[HaBo]

agnomic · 30.07.06, 21:25

Puuuhh...sympathische Registrierungsprozedur. Das mit dem Süßwasseranteil mußte ich tatsächlich nachsehen. Klasse gemacht :-)

So, nun zu meiner Frage, wobei ich mir nicht sicher bin, ob ich hier in der richtigen Ecke bin.

Ich habe hier in der Anleitung den Link zu
http://www.liutilities.com/products/...ibrary/system/

gefunden und dort versucht den Prozess herauszufinden, der dafür verantwortlich ist,
dass beim Versuch den Temp-Ordner, wo sich vermutlich die Spyware-Datei befindet,
der Explorer geschlossen wird, zu finden.

Dort bin ich nun auf folgenden Satz gestoßen:
"lsass.exe could also be a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. It could also be a registered security risk and should be removed immediately."

und:

"lsass.exe is registered as a downloader. This process usually comes bundled with a virus or spyware and it?s main role is to do nothing other than download other viruses/spyware to your computer. It could also be a registered security risk and should be removed immediately."

Nun habe ich jeweils eine Datei namens lsass.exe in C:\WINDOWS\system32 und
C:\WINDOWS\ServicePackFiles\i386 und ein nams LSASS.EXE-20DB6D1B.pf gefunden.

Kann ich letztere einfach so löschen?

Die Anleitung, die es bereits gibt habe ich soweit befolgt.
Leider scheint der spyware Prozess auch im abgesicherten Modus zu laufen.

31.07.06, 08:43

Ich habe mir das selbe auch schonmal gedacht.
Eben das mit dem Trojaner, bin aber zu dem Schluss gekommen das entweder der Virenscanner oder die Firewall es dem Trojaner schwer machen dürften.

Eben letztere Datei ist normalerweise eine Sicherungsdatei die beim einspielen des Servicepacks übrig bleibt.
Ob du die nun löscht oder nicht solltest du 1. nochmals bei M$ nachlesen und 2. nochmals überdenken.
Denn wie gesagt es sind Sicherungsdateien und wenn du nicht gerade Platzmangel hast würde ich die dort liegen lassen.
Ein ständig aktueller Virenscanner ist auch nicht verkehrt, frage aber bitte nicht nach welchem....
Zitat - Nutze die Boardsuchfunktion, Luke. ^^
Um einen Befall jeglicher Art auszuschließen würde ich die Datei mit einer Datei eines anderen Rechners vergleichen und im Inet nach Viren und Trojanern suchen die diese Datei verändern.
Danach kann man dann schauen ob diese vom eigenen Virenscanner erkannt werden.

Anzeige

- Anzeige -

SUID:root · 31.07.06, 11:23

Hallo agnomic, willkommen im HaBo.

Folgende Erklärungen:
lsass.exe ist normalerweise ein Systemprozess, also harmlos. Das File befindet sich im system32-Verzeichnis. Die anderen von dir genannten Pfade sind ebenfalls ok. lsass.exe läuft im Normalfall immer, d.h. die Datei kann nicht so einfach infiziert werden. Aber selbst wenn das ginge, wäre es unüblich. Ein VIrus täte dies im Gegensatz zu einem Tronjaner schon eher.
Ein trojanisches Pferd ist in der Regel (genau wie ein Downloader oder ähnliche Malware) ein eigenständiges Programm, das sich bestenfalls den Namen einer Anwendung "ausleiht" um das Mißtrauen klein zu halten oder eine Anwendung mit Zugriff auf das Web (i.d.R. Webbrowser) hijackt um "Firewalls" zu überlisten. Oftmals wird der Name der Anwendung vom "Täter" selbst festgelgt. Sofern sich die lsass.exe im System32 befindet und es auch wirklich nur diese gibt, sollte sie clean sein. Ich tippe auf eine andere App.

Hol dir doch mal bitte einen anderen Taskmanager und wirf nochmal einen Blick auf die laufenden Prozesse, denn der Win-eigene ist nicht aussagekräfitg.
Einfach zu bedienen und ausreichend ist Prozess-Radar von www.delphi-soft.de oder wenn mans "härter" mag auch der Process-Explorer von www.sysinternals.com
Vermutlich hast du das aber schon gezogen, wenn du das Tut gelesen hast. (nehme jetzt mal an, du meintest diese Anleitung)

Ganz einfach machst du es uns, wenn du dir mal HiJack-This besorgst, scannst und das Log hier postest. Dann sehen wir sicher bald, was so böse ist und können gemeinsam eine Lösung finden.

*Thread verschoben*

Gruss

root

agnomic · 02.08.06, 20:12

Ah, ok.
lsass.exe ist mir nur aufgefallen, weil die Datierung von LSASS.EXE-20DB6D1B.pf vom 30.07.06 stammt.
Zumal es auch in Großbuchstaben geschrieben ist und ich das Dateiformat pf seltsam finde.
Im Taskmanager erscheint die Datei mit Großschreibung. Im abgesicherten Modus erscheint
sie im Taskmanager in Kleinschreibversion.

Nun gut, hilft uns erstmal auch nicht weiter.
Ich laß erstmal HiJack-This drüberlaufen und poste dann hier das Log.

Kann aber noch ein bißchen dauern.

Vielen Dank erstmal für die Antworten :-)

Anzeige

- Anzeige -

30.07.06, 21:25	#1 (permalink)
agnomic Registriert seit: 30.07.06 Likes: 0	Spyware Anzeige Puuuhh...sympathische Registrierungsprozedur. Das mit dem Süßwasseranteil mußte ich tatsächlich nachsehen. Klasse gemacht :-) So, nun zu meiner Frage, wobei ich mir nicht sicher bin, ob ich hier in der richtigen Ecke bin. Ich habe hier in der Anleitung den Link zu http://www.liutilities.com/products/...ibrary/system/ gefunden und dort versucht den Prozess herauszufinden, der dafür verantwortlich ist, dass beim Versuch den Temp-Ordner, wo sich vermutlich die Spyware-Datei befindet, der Explorer geschlossen wird, zu finden. Dort bin ich nun auf folgenden Satz gestoßen: "lsass.exe could also be a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. It could also be a registered security risk and should be removed immediately." und: "lsass.exe is registered as a downloader. This process usually comes bundled with a virus or spyware and it?s main role is to do nothing other than download other viruses/spyware to your computer. It could also be a registered security risk and should be removed immediately." Nun habe ich jeweils eine Datei namens lsass.exe in C:\WINDOWS\system32 und C:\WINDOWS\ServicePackFiles\i386 und ein nams LSASS.EXE-20DB6D1B.pf gefunden. Kann ich letztere einfach so löschen? Die Anleitung, die es bereits gibt habe ich soweit befolgt. Leider scheint der spyware Prozess auch im abgesicherten Modus zu laufen.

31.07.06, 08:43	#2 (permalink)
Easyrider Guest Likes:	Gute Frage... Ich habe mir das selbe auch schonmal gedacht. Eben das mit dem Trojaner, bin aber zu dem Schluss gekommen das entweder der Virenscanner oder die Firewall es dem Trojaner schwer machen dürften. Eben letztere Datei ist normalerweise eine Sicherungsdatei die beim einspielen des Servicepacks übrig bleibt. Ob du die nun löscht oder nicht solltest du 1. nochmals bei M$ nachlesen und 2. nochmals überdenken. Denn wie gesagt es sind Sicherungsdateien und wenn du nicht gerade Platzmangel hast würde ich die dort liegen lassen. Ein ständig aktueller Virenscanner ist auch nicht verkehrt, frage aber bitte nicht nach welchem.... Zitat - Nutze die Boardsuchfunktion, Luke. ^^ Um einen Befall jeglicher Art auszuschließen würde ich die Datei mit einer Datei eines anderen Rechners vergleichen und im Inet nach Viren und Trojanern suchen die diese Datei verändern. Danach kann man dann schauen ob diese vom eigenen Virenscanner erkannt werden.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Spyware	agnomic	Windows	2	31.07.06 11:23
Spyware: Popups	$oul	Die Problemzone	5	11.04.06 20:10
spyware auf rechner	drahnoel	Virenschutz · Tools & Aggressive Software	28	10.03.06 19:50
Spyware Liste	Flou	(In)security allgemein	3	22.08.02 09:38

31.07.06, 11:23	#3 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Hallo agnomic, willkommen im HaBo. Folgende Erklärungen: lsass.exe ist normalerweise ein Systemprozess, also harmlos. Das File befindet sich im system32-Verzeichnis. Die anderen von dir genannten Pfade sind ebenfalls ok. lsass.exe läuft im Normalfall immer, d.h. die Datei kann nicht so einfach infiziert werden. Aber selbst wenn das ginge, wäre es unüblich. Ein VIrus täte dies im Gegensatz zu einem Tronjaner schon eher. Ein trojanisches Pferd ist in der Regel (genau wie ein Downloader oder ähnliche Malware) ein eigenständiges Programm, das sich bestenfalls den Namen einer Anwendung "ausleiht" um das Mißtrauen klein zu halten oder eine Anwendung mit Zugriff auf das Web (i.d.R. Webbrowser) hijackt um "Firewalls" zu überlisten. Oftmals wird der Name der Anwendung vom "Täter" selbst festgelgt. Sofern sich die lsass.exe im System32 befindet und es auch wirklich nur diese gibt, sollte sie clean sein. Ich tippe auf eine andere App. Hol dir doch mal bitte einen anderen Taskmanager und wirf nochmal einen Blick auf die laufenden Prozesse, denn der Win-eigene ist nicht aussagekräfitg. Einfach zu bedienen und ausreichend ist Prozess-Radar von www.delphi-soft.de oder wenn mans "härter" mag auch der Process-Explorer von www.sysinternals.com Vermutlich hast du das aber schon gezogen, wenn du das Tut gelesen hast. (nehme jetzt mal an, du meintest diese Anleitung) Ganz einfach machst du es uns, wenn du dir mal HiJack-This besorgst, scannst und das Log hier postest. Dann sehen wir sicher bald, was so böse ist und können gemeinsam eine Lösung finden. Thread verschoben Gruss root

02.08.06, 20:12	#4 (permalink)
agnomic Themenstarter Registriert seit: 30.07.06 Likes: 0	Ah, ok. lsass.exe ist mir nur aufgefallen, weil die Datierung von LSASS.EXE-20DB6D1B.pf vom 30.07.06 stammt. Zumal es auch in Großbuchstaben geschrieben ist und ich das Dateiformat pf seltsam finde. Im Taskmanager erscheint die Datei mit Großschreibung. Im abgesicherten Modus erscheint sie im Taskmanager in Kleinschreibversion. Nun gut, hilft uns erstmal auch nicht weiter. Ich laß erstmal HiJack-This drüberlaufen und poste dann hier das Log. Kann aber noch ein bißchen dauern. Vielen Dank erstmal für die Antworten :-)

[HaBo]

Spyware