[HaBo]

hurti · 23.07.04, 17:36

ein nachzügler sasser-wurm problem:

ich hatte den w32-sasser-e wurm auf dem xp-rechner, mit virenscanner angeblich entfernt und die sicherheitslücke geschlossen.
jetzt sehe ich aber, dass die datei lsass.exe immernoch im verzeichnis c:/windows/system32 ist und auch als systemprozess nach dem starten im hintergrund läuft.
also, nochmal alle mögl. removal-tools ausgefürht, nichts gefunden. sophos antivirus findet auch nix. runterfahren tut der rechner auch nicht mehr von allein durch den wurm aber wenn ich mich pskill den prozess lsass.exe beende, fährt er nach 60 sec. runter. außerdem befinden sich noch ziemlich viele misteriöse einträge auf die datei lsass.exe in der registry, ich glaube bei den einz. xp-diensten.

hat jemand eine erklärung bzw. eine lösung, wie der scheiß wurm vollständig mein system verlässt???
ich frage mich, wie die datei überhaupt noch geladen werden kann. in der registry bei ...RUN steht jedenfalls nichts merh.

VAL1UMII · 23.07.04, 18:07

lsass.exe habe ich auch im Hintergrund laufen. Aber das ist OK. Schau mal hier rein:

http://www.neuber.com/taskmanager/de...lsass.exe.html

HaBo Ads

chrisi · 23.07.04, 21:15

lsass.exe ist ein Systemprozess, kein Virus oder Wurm.
jaja die Sorgen mit den ganzen obskuren Hintergrundprozessen kenn ich. Aber wenn es echt Systemprozesse sind, findest du in Google meist mit ****.exe ne Beschreibung davon

http://www.liutilities.com/products/...library/lsass/

LG ~chrisi~

hurti · 24.07.04, 13:12

danke, jetzt kann ich wieder beruhigt schlafen.
man macht sich ja echt verrückt mit den ganzen würmchen und spyware-zeugs.

4future · 24.07.04, 15:31

Achtung !!! LSASS.exe ist ein systemprozess. das ist richtig, aber a, weißt du von wo die datei aufgerufen wird, (kann ja auch C:\WINNT\VIRUS\lsass.exe sein.), oder ob die datei selbst infiziert ist.

Wahrscheinlich hast du ihn bereits entfernt, ich würde aber zur sicherheit noch einmal den stinger von mcafee drüberlaufen lassen, kann mal mitlerweile so ziemlich überall runterladen, --> googlen...

gruß chris

neji · 24.07.04, 16:32

wenn das nicht die original lsass.exe von Windows wäre, dann würde der Prozess 2 mal im Taskmanager stehen, denn die richtige lsass.exe muss auf jeden Fall laufen, sonst könnte man sich nichtmal anmelden, denn dafür ist sie ja da.
Es kann sich meiner Meinung nach auch kein Virus an diese "gehängt" haben, da ein Virus zu keiner Zeit Schreibzugriff auf die Datei hat (da sie ja ständig geöffnet ist) .

4future · 25.07.04, 13:07

Teilweise muss ich dir rechtgeben. zum ersten Punkt: es ist möglich Prozesse vorm Taskmanager von Windows zu verstecken.

zum zweiten: du persönlich kannst den prozess nicht beenden weil der Prozess vom SYSTEM gestartet wurde, und du keine rechte auf diesen prozess hast. wenn der wurm allerdings unter SYSTEM startet, kann er den prozess kurz beenden, die datei verändern, und wieder starten. es gibt da auch noch eine weitere möglichleit, die in einigen würmern verwendet wird, die datei wird einfach kopiert und in der kopie der wurm code hinzugefügt, dann wird in der dateisystemtabelle einfach die position der datei umgetragen, und beim nächsten laden der datei wird der wurmcode mitgeladen.

gruß chris

Empfehlung

23.07.04, 17:36	#1 (permalink)
hurti Registriert seit: 01.12.03 Likes: 0	sasser-wurm nicht ganz entfernt ein nachzügler sasser-wurm problem: ich hatte den w32-sasser-e wurm auf dem xp-rechner, mit virenscanner angeblich entfernt und die sicherheitslücke geschlossen. jetzt sehe ich aber, dass die datei lsass.exe immernoch im verzeichnis c:/windows/system32 ist und auch als systemprozess nach dem starten im hintergrund läuft. also, nochmal alle mögl. removal-tools ausgefürht, nichts gefunden. sophos antivirus findet auch nix. runterfahren tut der rechner auch nicht mehr von allein durch den wurm aber wenn ich mich pskill den prozess lsass.exe beende, fährt er nach 60 sec. runter. außerdem befinden sich noch ziemlich viele misteriöse einträge auf die datei lsass.exe in der registry, ich glaube bei den einz. xp-diensten. hat jemand eine erklärung bzw. eine lösung, wie der scheiß wurm vollständig mein system verlässt??? ich frage mich, wie die datei überhaupt noch geladen werden kann. in der registry bei ...RUN steht jedenfalls nichts merh.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Komme nicht in windows wegen "lsass.exe", Sasser?	Andi_93	Windows	8	17.03.09 12:32
srand(); funktioniert nicht ganz	bad_alloc	Code Kitchen	7	10.03.08 15:28
Sicherheit, ganz oder gar nicht?	freak4fun	Cryptography & Encryption	11	05.02.05 22:13
!SOS! PC fährt nach Booten sofort runter , Sasser nicht gefunden..	laribelle	Windows	13	06.12.04 21:42
RAM nicht ganz erkannt	Chris	Die Problemzone	10	16.05.03 23:39

23.07.04, 18:07	#2 (permalink)
VAL1UMII Registriert seit: 07.03.04 Likes: 0	lsass.exe habe ich auch im Hintergrund laufen. Aber das ist OK. Schau mal hier rein: http://www.neuber.com/taskmanager/de...lsass.exe.html

23.07.04, 21:15	#3 (permalink)
chrisi Registriert seit: 28.05.04 Likes: 0	lsass.exe ist ein Systemprozess, kein Virus oder Wurm. jaja die Sorgen mit den ganzen obskuren Hintergrundprozessen kenn ich. Aber wenn es echt Systemprozesse sind, findest du in Google meist mit ****.exe ne Beschreibung davon http://www.liutilities.com/products/...library/lsass/ LG ~chrisi~

24.07.04, 13:12	#4 (permalink)
hurti Themenstarter Registriert seit: 01.12.03 Likes: 0	danke, jetzt kann ich wieder beruhigt schlafen. man macht sich ja echt verrückt mit den ganzen würmchen und spyware-zeugs.

24.07.04, 15:31	#5 (permalink)
4future Registriert seit: 07.05.03 Likes: 0	Achtung !!! LSASS.exe ist ein systemprozess. das ist richtig, aber a, weißt du von wo die datei aufgerufen wird, (kann ja auch C:\WINNT\VIRUS\lsass.exe sein.), oder ob die datei selbst infiziert ist. Wahrscheinlich hast du ihn bereits entfernt, ich würde aber zur sicherheit noch einmal den stinger von mcafee drüberlaufen lassen, kann mal mitlerweile so ziemlich überall runterladen, --> googlen... gruß chris

24.07.04, 16:32	#6 (permalink)
neji Registriert seit: 22.07.04 Likes: 0	wenn das nicht die original lsass.exe von Windows wäre, dann würde der Prozess 2 mal im Taskmanager stehen, denn die richtige lsass.exe muss auf jeden Fall laufen, sonst könnte man sich nichtmal anmelden, denn dafür ist sie ja da. Es kann sich meiner Meinung nach auch kein Virus an diese "gehängt" haben, da ein Virus zu keiner Zeit Schreibzugriff auf die Datei hat (da sie ja ständig geöffnet ist) .

25.07.04, 13:07	#7 (permalink)
4future Registriert seit: 07.05.03 Likes: 0	Teilweise muss ich dir rechtgeben. zum ersten Punkt: es ist möglich Prozesse vorm Taskmanager von Windows zu verstecken. zum zweiten: du persönlich kannst den prozess nicht beenden weil der Prozess vom SYSTEM gestartet wurde, und du keine rechte auf diesen prozess hast. wenn der wurm allerdings unter SYSTEM startet, kann er den prozess kurz beenden, die datei verändern, und wieder starten. es gibt da auch noch eine weitere möglichleit, die in einigen würmern verwendet wird, die datei wird einfach kopiert und in der kopie der wurm code hinzugefügt, dann wird in der dateisystemtabelle einfach die position der datei umgetragen, und beim nächsten laden der datei wird der wurmcode mitgeladen. gruß chris


HaBo Ads HaBOT

[HaBo]

sasser-wurm nicht ganz entfernt