|
Plagegeister aller Art und deren Bekämpfung: Neustart durch Lsass.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.05.2004, 17:08 | #1 |
| Neustart durch Lsass.exe Hallo, habe WinXP und alle paar Minuten hatte ich nen Neustart durch Lsass.exe. Habe meinen Rechner mit mehreren Virenscannern durchsuchen lassen und nix wurde gefunden. Den ständigen Neustart habe ich vorerst mit shutdown -a stoppen können. Ich poste hier mal mein Logfile mit hijack: Logfile of HijackThis v1.97.7 Scan saved at 17:57:32, on 01.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Mixer.exe E:\Programme\ip@ctive\ip@ctive Client.exe E:\Programme\Common Framework\UpdaterUI.exe C:\WINDOWS\avserve2.exe E:\Programme\Sophos SWEEP for NT\ICMON.EXE E:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe E:\Programme\Common Framework\FrameworkService.exe C:\WINDOWS\System32\SOSsrv.exe e:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE e:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS E:\Programme\PFTPPRO\PFTPPRO.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\Steganos Online Shield\sos.exe E:\Programme\emule\emule.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe C:\WINDOWS\avserve2.exe C:\WINDOWS\avserve2.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe O4 - HKLM\..\Run: [DU Meter] F:\Programme\Trafficmesser\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [DUControl] f:\PROGRA~1\dyndns\DUControl.exe O4 - HKLM\..\Run: [KFWebServer] F:\Programme\dyndns\bin\kfwsmon.exe O4 - HKLM\..\Run: [ip@ctive] E:\Programme\ip@ctive\ip@ctive Client.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [McAfeeUpdaterUI] "E:\Programme\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe O4 - HKCU\..\Run: [SOS] F:\Programme\Steganos Online Shield\sos.exe /s O4 - HKCU\..\Run: [flat2serve Server] F:\Programme\flat2serv 2 Mein Server\F2SHSERV.EXE O4 - Global Startup: InterCheck Monitor.LNK = E:\Programme\Sophos SWEEP for NT\ICMON.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7...ll/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AF8444DD-787D-480A-9F8C-F59B03E32087}: NameServer = 194.97.173.125 194.97.3.83 |
01.05.2004, 17:12 | #2 |
| Neustart durch Lsass.exe C:\WINDOWS\avserve2.exe
__________________C:\WINDOWS\avserve2.exe Schau mal hier : http://www.trojaner-board.de/forum/u...c;f=6;t=005287 Domino
__________________ |
01.05.2004, 17:47 | #3 |
| Neustart durch Lsass.exe Thx für die schnelle Hilfe.
__________________Hoffe ich schaffe das Ding zu vernichten! |
01.05.2004, 17:50 | #4 |
| Neustart durch Lsass.exe Klar, das schaffst du ! patchen nicht vergessen, sonst hast du ihn gleich wieder. Domino
__________________ Keep the spirit alive... |
01.05.2004, 19:28 | #5 |
| Neustart durch Lsass.exe Ich soll hier jemandem vom Board die Lsass.exe und avserve2.exe schicken. Hab ihm mal gefragt was er damit will, bevor ich mich auf sowas einlasse. |
01.05.2004, 20:19 | #6 |
Gast | Neustart durch Lsass.exe |
01.05.2004, 20:21 | #7 |
| Neustart durch Lsass.exe Sorry wegen mein Misstrauen. Aber bevor ich an eine gefakte Adress was schicke und ich Ärger bekomme frag ich lieber mal Kann man anhand des neuen Logfiles sagen ob ich das Ding los habe? Logfile of HijackThis v1.97.7 Scan saved at 21:14:16, on 01.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe E:\Programme\ip@ctive\ip@ctive Client.exe E:\Programme\Common Framework\UpdaterUI.exe C:\WINDOWS\avserve2.exe E:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe E:\Programme\Common Framework\FrameworkService.exe C:\WINDOWS\System32\SOSsrv.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\Steganos Online Shield\sos.exe E:\Programme\emule\emule.exe C:\PROGRA~1\McAfee.com\Agent\mcagent.exe c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\PROGRA~1\McAfee.com\Agent\McDash.exe c:\programme\mcafee.com\shared\mghtml.exe c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe O4 - HKLM\..\Run: [DU Meter] F:\Programme\Trafficmesser\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [DUControl] f:\PROGRA~1\dyndns\DUControl.exe O4 - HKLM\..\Run: [KFWebServer] F:\Programme\dyndns\bin\kfwsmon.exe O4 - HKLM\..\Run: [ip@ctive] E:\Programme\ip@ctive\ip@ctive Client.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [McAfeeUpdaterUI] "E:\Programme\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe O4 - HKLM\..\Run: [McRegWiz] c:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup O4 - HKCU\..\Run: [SOS] F:\Programme\Steganos Online Shield\sos.exe /s O4 - HKCU\..\Run: [flat2serve Server] F:\Programme\flat2serv 2 Mein Server\F2SHSERV.EXE O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\delus.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7...ll/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...108.4415046296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AF8444DD-787D-480A-9F8C-F59B03E32087}: NameServer = 194.97.173.125 194.97.3.83 |
01.05.2004, 20:24 | #8 |
Gast | Neustart durch Lsass.exe Sieht so aus, als bist du Sasser los. Hast du schon www.windowsupdate.com besucht? |
01.05.2004, 20:35 | #9 |
| Neustart durch Lsass.exe Danke, hab über microsoft.de ein Windowsupdate (ca. 15 mb) gemacht! mfg |
01.05.2004, 21:01 | #10 |
Neustart durch Lsass.exe Moin, </font><blockquote>Zitat:</font><hr />Original erstellt von cyberman: Ich soll hier jemandem vom Board die Lsass.exe und avserve2.exe schicken. Hab ihm mal gefragt was er damit will, bevor ich mich auf sowas einlasse. </font>[/QUOTE] </font><blockquote>Zitat:</font><hr />Original erstellt von *Christian*: Sperrt mich ein. </font>[/QUOTE]aufgrund der Posts vermute ich mal, dass Christian via PM um Übersendung der Dateien gebeten hat!?! @Christian, warum machst Du das via PM und nicht offen im Thread? Ich denke, dass wäre sowohl Deiner Vertrauenswürdigkeit, als letztendlich auch der des Boards, nicht abträglich (vorsichtig formuliert)... Gruß, Lutz
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
02.05.2004, 13:21 | #11 |
Gast | Neustart durch Lsass.exe Lutz, man kennt mich hier doch schon lange. Ich möchte nicht, dass mein Postfach voller Spam überquillt, darum schreibe ich meine Mail-Addy nicht in jedes Post. |
02.05.2004, 13:32 | #12 |
| Neustart durch Lsass.exe </font><blockquote>Zitat:</font><hr />C:\WINDOWS\avserve2.exe O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe</font>[/QUOTE]Öhm.... also so wirklich los ist er den nicht.... |
02.05.2004, 13:40 | #13 |
| </font><blockquote>Zitat:</font><hr />Original erstellt von [Raven]: </font><blockquote>Zitat:</font><hr />C:\WINDOWS\avserve2.exe O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe</font>[/QUOTE]Öhm.... also so wirklich los ist er den nicht.... </font>[/QUOTE]*schadenfreudemodus an* [img]graemlins/teufel3.gif[/img] *schadenfreudemodus aus* Sorry, konnt' ich mir nicht verkneifen. Hier gibt's ne Anleitung zum Sasser-Problem: http://sasser.klaffke.de/ Gruß! MyThinkTank
__________________ MTT says: "Privacy is a human right!" SAVE Privacy (PDF, 550 KB) |
02.05.2004, 13:41 | #14 |
Gast | Neustart durch Lsass.exe Ich seh nirgends eine ...._up.exe-Datei |
02.05.2004, 13:46 | #15 |
Gast | Neustart durch Lsass.exe hi *christian*, die siehst du auch nicht, weil diese nicht mitgestartet wird. sie sind nur die leibwächter des "sasser.a" und "sasser.b". |
Themen zu Neustart durch Lsass.exe |
administrator, adobe, askbar, bho, dateien, desktop, down, drivers, einstellungen, excel, explorer, hijack, hijackthis, internet, internet explorer, logfile, mehrere, microsoft, neustart, object, programme, scan, shockwave, shutdown, sophos, symantec, system, tcpip, windows, windows xp |