| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: LSA-Shell (Export Version)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.10.2005, 18:10
| #1 |
 |  LSA-Shell (Export Version) Hallo zusammen, vielleicht habe ich ein Problem - vielleicht aber auch nicht: Habe gerade bei meiner Kerio PF4 geguckt, welche Prozesse aufs I-Net zugreifen dürfen und welche nicht. Dabei habe ich eine Anwendung gefunden, die ich vorheer noch nie gesehn habe. Sie nennt sich "LSA Shell (Export Version)"; die eigentliche Datei die sich dahinter verbirgt ist die lsass.exe. Die ja eigentlich gut ist, glaub ich zumindest. Google gab mir zum Thema ganz viele Antworten mit Sasser etc. Dort ward lsaass.exe allerdings immer mit 3 "s" - also lsasss.exe" beschrieben. Die Datei sollte ja eigentlich suaber sein. Ich bin nur deswegen etwas verunsichert, weil ich eben Spybot aufgerufen habe und Spybot plötzlich auf Englisch eingestellt war und eine Kategorie im Expertenmodus aufgerufen war, die ich definitiv NICHT aufgerufen habe! Diese beiden Sachen zusammen beunruhigen mich etwas. Laut automatischer HijackThis Log-Auswertung gibt es keine bösen Prozesse und AdAware und Spybot sowie AVG finden auch nix... Gibt's dennoch Grund zur Sorge? Ich poste euch hier mal das HT-Log... Logfile of HijackThis v1.99.1 Scan saved at 18:43:41, on 18.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\AVGFRE~1\avgamsvr.exe C:\WINDOWS\Explorer.EXE C:\AVGFRE~1\avgupsvc.exe C:\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System32\hkcmd.exe C:\AVGFRE~1\avgcc.exe C:\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Kerio\Personal Firewall 4\kpf4gui.exe C:\Kerio\Personal Firewall 4\kpf4gui.exe C:\Trillian\trillian.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AVG7_CC] C:\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128023730468 O17 - HKLM\System\CCS\Services\Tcpip\..\{6B91D45F-8549-4971-AEC7-A9CE5044469D}: NameServer = 217.237.150.33 217.237.151.161 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgupsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Also ich als Nicht-Experte kann auf Anhieb auch nix verdächtiges finde... Vielleicht weiß einer von euch mehr... Außer diesem einen fett markierten Eintrag, aber auch der wurde bei der Auto-Auswertung als gut erkannt... Danke und Gruß, Hanni E D I T: Ach da fällt mir doch noch was auf:Beim Scannen mit AVG free wird beim Prozess "shell32.dll" bei Status "Change" angezeigt, bei allen anderen "ok"... Geändert von Hannibal125 (18.10.2005 um 18:16 Uhr) |
| Themen zu LSA-Shell (Export Version) |
| adobe, adobe reader, alert, avg, avg free, bho, danke, dateien, excel, explorer, firewall, google, hijack, hijackthis, internet, internet explorer, logfile, lsa shell, microsoft, problem, programme, prozesse, scan, shell32.dll, software, system, system32, windows, windows xp |
Baum-Darstellung