Flammingo

Tach Leute,
mein System ist Microsoft Windows XP Professional x64 Edition Service Pack 2. Nun hat mich scheinbar ein Trojaner/Virus befallen, der einen Prozess namens „lsas.exe“ (mit kleinem L) bei jedem Systemstart öffnet. Dieser hält meine CPU-Auslastung auf 100%, bis ich den Prozess manuell beende. Hab irgendwo gelesen, dass man dadurch an Kennwörter, Internet-Bankverkehr und persönliche Daten rankommt. Ich weiss aber nicht wie ich an dieses Mistvieh, was das auslöst rankomm...
folgendes habe ich schon gemacht:
mit „avast! Antivirus“ vollständigen Systemscan,
mit „Kaspersky“ das gleiche,
und auch mit „Sophos“ dasselbe. Dies wurde einem hier geraten, aber irgendwie komme ich nicht weiter, denn keiner von ihnen findet irgendwas. -> http://www.rz.uni-kiel.de/pc/lsas_wurm/
Dann habe ich weitere Programme, die dieses Problem lösen sollten ausprobiert:
http://www.file.net/prozess/lsas.exe.html -> “Security Task Manager” und “Spyware Doctor”…
doch die finden auch nichts...
das gleiche auch hier http://www.processlibrary.com/directory/files/lsas/ -> „RegistryBooster 2“
doch keiner findet irgendwas... habe die Programme auch schon mal im abgesicherten Modus gestartet und prüfen lassen, doch ohne Erfolg. Auch „True Sword5“, „FXGaobot“ und „SysClean“ hab ich drüber laufen lassen, doch keiner findet den Auslöser für die lsas.exe. Gibts das? Ich dreh noch durch und könnt heulen -.- Vielleicht kennt sich einer von euch dadrüber aus, oder hatte schon mal ein ähnliches Problem. Hat scheinbar was mit diesem Virus hier zu tun -> http://threatinfo.trendmicro.com/vin...WORM_AGOBOT.CD

Bitte um Hilfe!

Ostseesand

Hi,

wende hijackthis im abgesicherten modus mal an.
poste dann mal das ergebnis (logfile).

in welchem ordner bzw unterordner ist die datei?
C:\Windows\System32 oder woanders?

Leonixx

Zusäztlich zu Hijackthis auch Combofix anwenden und Logfile posten. Beide Links in meiner Signatur.

Gruss

Flammingo

Heyhey... erstmal danke für eure Hilfe. Also wie ich das hinbekommen habe weiss ich nicht. Habe den PC erst vor ner Woche gebaut und Windows draufgemacht. Ich glaube es hängt mit dem Treiber hier zusammen für den Drucker. Irgendwo hab ich auch gelesen, dass lsas.exe von HP stammt.
http://download.cnet.com/x64Drv5-64-..._4-184036.html
Naja... habe zwar alles drauf an Programmen was ich brauch, aber wäre eigentlich kein Problem das ganze nochmal neu draufzuspielen. Natürlich sucht man erstmal ne Alternative... hier mal mein Hijack This Check im abgesicherten Modus.

F2 - REG:system.ini: UserInit=userinit
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [QFan Help] "C:\Program Files\ASUS\Ai Suite\QFan3\QFanHelp.exe"
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [windows scvhost] C:\Documents and Settings\All Users\Application Data\lsas.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files (x86)\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files (x86)\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files (x86)\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA ~2\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~2\KASPE R~1\KASPER~2\adialhk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt. exe
O23 - Service: Google Update Service (gupdate1c9d88a9a5c4216) (gupdate1c9d88a9a5c4216) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc64.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - Unknown owner - C:\WINDOWS\System32\TuneUpDefragService.exe (file missing)
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\WINDOWS\System32\TUProgSt.exe (file missing)
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

--
End of file - 6633 bytes

Hab davon keine Ahnung, aber schaut nach ner Menge aus, oder?

Leonixx

Das Logfile ist nicht Vollständing.

O4 - HKCU\..\Run: [windows scvhost] C:\Documents and Settings\All Users\Application Data\lsas.exe
Habe ich fast schon vermutet. Du hast einen Wurm auf deinem System. GAOBOT.AO

Platte formatieren und System neuaufsetzen. Überlege dir mal, wie dieser Wurm auf das System gekommen ist, wenn du erst von einer Woche Windows installiert hast? Sowas riecht meistens nach Cracksoftware oder Keygens (keine Unterstellung).

Gruss

heinzl

Auch, aber nur mit der richtigen Größe im richtigen Verzeichnis
http://www.file.net/prozess/lsas.exe.html

und nach dem Neuaufsetzen nicht wieder den alten Müll installieren!

Flammingo

Ja also kommt das von dem blöden HP Treiber oder was?
Programme habe ich erstmal Testversionen und Free Versions installiert... deswegen versteh ich das nicht.
Und um den HP Drucker laufen zu lassen gabs bloß den einen Treiber, hab alles abgesucht... scheint so, dass der irgendwas hat. Gab sonst keine andere Möglichkeit den Drucker zu installieren -.-

Leonixx

Das kann ich mir nicht vorstellen. Scvhost.exe kann nicht vom HP Originaltreiber kommen und solchen Schaden verusachen. Ist dein Windows Original? Wo hast du dir die Testversionen und kostenlosen Programme runtergeladen?