erbitte weitergehende Hilfe nach Löschung von LSSAS.exe

Edd

Hallo zusammen,

ich hatte die Tage eine Infektion durch einen Wurm, keine Ahnung wie er heißt, die Datei, von der ausgehend das System sabotiert wurde (durch volle Ausnutzung des Upstreams - zum Verbreiten seinerselbst nehme ich an, sehe ich das richtig? ca. 50 MB in 15 Minuten (!) wenn ich mich recht erinner) ist LSSAS.exe, die ich hier auch bereits in ein paar Threads gefunden habe (so bin ich auch auf das Forum gestoßen - Google-Suche nach dem Dateinamen).

Die Datei, wie auch den Registry-Eintrag unter "HKLM/.../Run" (Autostart) hab ich entfernt, Prefetch gibt's bei Windows 2000 nicht. Seither läuft das System wieder wie gewohnt, aber ich habe Sorge, dass sich noch was mehr eingeschlichen haben könnte. Außerdem wüsste ich gerne, ob durch die Infektion das System kompromittiert wurde, oder ob es noch als vertrauenswürdig ansehbar ist...

Ich würde mich als Laie bezeichnen, auch wenn ich zu den oben angegebenen Schritten in der Lage war, daher würde ich gerne auf die Hilfe von euch Experten zurückgreifen, denn ein eigenständiger Versuch der weitergehenden Suche scheiterte bereits am ersten Eintrag des HijackThis Log (smss.exe läuft im Hintergrund - ist das nun was bösartiges oder die Systemdatei?). Das ich wusste, von welcher Datei der Upstream ausging, lag letztlich an einer einzigen Warnnachricht von Antivirus und Firewall, ehe der Wurm diese manipuliert hat (jedenfalls fand der Antivirus den Wurm nicht und die Firewall hinderte ihn kein Stück am nutzen des Upstream).

Achso: Ich nutze Norton Antivirus und Norton Personal Firewall - keine so geschickte Wahl wie mir beim Lesen des Boards erscheint...

Vielen Dank schonmal im vorraus!

Edd



Nach langer Rede, hier die Log-File (es ist bereits die dritte, die erste hab ich beim erstellen der zweiten unbeabsichtigt überschrieben, aber das war ohnhin alles nachdem ich LSSAS.exe + Registry-Eintrag gelöscht hatte) (kein Programm nach Systemstart von mir gestartet, außer natürlich HijackThis):

Logfile of HijackThis v1.99.1
Scan saved at 18:39:13, on 27.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\Programme\Norton Personal Firewall\ISSVC.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\Norton AntiVirus\SAVScan.exe
D:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
D:\WINNT\system32\internat.exe
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] #"D:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] D:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] #"D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\RunServices: [DJSNetCN] D:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .EXE: D:\Programme\Opera7\PLUGINS\NPGetRt1.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Das war's. Wie gesagt: Vielen Dank schonmal für eure Hilfe!