Dreckskiste!

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Dreckskiste!

    Hail to me,

    Ich wollte mal fragen, ob jemand mir helfen kann:
    wenn ich mein rechner boote, hab ich immer im hintergrund die lsass.exe geladen. ich schätze mal, das wird was mit sasser zu tun hamm.
    Das problem besteht aber nicht darin, dass das ding ständig meine nucklpinne runterfährt, sondern er alle systemfenster (setups jeglicher art, Taskmanager) einfach killed. und wenn ich im taskmanager gaaanz schnell die lsass.exe ausknipsen will, bringt er, dass er diesen kritischen (system?-)prozess nicht beenden kann.
    Jetz die frage(n):
    1. wie krieg ich mein rechner hochgefahren, ohne dass sich die lsass.exe öffnet?
    2. es gab doch im booten die möglichkeit, irgendwelche tasten zu drücken, sodass man dann durch den rechner surfen, und dann auch dateien löschen kann. wie ging das?
    3. was musste ich nomma drücken, wenn ich meine mühle im abgesicherten modus hochfahren will?

    Danke für Hilfe,

    Hail to Vikernes,
    Count Grishnak
  • Zu lsass.exe:

    Wahrscheinlich Sasser-Virus, zur Info:
    W32/Sasser-A worm is a self-executing network worm, which travels from infected machines via the internet, exploiting a Microsoft Windows vulnerability MS04-011, and instructs vulnerable systems to download and execute the viral code.
    It does not spread via email.

    Infected computers may run more slowly than normal and shut down intermittently.

    W32/Sasser-A attempts to connect to computers through ports TCP/9996 and TCP/445. If the Windows computers are not patched against the LSASS vulnerability, an FTP script is downloaded and executed, which connects to port 5554 and downloads a copy of the worm via FTP (File Transfer Protocol).

    The worm copies itself to the Windows folder with the filename avserve.exe and sets the following registry key to auto-start on user logon:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    \avserve = avserve.exe

    The Microsoft vulnerability was first reported on 13 April, and Microsoft have issued protection, which can be downloaded from Microsoft Security Bulletin MS04-011.

    Da dein Rechner aber ein anderes Verhalten zeigt, wird es in diesem Fall einen anderen Schuldigen geben. Aber zur Sicherheit schau mal, ob die obigen Datein auf deinem Rechner zu finden sind bzw. die Keys in der registry.

    Zudem schreib doch erst mal, welches Betriebssystem du hast, welche Version, welche SP, welche Patches, Hotfixes installiert sind usw.

    Zudem würde ich dir sowieso dringend empfehlen, alle Patches, die MS für dein Windows anbietet zu installieren und deinen Rechner mit einem aktuellen Virenscanner zu scannen.
  • oh...äh...ich schäme mich:

    ich hab XP professionel, aber nix an patches installiert^^ da ich erst vor 2 wochen ungefähr meine festplatte formatiert hatte und überhaupt nix an sicherheit draufgehauen hab...

    ich hau jetz ersma norton 2004 und son bissn knadderadatsch drauf....

    ich guck mal wegen die dateien.
  • hi,

    die lsass.exe hat nicht zwangsläufig was mit dem Wurm Sober C / Sasser zu tun. Dies ist normalerweise der lokale Sicherheitsdienst lsass.exe (Local Security Authority Subsystem)
    Jedoch gibt es Viren die diese .exe nutzen um sich Zugriff auf den Rechner zu verschaffen. D.h. solltest du die Datei nicht manuell beenden können etc, hat sich wahrscheinlich ein Virus daran zu schaffen gemacht.

    Entferntools gibt es beispielsweise auf der HP von symantec.
  • @MisterT:

    Schon klar, dass lsass.exe ein Systemdienst ist, ich hab ihm nur die Infos gepostet, damit er Bescheid weiss. Und wenn du meinen Post genau gelesen hättest, hättest du gewusst, dass ich geschrieben habe, es gäbe einen anderen Schuldigen für das Verhalten. Und den Dienst kann man prinzipiell nicht beenden, das hat dann nichts damit zu tun, dass er korrumpiert wäre. Und bevor er ein Entfernungstool sich herunterlädt, sollte er schon vorher wissen, für WELCHEN Virus, sofern es denn einer ist, er ein Removal Tool braucht.
  • lsass.exe ist definitiv ein Systemdienst. lade dir am besten mal antivir herunter h**p://www.free-av.de/ , mache die Onlineupdates und scanne mal deinen Pc durch. anschließend am besten noch mal mit adaware oder search&destroy scannen.
  • hydrou, wie ich oben geschrieben hab, sober c oder sasser, aber auch lovegate geht auf die lsass.exe um die bekanntesten genannt zu haben.

    und beenden kann man diesen dienst schon, einfach die lsass.exe löschen, einziges problem, du würdest dann einen black-screen mit maus drauf erhalten,d.h. könntest dich net auf deinem Rechner anmelden, da die exe halt für die benutzerauthorisierung etc im anmeldescreen und das genze zeugs verantwortlich ist, also lieber nicht testen :)
  • 1. Abgesicherter Modus
    2. Lass mal den neusten stinger drüber laufen (bekommst du überall im net)
    3. Falls der rechner runterfahren will:
    Start->Ausführen->"shutdown -a" eingeben und der echner bleibt an!