lsass-Fehlermeldung noch während Startvorgang, shutdown -a erfolglos

#1 Ich bin mit meinem Latein absolut am Ende. Seit Anfang der Woche versuche ich folgendes Problem zu lösen:
Mein PC (Windows 2000) bringt sofort nach bzw. noch während des Startvorganges die hier schon häufig beschriebene Fehlermeldung "lsass.exe wurde beendet.... Fehler 128". Der PC muss neu gestartet werden. Sie haben 60 sec. Dieses Verhalten tritt immer beim Startvorgang auf, nicht wie bei vielen anderen beschrieben, nach einer gewissen Zeit oder Einwahl ins Internet o. ä. Der Befehl "shutdown -a" funktioniert nicht, weil die Datei nicht gefunden werden kann.

Also, frei ans Werk und die hier zur genüge geposteten Anleitung zur Entfernung von Sasser gestartet. Removal-Tools (Stinger, Symantec usw.) und MS-Update heruntergeladen, 2000 im abgesicherten Modus gestartet und erstmal nach den einschlägigen Dateien (avserve.exe xxxxx_up.exe usw.) per Hand gesucht und... nix gefunden. Registry durchsucht, nix gefunden.
Also, Removal-Tool gestartet - wieder nix gefunden, Windows-Patch drauf, nochmals Removal-Tool laufen lassen (wieder ohne Ergebnis - natürlich), Neustart im Normal-Modus - das typische Verhalten: noch während des Startvorganges kommt die Fehlermeldung und die Maschine fährt herunter...

Ich habe in einem Thread gelesen, dass dies wohl mehreren Anwendern so geht (zumindest, dass die Dateien und Registry-Einträge nicht da sind), allerdings findet sich keine Lösung zu diesem Problem.

Gibt es eine ????

#2 Poste mal bitte das HiJackthis logfile

Wahrscheilich wird bei dir irgendetwas beim normalen Systemstart gestartet was die lsass zum absturz bringt. Vielleicht bisher unbekannet Variante.

Wie schaffst du es Sachen aus dem INet zu laden wenn dir der Rechner dauernt runterfährt?

Lade neuen Virenscanner(www.antivir.de), updaten WICHTIG !!! und im abgesicherten Modus laufen lassen.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Danke für die schnelle Antwort.

Das mit dem Hijackthis-Logfile klappt auf die Schnelle nicht, da es sich um den Privat-Rechner meines Chefs handelt. Die Sachen habe ich mir von einem anderen Rechner heruntergeladen.

Könnte es sein, dass es sich gar nicht um einen Virus handelt, sondern einfach irgendeine Systemkomponente querschiesst? Ich habe bei google mit der Eingabe von Lsass.exe Forenbeiträge gefunden, die bereits im September so ein Phänomen beschreiben, allerdings auch hierzu keine Lösung.
Vielleicht bügel ich einfach mal das SP4 neu drüber???
.
.
.
.
.
Das war´s wohl nicht.

SP4 neu drübergespielt, MS-Patch (Sasser) neu eingespielt und dann das Microsoft Sasser Removal-Toll nochmals laufen lassen. Ohne Erfolg, das Phänomen bleibt.

Mir fällt nichts mehr ein.

#4 Servus
eben mal über googlen hier gelandet
jetzt schon ca 2 stunden drüber am lesen
auch die Beiträge von 2003

kolleg hat w2k und w98 auf der Kiste
selbe Probs unter w2k, shutdown bei internetverbindung

nun war er so clever und hat die Lsass.exe gelöscht

dies hat zur Folge, das das System nicht mehr hoch fährt...bleibt kurz vor der Andmeldung hängen, blauer Bildschirm

kann ich die Datei von einem anderen System übernehmen(gibt wohl probleme mit den angelegten Benutzern, oder?)
NAV mit aktuellstem VirenSig und fixes, alles vorher probiert (vor löschen der datei lsass.exe) aber nix half

mfg

#5 @koehlhirsch
Wie sieht aus wenn man im SafeMode bootet?
http://www.bsi.de/av/texte/winsave.htm

Kann das das HiJackThis Logfile erstellt werden.

wahrscheinlich startet irgendwas beim Systemstart was die Kiste abschießt.

@steschto
Am besten mit anderem System übernehmen. Vielleicht auf Versionnummer bzw. Service Pack achten. Im Notfall RecoveryConsole benutzen

@all
Noch ein Tip von symantec

Zitat

1. Disconnect the computer from the network/Internet connection. (Disconnect the cable if necessary.)
2. Restart the computer.
3. As soon as Windows opens and you see the Windows desktop, click Start > Run.
Type:

cmd

and press Enter.


Type:

shutdown -i

and press Enter.


In the Remote Shutdown Dialog that opens, change 20 seconds to:

9999

and click OK.

4. This gives you about three hours to get the patch installed, update the definitions, and so on.

5. Reconnect the network/Internet connection.
Connect to the Internet, and get the patch. Then continue with the steps described below.

http://www.symantec.com/avcenter/venc/data/w32.sasser.d.html

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 Der neue Sasser .E
http://www.sarc.com/avcenter/venc/data/w32.sasser.e.worm.html


Deletes the values:

* "ssgrate.exe"
* "drvsys.exe"
* "Drvddll_exe"

from the registry key:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

----------------------------------------------------------------------------

1. Disconnect the computer from the network/Internet connection. (Disconnect the cable if necessary.)
2. Restart the computer.
3. As soon as Windows opens and you see the Windows desktop, click Start > Run.
4. Type:

cmd

and press Enter.

5. Type:

shutdown -i

and press Enter.

6. In the Remote Shutdown Dialog that opens, change 20 seconds to:

9999

and click OK.

This gives you about three hours to get the patch installed, update the definitions, and so on.

7. Reconnect the network/Internet connection.
8. Connect to the Internet, and get the patch. Then continue with the steps described below.


When you have patched for and removed the threat, you can re-enable the 20 second default warning if you want to.


The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.

1. End the malicious process (Windows 2000/XP).
2. Disable System Restore (Windows XP).
3. Update the virus definitions.
4. Run a full system scan and delete all the files detected as W32.Sasser.E.Worm.
5. Reverse the change made to the registry.

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

To end the malicious process
On Windows 2000/XP computers, you must first end the malicious process:

1. Press Ctrl+Alt+Delete once.
2. Click Task Manager.
3. Click the Processes tab.
4. Double-click the Image Name column header to alphabetically sort the processes.
5. Scroll through the list and look for the following processes:
* lsasss.exe
* any process with a name consisting of four or five digits, followed by _upload.exe (eg 74354_upload.exe).
6. If you find any such process, click it, and then click End Process.
7. Exit the Task Manager.


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 @paff

Im abgesicherten Modus zu booten ist kein Problem. Das System läuft hier auch fehlerfrei. ich habe auf diese Art die Removal-Tools und die Patches installiert. Sobald ich jedoch wieder im Normal-Modus starte, fährt er wieder automatisch runter.
Ich werde es mit der Reparatur-Funktion von der Installations-CD versuchen, ansonsten gibt´s format c:. Ich bin sicher, dass es nichts mit sasser zu tun hat.

@steschto
Ich habe auch mit der lsass.exe rumgespielt, diese umbenannt usw. Dann bleibt das System beim Startvorgang ohne Fehlermeldung hängen (allerdings auch im abgesicherten Modus). Dann brauchst du eine Boot-CD/Disk und kannst die passende lsass.exe (auf SP achten) von einem funktionierenden System einfach in das System32-Verzeichnis im Windows-Ordner kopieren.

#8 Ich benutze Windows XP und habe seit heute auch oben beschriebenes Problem! Schon beim HOchfahren des PC's gibt es die FEhlermeldung von lsass.exe dass dazu führt das man den PC gar nicht hochfahren kann!
Bei Ok startet sich der PC wieder neu!
Gibt es eine Lösung???
Wäre dankbar um jede schnelle Antwort!
[/b]

#9 hast du denn mal versucht, im abgesicherten Modus hochzufahren??


@ rest : werd das heute mal versuchen (wenn kolleg daheim is) mit dem ersetzen der lsass.exe (die ist ja auch im sp vorhanden, ordner i386

#10 @steschto
Nein, habe ich nicht probiere ich aber mal, hast du einen Hineweis was das sein könnte das diesen fehler hervorruft?

#11 weiss noch nicht genau, da ich gestern keine zeit hatte beim kolleg zu probieren

könnt der sasser oder sober sein
jedoch wird selbst im abgesicherten modus nichts mit den fixes erreicht

vieleicht bin ich heute mittag schlauer
poste dann hier

#12 danke für deine Schnelle Antwort!
Ich warte dann mal!
Kann das jetzt sowieso noch nicht ausprobieren, da Ich nicht zu Hause bin.
Warte dann mal auf deine Message

#13 So
hab ihn nun gekillt
erstmal die lsass.exe aus´m Servicepack wieder ins System kopiert
dann alle stinger, fixsasser etc die ich finden konnte drüber gejackelt
natürlich nix gefunden

nochmal in der registrierung im autostart nachgesehen
da stand dann noch ne drvon.exe im system32 ordner

dann gleich mal gegoogled, nix über diese datei gefunden
MS Knowledgebase gab auch gar nix drüber her
also gelöscht

und siehe da, Sasser is tott

DRVON.exe
diese drecks.. (der klügere gibt nach, unn datt bin mit sicherheit net ich..!!)

ist also neu, diese Bezeichnung für den Virus
konnte auch von keinem Fix gefunden werden

mfg

#14 @steschto
Hab zwar nix verstanden, aber hört sich gut an :-)
Ich habe eine Backup datei von vor einem Jahr gefunden und das aufgespielt.
Hatte ca. 90% Datenverlust. Aber es läuft wieder.
Danke für deine Hilfe

#15 na
was ich sagen wollte
hatt den sasser
jedoch hat kein fix ihn gefunden
da er sich als drvon.exe ins system geklinkt hat

kein plan warum er net gefunden wurde (w2k ,alle sp´s , auch im abgesicherten modus net)

das war alles