Hallo, ich habe beim letzten Onlinevirenscan festgestellt, dass davon eines ein Virus ist, aber jetzt bekomme ich den lsass.exe nicht mehr weg, weil dass ein systemkritischer prozess ist.
Was kann ich tun ?
Danke für eure Hilfe.

Zitat:

Was kann ich tun ?

Erstmal ein HJT-Log posten (siehe Signatur).

Hallo!

Zitat:

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

Quelle: Nutzungsbedingungen

=> Schildere den Sachverhalt nochmals genau (welcher Onlinescan hat wann was wo gefunden?)!

Mein Hijack THis log:
Logfile of HijackThis v1.97.7
Scan saved at 16:33:18, on 29.04.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system\lsass.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\DC++\DCPlusPlus.exe
D:\apps und updates\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Network Security Service] C:\WINDOWS\system\lsass.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{77F996E3-D258-417D-AF7C-763430908E43}: NameServer = 217.237.149.225 217.237.150.188

Ich hatte den Onlinescan von bitdefender.de genutzt und er hatte die lsass.exe als Virus erkannt, der nicht gelöscht werden konnte.
Zwischenfrage: Ich habe alles angeklickt bei HijackThis und nun fehlen mir die autostarts zB von meiner Maus. Wie kann ich das rückgängig machen?

Zitat:

Logfile of HijackThis v1.97.7

Aktuell ist v1.99.1. Also nochmal das ganze.

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Während dessen kannst Du Dir schon mal ne plausible Erklärung für Dein völlig ungepatchtes System überlegen.

Und vielleicht kannst Du uns dann auch mitteilen um welchen Virus es sich handelt.

Logfile of HijackThis v1.99.1
Scan saved at 19:22:42, on 29.04.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system\lsass.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\Programme\DC++\DCPlusPlus.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Warcraft III\replay\waaagh tv\wtvClient.exe
D:\apps und updates\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Network Security Service] C:\WINDOWS\system\lsass.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O17 - HKLM\System\CCS\Services\Tcpip\..\{77F996E3-D258-417D-AF7C-763430908E43}: NameServer = 217.237.149.225 217.237.150.188
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\rBschap.dll (file missing)
O20 - Winlogon Notify: xcdmfree - C:\WINDOWS\SYSTEM32\xcdmfree.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Windows Network Security Service (lsass) - Unknown owner - C:\WINDOWS\system\lsass.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Was es für ein Virus ist, weiß ich nicht. Ich lass den scanner nochmal durchlaufen, kann aber ne weile dauern.
Zu deiner Patchfrage: den IE benutz ich nich und die windows updates machen irgendwie Probleme.

Zitat:

Zitat von unreal258

und die windows updates machen irgendwie Probleme.

Was für Probleme? Du verwendest schon eine Originalversion von XP, oder?

HijackThis starten-> In der "misc tools section" den Prozessmanager öffnen, diesen Prozess markieren und beenden:

Zitat:

C:\WINDOWS\system\lsass.exe

Dann die Datei überprüfen und das Ergebnis posten.

Ich hatte dann immer Probleme mit meinem Sound in Spielen, als ich die updates runtergenommen hab gings wieder.
Ich kann den Prozess mit HJT nicht beenden weil das ja ein "systemkritischer Prozess" ist.
Und der Link funzt nich bei mir (ich nutze Firefox)

Okay, also mit dem IE hat es jetzt geklappt:
Version Update Result
AntiVir 6.34.0.24 04.20.2006 TR/Proxy.Ranky.Gen.20
Avast 4.6.695.0 04.28.2006 no virus found
AVG 386 04.28.2006 Proxy.CEJ
Avira 6.34.1.58 04.29.2006 TR/Proxy.Ranky.Gen.20
BitDefender 7.2 04.30.2006 Trojan.Proxy.Ranky.Gen
CAT-QuickHeal 8.00 04.29.2006 (Suspicious) - DNAScan
ClamAV devel-20060202 04.27.2006 Trojan.Proxy.Ranky-29
DrWeb 4.33 04.30.2006 Trojan.Proxy.874
eTrust-InoculateIT 23.71.142 04.29.2006 no virus found
eTrust-Vet 12.4.2184 04.28.2006 no virus found
Ewido 3.5 04.30.2006 Proxy.874
Fortinet 2.71.0.0 04.30.2006 W32/RANKY.KK!tr
F-Prot 3.16c 04.30.2006 security risk named W32/Ranky.TB
Ikarus 0.2.59.0 04.29.2006 P2P-Worm.Win32.Polipos.a
Kaspersky 4.0.2.24 04.30.2006 Trojan-Proxy.Win32.Ranky.ff
McAfee 4751 04.28.2006 Proxy-Piky
Microsoft 1.1372 04.30.2006 no virus found
NOD32v2 1.1513 04.29.2006 a variant of Win32/TrojanProxy.Ranky
Norman 5.90.17 04.28.2006 no virus found
Panda 9.0.0.4 04.29.2006 Trj/Ranky.NR
Sophos 4.05.0 04.29.2006 no virus found
Symantec 8.0 04.30.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 no virus found
UNA 1.83 04.28.2006 TrojanProxy.Win32.Ranky
VBA32 3.11.0 04.29.2006 Trojan.Proxy.874

Noch eine Frage: Liegt es eigentlich an dem Virus, dass mein PC beim Spielen manchmal einfriert ?

Ein Backdoor ist in deinem System aktiv - Eine Entfernung wäre unsicher und würde evtl. Reste und offene Hintertürchen zurücklassen.

Desshalb empfehle ich dir schnellstens dein System explizit nach Cidres Anleitung neu aufzusetzen!

mfg,
Markus

Also ich habe jetzt erstmal die Datei im abgesicherten modus gelöscht und bis jetzt ist sie auch noch nicht wieder im task manager.
Ich habe einfach momentan nicht die Zeit, mein ganzes System neu aufzuspielen, weil ich fürs Abi zu tun hab.
Riesendank an alle helfenden, wenn es wiederkommt oder so, meld ih mich nochmal

wo bleibt SP2??

@ unreal258
Bitte lies das.

Zitat:

Zitat von MASARI

wo bleibt SP2??

→ You can’t clean a compromised system by patching it. Patching only removes the vulnerability. Upon getting into your system, the attacker probably ensured that there were several other ways to get back in.

Quelle: http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx