nicht mehr weiter bin auch schon mal im abgesicherten Modus hochgefahren hat aber auch nichts gebracht Habe mir natürlich schon alles Seiten hier durchgelesen aber .....ach den Microsoft Patch bekomme ich gar nicht erts installiert auch dieses Tool von MS bricht sofort ab Dieser Beitrag wurde am 04.06.2004 um 19:22 Uhr von Freezer editiert.
|
|
|
||
04.06.2004, 19:41
Member
Themenstarter Beiträge: 1122 |
#78
Bitte lest euch doch mal den Thread von Anfang an durch, oder benutzt doch mal die Board-Suche !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Das gabs schon 100 mal. MFG DAFRA |
|
|
||
04.06.2004, 19:43
...neu hier
Beiträge: 2 |
#79
Ich habe es mir schon alles durchgelesen und hat doch nichts genutzt,
also diesen Thread und ca 2 weitere aber nichts bin sogar noch auf andere Seiten gestossen über google auch nicht s ehrlich Habs mal versucht MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Internet Explorer\iexplore.exe C:\Ordner sasser\hijackthis1977\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [ED199F75] C:\WINDOWS\System32\atixyixmwk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O9 - Extra button: AIM (HKLM) O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37941.3038194444 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5E7AF1AE-00AC-4C0C-AF2D-639E68597A52}: NameServer = 145.253.2.203 145.253.2.139 Dieser Beitrag wurde am 04.06.2004 um 20:40 Uhr von Freezer editiert.
|
|
|
||
05.06.2004, 00:10
Member
Beiträge: 1095 |
#80
@Frezzer
Fixe mal das hier O4 - HKLM\..\Run: [ED199F75] C:\WINDOWS\System32\atixyixmwk.exe O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab Virenscanner updaten Dann neustart Dann nochmal Logfile NOCHMAL FÜR ALLE Die "lsass.exe" ist kein Virus,Trojaner oder sonstwas, sondern nur angegriffen und zum Absturz gebracht. Es ist eine ganz reguläre und sehr wichtige Windowsdatei. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
07.06.2004, 11:57
...neu hier
Beiträge: 1 |
#81
Ich hatte genau dasselbe problem dachte auch das ich Sasser aufm rechner hätte alle tools gegen sasser haben aber den virus nicht gefunden hab dann den Stinger von Mc afee runtergeladen der hat den virus gefunden welcher nicht Sasser ist sondern W32/Sdbot.worm.gen, er tut anscheinend genau wie Sasser agieren, nur ich hab jetzt keine True color(32 bit) mehr sondern nur noch 16 farben auf dem monitor kann mir da einer helfen ???
|
|
|
||
14.06.2004, 12:53
Ehrenmitglied
Beiträge: 29434 |
#82
http://www.tuneup.de/download/tu2003/
Lade den TuneUp 2003...30 Tage free und checke den Comp. Das Tool ist echt gut . MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.06.2004 um 12:54 Uhr von Sabina editiert.
|
|
|
||
18.06.2004, 15:27
...neu hier
Beiträge: 7 |
#83
Hallo!
Ich glaube, ich habe auch den Virus. Nachdem ich Probleme gehabt habe, habe ich die C-Platte formatiert. nachdem ich Win 2000 wieder installiert habe, ist nach der iNTERNETVERBINDUNG DER pc DAUERND MIT DEM lSASS.EXE Bild heruntergefahren. Nun habe ich die Norton Firewall und NAV 2002 mit allen Updates, Spybot und Adaware mit allen Updates drüberfahren lassen, aber die finden alle nichts. Meine Firewall ist ständig auf 100 und wenn ich sie deaktiviere ist lt. Taskmanager mein System auf 100, auch wenn ich nichts mache. Ich habe jetzt Hijack drüberlaufen lassen, vielleich erkennt ihr etwas. Grüße Thomas Logfile of HijackThis v1.97.7 Scan saved at 15:31:46, on 18.06.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Norton Personal Firewall\SymProxySvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Norton Personal Firewall\NISSERV.EXE C:\WINNT\Explorer.EXE C:\Programme\Norton Personal Firewall\IAMAPP.EXE C:\PROGRA~1\NORTON~2\navapw32.exe C:\WINNT\system32\feqwfs.exe C:\WINNT\system32\fqfqevqx.exe C:\WINNT\system32\servicess.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\fqfqevqx.exe C:\WINNT\system32\servicess.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\taskmgr.exe C:\unzipped\hijackthis1977\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe O4 - HKLM\..\Run: [msmgsgms] C:\WINNT\system32\feqwfs.exe O4 - HKLM\..\Run: [Monitor Test] fqfqevqx.exe O4 - HKLM\..\Run: [Microsoft Synchronization Manager] servicess.exe O4 - HKLM\..\RunServices: [Monitor Test] fqfqevqx.exe O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] servicess.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Monitor Test] fqfqevqx.exe O4 - HKCU\..\Run: [Microsoft Synchronization Manager] servicess.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
18.06.2004, 15:52
Ehrenmitglied
Beiträge: 29434 |
#84
@tkolafa
Deaktiviere die Wiederherstellung, falls Win2000 das hat. Fixe mit dem HijackThis O4 - HKLM\..\Run: [msmgsgms] C:\WINNT\system32\feqwfs.exe O4 - HKLM\..\Run: [Monitor Test] fqfqevqx.exe O4 - HKLM\..\Run: [Microsoft Synchronization Manager] servicess.exe O4 - HKLM\..\RunServices: [Monitor Test] fqfqevqx.exe O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] servicess.exe O4 - HKCU\..\Run: [Monitor Test] fqfqevqx.exe O4 - HKCU\..\Run: [Microsoft Synchronization Manager] servicess.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE neustarten Gehe in die Registry Start\Ausfuehren\regedit # HKEY_LOCAL_MACHINE \Software\Microsoft\ Windows\CurrentVersion\Run\Microsoft Synchronization Manager] servicess.exe #HKEY_LOCAL_MACHINE \Software\Microsoft\ Windows\CurrentVersion\Run\: [Monitor Test] fqfqevqx.exe #HKEY_LOCAL_MACHINE \Software\Microsoft\ Windows\CurrentVersion\RunService\[Microsoft Synchronization Manager] servicess.exe #HKEY_LOCAL_MACHINE \Software\Microsoft\ Windows\CurrentVersion\Run\feqwfs.exe #HKEY_LOCAL_MACHINE \Software\Microsoft\ Windows\CurrentVersion\RunService\ fqfqevqx.exe #HKCU\Software\Microsoft\ Windows\CurrentVersion\Run: [Monitor Test] fqfqevqx.exe #HKCU\Software\Microsoft\ Windows\CurrentVersion\Run: [Microsoft Synchronization Manager] servicess.exe .......................................................................................... #C:\WINNT\system32\servicess.exe #C:\WINNT\system32\Instals.exe #C:\WINNT\system32\[Monitor Test] fqfqevqx.exe #C:\WINNT\system32\feqwfs.exe loeschen lade mwav.exe und scanne den Comp. http://www.mwti.net/antivirus/free_utilities.asp und poste das Endergebnis und das Log vom HijackThis MfG Sabina http://securityresponse.symantec.com/avcenter/venc/data/soft6.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.06.2004 um 16:16 Uhr von Sabina editiert.
|
|
|
||
18.06.2004, 15:56
Member
Beiträge: 1095 |
#85
@tkolafa
Geh bitte in den abgesicherten Modus von Windows 2000 und fixe dies O4 - HKLM\..\Run: [msmgsgms] C:\WINNT\system32\feqwfs.exe O4 - HKLM\..\Run: [Monitor Test] fqfqevqx.exe O4 - HKLM\..\Run: [Microsoft Synchronization Manager] servicess.exe O4 - HKLM\..\RunServices: [Monitor Test] fqfqevqx.exe O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] servicess.exe O4 - HKCU\..\Run: [Monitor Test] fqfqevqx.exe O4 - HKCU\..\Run: [Microsoft Synchronization Manager] servicess.exe Sie dateien suchen und löschen Dann neustart und nochmal log posten Außerdem sollest du mal dein Windows updaten. Win2000 hat inzwi. Service PAck 4 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
18.06.2004, 18:13
...neu hier
Beiträge: 7 |
#86
Hallo nur noch eine Frage befor ich das mache.
Warum zeigt Hijacker IP 5 servicepack1 an, wo ich IP6 oben habe. ich habe jetzt nocheinmal sutup6 gemacht und trotzdem zeigt Hijacker 5 SP1 an Grüße Thomas |
|
|
||
18.06.2004, 19:16
Moderator
Beiträge: 7805 |
#87
Ich weiss es so zwar nicht genau, aber vieleicht setzt der IE6 bei NT2000 das SP3 oder SP4 voraus und installiert sich sonst nicht?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
19.06.2004, 06:50
Ehrenmitglied
Beiträge: 29434 |
#88
Versuche die Installation von IE 6 SP1 und das WindowsUpdate nach der Reinigung noch einmal.
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.06.2004, 12:54
...neu hier
Beiträge: 7 |
#89
Hallo!
Habe jetzt upgedatet mit SP4 und IE6 nocheimal installiert. Sabine: anbei das Lod vom Scannen und des Hijacker. ich hoffe jetzt ist alles in Ordnung. Zumindest die Prozessorauslastung ist wieder normal. Total Number of Files Scanned: 16578 Fri Jun 18 20:21:19 2004 => Total Number of Virus(es) Found: 8 Fri Jun 18 20:21:19 2004 => Total Number of Disinfected Files: 0 Fri Jun 18 20:21:19 2004 => Total Number of Files Renamed: 2 Fri Jun 18 20:21:19 2004 => Total Number of Deleted Files: 6 Fri Jun 18 20:21:19 2004 => Total Number of Errors: 1 Fri Jun 18 20:21:19 2004 => Time Elapsed: 01:03:05 Fri Jun 18 20:21:19 2004 => Virus Database Date: 2004/06/12 Fri Jun 18 20:21:19 2004 => Virus Database Count: 94597 Logfile of HijackThis v1.97.7 Scan saved at 12:52:53, on 19.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Norton Personal Firewall\NISSERV.EXE C:\Programme\Norton Personal Firewall\SymProxySvc.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\NORTON~2\navapw32.exe C:\Programme\Norton Personal Firewall\IAMAPP.EXE C:\WINNT\system32\internat.exe C:\unzipped\hijackthis1977\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - Startup: Windows Update-Installation fortsetzen.lnk = C:\WINNT\Windows Update Setup-Dateien\ie6setup.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Grüße Thomas |
|
|
||
19.06.2004, 14:49
Ehrenmitglied
Beiträge: 29434 |
#90
Fixe das noch, danach neustarten
O4 - Startup: Windows Update-Installation fortsetzen.lnk = C:\WINNT\Windows Update Setup-Dateien\ie6setup.exe Es ist alles sauber...Glueckwunsch Denke mal ueber einen Wechsel vom Virenscanner nach....... MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.06.2004 um 14:50 Uhr von Sabina editiert.
|
|
|
||
da ich wenig Ahnung habe,
habe ich leider die lsass.exe aus C:\Windows\ und C:\Windows\System32\
einfach gelöscht, jetzt startet mein Windows zwar,
aber der Bildschirm bleibt schwarz und ich habe nur einen weissen
Mauszeiger und sonst ist nichts zu sehen.
Ich würde ja gerne die Dateien weiderherstellen und alles ordentlich machen,
aber ohne was zu sehen kann ich wenig tun.
Muss ich Windows neu installieren oder geht es auch anders ?
Bitte um Tipps.
Gruß