|
lsass.exe zweimal im Taskmanager Hallo, ich habe beim letzten Onlinevirenscan festgestellt, dass davon eines ein Virus ist, aber jetzt bekomme ich den lsass.exe nicht mehr weg, weil dass ein systemkritischer prozess ist. Was kann ich tun ? Danke für eure Hilfe. |
Zitat:
|
Hallo! Zitat:
=> Schildere den Sachverhalt nochmals genau (welcher Onlinescan hat wann was wo gefunden?)! |
Mein Hijack THis log: Logfile of HijackThis v1.97.7 Scan saved at 16:33:18, on 29.04.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system\lsass.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\ZoneLabs\isafe.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\Programme\DC++\DCPlusPlus.exe D:\apps und updates\HijackThis.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe O4 - HKLM\..\Run: [Microsoft (R) Windows Network Security Service] C:\WINDOWS\system\lsass.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\imslsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{77F996E3-D258-417D-AF7C-763430908E43}: NameServer = 217.237.149.225 217.237.150.188 Ich hatte den Onlinescan von bitdefender.de genutzt und er hatte die lsass.exe als Virus erkannt, der nicht gelöscht werden konnte. Zwischenfrage: Ich habe alles angeklickt bei Hijackthis und nun fehlen mir die autostarts zB von meiner Maus. Wie kann ich das rückgängig machen? |
Zitat:
Zitat:
Und vielleicht kannst Du uns dann auch mitteilen um welchen Virus es sich handelt. |
Logfile of HijackThis v1.99.1 Scan saved at 19:22:42, on 29.04.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system\lsass.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\System32\ZoneLabs\isafe.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe D:\Programme\DC++\DCPlusPlus.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Warcraft III\replay\waaagh tv\wtvClient.exe D:\apps und updates\HijackThis.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe O4 - HKLM\..\Run: [Microsoft (R) Windows Network Security Service] C:\WINDOWS\system\lsass.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O17 - HKLM\System\CCS\Services\Tcpip\..\{77F996E3-D258-417D-AF7C-763430908E43}: NameServer = 217.237.149.225 217.237.150.188 O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\rBschap.dll (file missing) O20 - Winlogon Notify: xcdmfree - C:\WINDOWS\SYSTEM32\xcdmfree.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe O23 - Service: Windows Network Security Service (lsass) - Unknown owner - C:\WINDOWS\system\lsass.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Was es für ein Virus ist, weiß ich nicht. Ich lass den scanner nochmal durchlaufen, kann aber ne weile dauern. Zu deiner Patchfrage: den IE benutz ich nich und die windows updates machen irgendwie Probleme. |
Zitat:
HijackThis starten-> In der "misc tools section" den Prozessmanager öffnen, diesen Prozess markieren und beenden: Zitat:
|
Ich hatte dann immer Probleme mit meinem Sound in Spielen, als ich die updates runtergenommen hab gings wieder. Ich kann den Prozess mit HJT nicht beenden weil das ja ein "systemkritischer Prozess" ist. Und der Link funzt nich bei mir (ich nutze Firefox) |
Okay, also mit dem IE hat es jetzt geklappt: Version Update Result AntiVir 6.34.0.24 04.20.2006 TR/Proxy.Ranky.Gen.20 Avast 4.6.695.0 04.28.2006 no virus found AVG 386 04.28.2006 Proxy.CEJ Avira 6.34.1.58 04.29.2006 TR/Proxy.Ranky.Gen.20 BitDefender 7.2 04.30.2006 Trojan.Proxy.Ranky.Gen CAT-QuickHeal 8.00 04.29.2006 (Suspicious) - DNAScan ClamAV devel-20060202 04.27.2006 Trojan.Proxy.Ranky-29 DrWeb 4.33 04.30.2006 Trojan.Proxy.874 eTrust-InoculateIT 23.71.142 04.29.2006 no virus found eTrust-Vet 12.4.2184 04.28.2006 no virus found Ewido 3.5 04.30.2006 Proxy.874 Fortinet 2.71.0.0 04.30.2006 W32/RANKY.KK!tr F-Prot 3.16c 04.30.2006 security risk named W32/Ranky.TB Ikarus 0.2.59.0 04.29.2006 P2P-Worm.Win32.Polipos.a Kaspersky 4.0.2.24 04.30.2006 Trojan-Proxy.Win32.Ranky.ff McAfee 4751 04.28.2006 Proxy-Piky Microsoft 1.1372 04.30.2006 no virus found NOD32v2 1.1513 04.29.2006 a variant of Win32/TrojanProxy.Ranky Norman 5.90.17 04.28.2006 no virus found Panda 9.0.0.4 04.29.2006 Trj/Ranky.NR Sophos 4.05.0 04.29.2006 no virus found Symantec 8.0 04.30.2006 no virus found TheHacker 5.9.7.136 04.29.2006 no virus found UNA 1.83 04.28.2006 TrojanProxy.Win32.Ranky VBA32 3.11.0 04.29.2006 Trojan.Proxy.874 Noch eine Frage: Liegt es eigentlich an dem Virus, dass mein PC beim Spielen manchmal einfriert ? |
Ein Backdoor ist in deinem System aktiv - Eine Entfernung wäre unsicher und würde evtl. Reste und offene Hintertürchen zurücklassen. Desshalb empfehle ich dir schnellstens dein System explizit nach Cidres Anleitung neu aufzusetzen! mfg, Markus |
Also ich habe jetzt erstmal die Datei im abgesicherten modus gelöscht und bis jetzt ist sie auch noch nicht wieder im task manager. Ich habe einfach momentan nicht die Zeit, mein ganzes System neu aufzuspielen, weil ich fürs Abi zu tun hab. Riesendank an alle helfenden, wenn es wiederkommt oder so, meld ih mich nochmal :) |
wo bleibt SP2?? |
@ unreal258 Bitte lies das. Zitat:
Quelle: http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board