lsas.exe

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Flammingo, 23.05.2009.

  1. #1 Flammingo, 23.05.2009
    Flammingo

    Flammingo Neuer Benutzer

    Dabei seit:
    23.05.2009
    Beiträge:
    3
    Zustimmungen:
    0
    Tach Leute,
    mein System ist Microsoft Windows XP Professional x64 Edition Service Pack 2. Nun hat mich scheinbar ein Trojaner/Virus befallen, der einen Prozess namens „lsas.exe“ (mit kleinem L) bei jedem Systemstart öffnet. Dieser hält meine CPU-Auslastung auf 100%, bis ich den Prozess manuell beende. Hab irgendwo gelesen, dass man dadurch an Kennwörter, Internet-Bankverkehr und persönliche Daten rankommt. Ich weiss aber nicht wie ich an dieses Mistvieh, was das auslöst rankomm...
    folgendes habe ich schon gemacht:
    mit „avast! Antivirus“ vollständigen Systemscan,
    mit „Kaspersky“ das gleiche,
    und auch mit „Sophos“ dasselbe. Dies wurde einem hier geraten, aber irgendwie komme ich nicht weiter, denn keiner von ihnen findet irgendwas. -> http://www.rz.uni-kiel.de/pc/lsas_wurm/
    Dann habe ich weitere Programme, die dieses Problem lösen sollten ausprobiert:
    http://www.file.net/prozess/lsas.exe.html -> “Security Task Manager” und “Spyware Doctor”…
    doch die finden auch nichts...
    das gleiche auch hier http://www.processlibrary.com/directory/files/lsas/ -> „RegistryBooster 2“
    doch keiner findet irgendwas... habe die Programme auch schon mal im abgesicherten Modus gestartet und prüfen lassen, doch ohne Erfolg. Auch „True Sword5“, „FXGaobot“ und „SysClean“ hab ich drüber laufen lassen, doch keiner findet den Auslöser für die lsas.exe. Gibts das? Ich dreh noch durch und könnt heulen -.- Vielleicht kennt sich einer von euch dadrüber aus, oder hatte schon mal ein ähnliches Problem. Hat scheinbar was mit diesem Virus hier zu tun -> http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=WORM_AGOBOT.CD

    Bitte um Hilfe!
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Ostseesand, 23.05.2009
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    wende hijackthis im abgesicherten modus mal an.
    poste dann mal das ergebnis (logfile).

    in welchem ordner bzw unterordner ist die datei?
    C:\Windows\System32 oder woanders?
     
  4. #3 Leonixx, 23.05.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Zusäztlich zu Hijackthis auch Combofix anwenden und Logfile posten. Beide Links in meiner Signatur.

    Gruss
     
  5. #4 Flammingo, 23.05.2009
    Flammingo

    Flammingo Neuer Benutzer

    Dabei seit:
    23.05.2009
    Beiträge:
    3
    Zustimmungen:
    0
    Heyhey... erstmal danke für eure Hilfe. Also wie ich das hinbekommen habe weiss ich nicht. Habe den PC erst vor ner Woche gebaut und Windows draufgemacht. Ich glaube es hängt mit dem Treiber hier zusammen für den Drucker. Irgendwo hab ich auch gelesen, dass lsas.exe von HP stammt.
    http://download.cnet.com/x64Drv5-64-0-17-exe/3000-2116_4-184036.html
    Naja... habe zwar alles drauf an Programmen was ich brauch, aber wäre eigentlich kein Problem das ganze nochmal neu draufzuspielen. Natürlich sucht man erstmal ne Alternative... hier mal mein Hijack This Check im abgesicherten Modus.

    F2 - REG:system.ini: UserInit=userinit
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL
    O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
    O4 - HKLM\..\Run: [QFan Help] "C:\Program Files\ASUS\Ai Suite\QFan3\QFanHelp.exe"
    O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [windows scvhost] C:\Documents and Settings\All Users\Application Data\lsas.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files (x86)\ICQLite\ICQLite.exe -trayboot
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
    O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files (x86)\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files (x86)\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~2\Office12\GR99D3~1.DLL
    O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA~2\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~2\adialhk.dll
    O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
    O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
    O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
    O23 - Service: Google Update Service (gupdate1c9d88a9a5c4216) (gupdate1c9d88a9a5c4216) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
    O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
    O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
    O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
    O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
    O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc64.exe (file missing)
    O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
    O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - Unknown owner - C:\WINDOWS\System32\TuneUpDefragService.exe (file missing)
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\WINDOWS\System32\TUProgSt.exe (file missing)
    O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
    O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
    O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

    --
    End of file - 6633 bytes

    Hab davon keine Ahnung, aber schaut nach ner Menge aus, oder?
     
  6. #5 Leonixx, 23.05.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Das Logfile ist nicht Vollständing.

    O4 - HKCU\..\Run: [windows scvhost] C:\Documents and Settings\All Users\Application Data\lsas.exe
    Habe ich fast schon vermutet. Du hast einen Wurm auf deinem System. GAOBOT.AO

    Platte formatieren und System neuaufsetzen. Überlege dir mal, wie dieser Wurm auf das System gekommen ist, wenn du erst von einer Woche Windows installiert hast? Sowas riecht meistens nach Cracksoftware oder Keygens (keine Unterstellung).

    Gruss
     
  7. heinzl

    heinzl .

    Dabei seit:
    29.01.2008
    Beiträge:
    8.266
    Zustimmungen:
    9
    [quote='Flammingo',index.php?page=Thread&postID=739887#post739887]Irgendwo hab ich auch gelesen, dass lsas.exe von HP stammt. [/quote]
    Auch, aber nur mit der richtigen Größe im richtigen Verzeichnis ;)
    http://www.file.net/prozess/lsas.exe.html

    und nach dem Neuaufsetzen nicht wieder den alten Müll installieren!
     
  8. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  9. #7 Flammingo, 23.05.2009
    Flammingo

    Flammingo Neuer Benutzer

    Dabei seit:
    23.05.2009
    Beiträge:
    3
    Zustimmungen:
    0
    Ja also kommt das von dem blöden HP Treiber oder was?
    Programme habe ich erstmal Testversionen und Free Versions installiert... deswegen versteh ich das nicht.
    Und um den HP Drucker laufen zu lassen gabs bloß den einen Treiber, hab alles abgesucht... scheint so, dass der irgendwas hat. Gab sonst keine andere Möglichkeit den Drucker zu installieren -.-
     
  10. #8 Leonixx, 24.05.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Das kann ich mir nicht vorstellen. Scvhost.exe kann nicht vom HP Originaltreiber kommen und solchen Schaden verusachen. Ist dein Windows Original? Wo hast du dir die Testversionen und kostenlosen Programme runtergeladen?
     
Thema:

lsas.exe