LSA-Shell (Export Version)
 

Hallo zusammen,

vielleicht habe ich ein Problem - vielleicht aber auch nicht:

Habe gerade bei meiner Kerio PF4 geguckt, welche Prozesse aufs I-Net zugreifen dürfen und welche nicht. Dabei habe ich eine Anwendung gefunden, die ich vorheer noch nie gesehn habe. Sie nennt sich "LSA Shell (Export Version)"; die eigentliche Datei die sich dahinter verbirgt ist die lsass.exe. Die ja eigentlich gut ist, glaub ich zumindest. Google gab mir zum Thema ganz viele Antworten mit Sasser etc. Dort ward lsaass.exe allerdings immer mit 3 "s" - also lsasss.exe" beschrieben. Die Datei sollte ja eigentlich suaber sein.

Ich bin nur deswegen etwas verunsichert, weil ich eben Spybot aufgerufen habe und Spybot plötzlich auf Englisch eingestellt war und eine Kategorie im Expertenmodus aufgerufen war, die ich definitiv NICHT aufgerufen habe!

Diese beiden Sachen zusammen beunruhigen mich etwas. Laut automatischer HijackThis Log-Auswertung gibt es keine bösen Prozesse und AdAware und Spybot sowie AVG finden auch nix...

Gibt's dennoch Grund zur Sorge? Ich poste euch hier mal das HT-Log...

Logfile of HijackThis v1.99.1
Scan saved at 18:43:41, on 18.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\AVGFRE~1\avgupsvc.exe
C:\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\AVGFRE~1\avgcc.exe
C:\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Trillian\trillian.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128023730468
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B91D45F-8549-4971-AEC7-A9CE5044469D}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Also ich als Nicht-Experte kann auf Anhieb auch nix verdächtiges finde... Vielleicht weiß einer von euch mehr... Außer diesem einen fett markierten Eintrag, aber auch der wurde bei der Auto-Auswertung als gut erkannt...

Danke und Gruß,
Hanni

E D I T: Ach da fällt mir doch noch was auf:Beim Scannen mit AVG free wird beim Prozess "shell32.dll" bei Status "Change" angezeigt, bei allen anderen "ok"...

Der Log ist sauber.
Und wegen der lsass.exe, no need to worry about that:

http://www.neuber.com/taskmanager/de...lsass.exe.html

Du könntest mal Java updaten:

http://www.java.com/de/download/help/java_update.xml

Dnake cronos! Hab's mir ja fast gedacht.

Aber was ist mit der Spybot-Sache? Zufall wg. Update (waren eigentlich nur die detection rules die geupdatet wurden...)

Danke und Grüßli,
Hanni

Das weiß ich so nicht, denke aber mal das hat tatsächlich evtl. mit dem Update zu tun.
Stells dir halt wieder um.

Hmmm. jetzt ist mein PC auch einfach so ausgegangen. Einfach so. Wollt das Trojaner Board aufrufen und schwups: war er aus!

Weiß jemand Rat?

Was ist mit der geänderten dll? (Siehe Edit in erstem Beitrag!)

Hilfe!
Hanni

Noch was: Ein Freund machte mich darauf aufmerksam dass die Symptome für einen Eindringling im System sprechen könnten: veränderte dll, verändertes Spybot, plötzliches Ausschalten des Rechners, etc.

Er macht emich auf dieses WinUpdate aufmerksam: http://www.microsoft.com/downloads/d...3-5952DBA6995B

und ob ich es installiert hätte. Meine Frage dazu: Bin mir ziemlich sicher, dass ich das Update unter DIESEM Namen nicht installiert hab: ich führe immer nur die in Windows integrierte Updatefunktion aus und lade die Updates die mir dort unter "Wichtige Updates" gezeigt werden. Wenn es sich dabei um eine eklatante Sicherheitslücke handelt, muss dieses Update doch bei mir installiert sein, oder???

Wie gesagt: Es macht micht stutzig, dass alles das auf einmal auftritt: Spybot geändert, dll geändert, UND VOR ALLEM: dass sich mein PC einfach so selbst ausstellt!!!!

Habe auch gerade etwas über Rootkits gelesen. Kann es sich auch um so etwas handeln? Aber dann hätten doch AVG, KPF4, AdAware oder Spybot irgendwas gefunden, oder?

Was meint ihr? War da jemand auf meinem System, oder hatte der Computer nur nen Wackler oder so und ist dann ausgegangen???

So langsam werd ich doch ein wenig unruhig. Vielleicht hat von euch wer noch nen Tipp. Braucht ihr noch was? Irgendwelche Logfiles oder so???

Danke und Gruß,
Hanni

Dann prüf halt die .dll!
Paranoid ist sicherlich ein gutes Lied von Black Sabbath, dennoch ist es falsch das Lied im privaten auszuleben!

@Cronos du bist ne geile Type ,hast auch die gute alte Musik gehört ne??
Tomita :daumenhock

@ Tomita

sehr schöne Mucke

@ hannibal

ansonsten update mal deine Hardware-angefangen beim Mainboard

Jo, werd ich mal machen. Danke! nen Angriff würdet ihr aber also weitestgehends ausschließen!?

Danke euch!

Gruß,
Hanni,
Der auch die gute alte Mucke hört: Pro ACDC! Pro Stones!

Einen Angriff würde ich niemals ausschließen, ich vermute mal ich werde während ich diese Zeilen schreibe zumindest gescannt!
Um es nochmal zu wiederholen: Malware kommt nicht duch Zauberei auf den Rechner!
Man muss was angeklickt oder was anderes vernachlässigt haben.
Wenn der PC abstürzt liegt meistens sowieso ein Hardware-Problem vor.
Ich hab gerade selbst so eins und finde die Lsg nicht!

Egal-auf AC/DC :party: -obwohl ich mit 27 knapp halb so alt bin wie Angus! ;)

Hehe, was soll ich mit meinen 22 da sagen? ;)

Werde zur Sicherheit mal formatieren. Denn: Meines - bescheidenen Wissens nach - hat die Shell32.dll etwas mit Dateien zu tun wenn man sie öffnet. Das würde ja zu einem Trojaner passen irgendwie... Dann das veränderte Spybot... Ich weiß nicht!

Ich wüsste zwar nicht, woher die Unzulänglichkeit für den Malwarebefall kommen sollte, aber sicher ist sicher! Angeklickt hab ich definitiv nichts!

Let there be rock,
Hanni