lsass-Fehlermeldung noch während Startvorgang, shutdown -a erfolglos |
||
---|---|---|
#0
| ||
07.05.2004, 13:55
...neu hier
Beiträge: 5 |
||
|
||
07.05.2004, 14:30
Member
Beiträge: 1095 |
#2
Poste mal bitte das HiJackthis logfile
Wahrscheilich wird bei dir irgendetwas beim normalen Systemstart gestartet was die lsass zum absturz bringt. Vielleicht bisher unbekannet Variante. Wie schaffst du es Sachen aus dem INet zu laden wenn dir der Rechner dauernt runterfährt? Lade neuen Virenscanner(www.antivir.de), updaten WICHTIG !!! und im abgesicherten Modus laufen lassen. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
07.05.2004, 14:43
...neu hier
Themenstarter Beiträge: 5 |
#3
Danke für die schnelle Antwort.
Das mit dem Hijackthis-Logfile klappt auf die Schnelle nicht, da es sich um den Privat-Rechner meines Chefs handelt. Die Sachen habe ich mir von einem anderen Rechner heruntergeladen. Könnte es sein, dass es sich gar nicht um einen Virus handelt, sondern einfach irgendeine Systemkomponente querschiesst? Ich habe bei google mit der Eingabe von Lsass.exe Forenbeiträge gefunden, die bereits im September so ein Phänomen beschreiben, allerdings auch hierzu keine Lösung. Vielleicht bügel ich einfach mal das SP4 neu drüber??? . . . . . Das war´s wohl nicht. SP4 neu drübergespielt, MS-Patch (Sasser) neu eingespielt und dann das Microsoft Sasser Removal-Toll nochmals laufen lassen. Ohne Erfolg, das Phänomen bleibt. Mir fällt nichts mehr ein. Dieser Beitrag wurde am 08.05.2004 um 19:18 Uhr von koehlhirsch editiert.
|
|
|
||
11.05.2004, 09:18
...neu hier
Beiträge: 5 |
#4
Servus
eben mal über googlen hier gelandet jetzt schon ca 2 stunden drüber am lesen auch die Beiträge von 2003 kolleg hat w2k und w98 auf der Kiste selbe Probs unter w2k, shutdown bei internetverbindung nun war er so clever und hat die Lsass.exe gelöscht dies hat zur Folge, das das System nicht mehr hoch fährt...bleibt kurz vor der Andmeldung hängen, blauer Bildschirm kann ich die Datei von einem anderen System übernehmen(gibt wohl probleme mit den angelegten Benutzern, oder?) NAV mit aktuellstem VirenSig und fixes, alles vorher probiert (vor löschen der datei lsass.exe) aber nix half mfg |
|
|
||
11.05.2004, 09:44
Member
Beiträge: 1095 |
#5
@koehlhirsch
Wie sieht aus wenn man im SafeMode bootet? http://www.bsi.de/av/texte/winsave.htm Kann das das HiJackThis Logfile erstellt werden. wahrscheinlich startet irgendwas beim Systemstart was die Kiste abschießt. @steschto Am besten mit anderem System übernehmen. Vielleicht auf Versionnummer bzw. Service Pack achten. Im Notfall RecoveryConsole benutzen @all Noch ein Tip von symantec Zitat 1. Disconnect the computer from the network/Internet connection. (Disconnect the cable if necessary.)http://www.symantec.com/avcenter/venc/data/w32.sasser.d.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 11.05.2004 um 09:57 Uhr von paff editiert.
|
|
|
||
11.05.2004, 15:54
Ehrenmitglied
Beiträge: 29434 |
#6
Der neue Sasser .E
http://www.sarc.com/avcenter/venc/data/w32.sasser.e.worm.html Deletes the values: * "ssgrate.exe" * "drvsys.exe" * "Drvddll_exe" from the registry key: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ---------------------------------------------------------------------------- 1. Disconnect the computer from the network/Internet connection. (Disconnect the cable if necessary.) 2. Restart the computer. 3. As soon as Windows opens and you see the Windows desktop, click Start > Run. 4. Type: cmd and press Enter. 5. Type: shutdown -i and press Enter. 6. In the Remote Shutdown Dialog that opens, change 20 seconds to: 9999 and click OK. This gives you about three hours to get the patch installed, update the definitions, and so on. 7. Reconnect the network/Internet connection. 8. Connect to the Internet, and get the patch. Then continue with the steps described below. When you have patched for and removed the threat, you can re-enable the 20 second default warning if you want to. The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines. 1. End the malicious process (Windows 2000/XP). 2. Disable System Restore (Windows XP). 3. Update the virus definitions. 4. Run a full system scan and delete all the files detected as W32.Sasser.E.Worm. 5. Reverse the change made to the registry. <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< To end the malicious process On Windows 2000/XP computers, you must first end the malicious process: 1. Press Ctrl+Alt+Delete once. 2. Click Task Manager. 3. Click the Processes tab. 4. Double-click the Image Name column header to alphabetically sort the processes. 5. Scroll through the list and look for the following processes: * lsasss.exe * any process with a name consisting of four or five digits, followed by _upload.exe (eg 74354_upload.exe). 6. If you find any such process, click it, and then click End Process. 7. Exit the Task Manager. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.05.2004 um 15:58 Uhr von Sabina editiert.
|
|
|
||
11.05.2004, 18:48
...neu hier
Themenstarter Beiträge: 5 |
#7
@paff
Im abgesicherten Modus zu booten ist kein Problem. Das System läuft hier auch fehlerfrei. ich habe auf diese Art die Removal-Tools und die Patches installiert. Sobald ich jedoch wieder im Normal-Modus starte, fährt er wieder automatisch runter. Ich werde es mit der Reparatur-Funktion von der Installations-CD versuchen, ansonsten gibt´s format c:. Ich bin sicher, dass es nichts mit sasser zu tun hat. @steschto Ich habe auch mit der lsass.exe rumgespielt, diese umbenannt usw. Dann bleibt das System beim Startvorgang ohne Fehlermeldung hängen (allerdings auch im abgesicherten Modus). Dann brauchst du eine Boot-CD/Disk und kannst die passende lsass.exe (auf SP achten) von einem funktionierenden System einfach in das System32-Verzeichnis im Windows-Ordner kopieren. |
|
|
||
11.05.2004, 20:07
...neu hier
Beiträge: 4 |
#8
Ich benutze Windows XP und habe seit heute auch oben beschriebenes Problem! Schon beim HOchfahren des PC's gibt es die FEhlermeldung von lsass.exe dass dazu führt das man den PC gar nicht hochfahren kann!
Bei Ok startet sich der PC wieder neu! Gibt es eine Lösung??? Wäre dankbar um jede schnelle Antwort! [/b] |
|
|
||
12.05.2004, 07:59
...neu hier
Beiträge: 5 |
#9
hast du denn mal versucht, im abgesicherten Modus hochzufahren??
@ rest : werd das heute mal versuchen (wenn kolleg daheim is) mit dem ersetzen der lsass.exe (die ist ja auch im sp vorhanden, ordner i386 |
|
|
||
13.05.2004, 09:42
...neu hier
Beiträge: 4 |
#10
@steschto
Nein, habe ich nicht probiere ich aber mal, hast du einen Hineweis was das sein könnte das diesen fehler hervorruft? |
|
|
||
13.05.2004, 10:29
...neu hier
Beiträge: 5 |
#11
weiss noch nicht genau, da ich gestern keine zeit hatte beim kolleg zu probieren
könnt der sasser oder sober sein jedoch wird selbst im abgesicherten modus nichts mit den fixes erreicht vieleicht bin ich heute mittag schlauer poste dann hier |
|
|
||
13.05.2004, 11:20
...neu hier
Beiträge: 4 |
#12
danke für deine Schnelle Antwort!
Ich warte dann mal! Kann das jetzt sowieso noch nicht ausprobieren, da Ich nicht zu Hause bin. Warte dann mal auf deine Message |
|
|
||
14.05.2004, 07:53
...neu hier
Beiträge: 5 |
#13
So
hab ihn nun gekillt erstmal die lsass.exe aus´m Servicepack wieder ins System kopiert dann alle stinger, fixsasser etc die ich finden konnte drüber gejackelt natürlich nix gefunden nochmal in der registrierung im autostart nachgesehen da stand dann noch ne drvon.exe im system32 ordner dann gleich mal gegoogled, nix über diese datei gefunden MS Knowledgebase gab auch gar nix drüber her also gelöscht und siehe da, Sasser is tott DRVON.exe diese drecks.. (der klügere gibt nach, unn datt bin mit sicherheit net ich..!!) ist also neu, diese Bezeichnung für den Virus konnte auch von keinem Fix gefunden werden mfg |
|
|
||
17.05.2004, 17:12
...neu hier
Beiträge: 4 |
#14
@steschto
Hab zwar nix verstanden, aber hört sich gut an :-) Ich habe eine Backup datei von vor einem Jahr gefunden und das aufgespielt. Hatte ca. 90% Datenverlust. Aber es läuft wieder. Danke für deine Hilfe |
|
|
||
18.05.2004, 08:05
...neu hier
Beiträge: 5 |
#15
na
was ich sagen wollte hatt den sasser jedoch hat kein fix ihn gefunden da er sich als drvon.exe ins system geklinkt hat kein plan warum er net gefunden wurde (w2k ,alle sp´s , auch im abgesicherten modus net) das war alles |
|
|
||
Mein PC (Windows 2000) bringt sofort nach bzw. noch während des Startvorganges die hier schon häufig beschriebene Fehlermeldung "lsass.exe wurde beendet.... Fehler 128". Der PC muss neu gestartet werden. Sie haben 60 sec. Dieses Verhalten tritt immer beim Startvorgang auf, nicht wie bei vielen anderen beschrieben, nach einer gewissen Zeit oder Einwahl ins Internet o. ä. Der Befehl "shutdown -a" funktioniert nicht, weil die Datei nicht gefunden werden kann.
Also, frei ans Werk und die hier zur genüge geposteten Anleitung zur Entfernung von Sasser gestartet. Removal-Tools (Stinger, Symantec usw.) und MS-Update heruntergeladen, 2000 im abgesicherten Modus gestartet und erstmal nach den einschlägigen Dateien (avserve.exe xxxxx_up.exe usw.) per Hand gesucht und... nix gefunden. Registry durchsucht, nix gefunden.
Also, Removal-Tool gestartet - wieder nix gefunden, Windows-Patch drauf, nochmals Removal-Tool laufen lassen (wieder ohne Ergebnis - natürlich), Neustart im Normal-Modus - das typische Verhalten: noch während des Startvorganges kommt die Fehlermeldung und die Maschine fährt herunter...
Ich habe in einem Thread gelesen, dass dies wohl mehreren Anwendern so geht (zumindest, dass die Dateien und Registry-Einträge nicht da sind), allerdings findet sich keine Lösung zu diesem Problem.
Gibt es eine ????