Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Poebot.C.268 in lsass.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.04.2007, 18:46   #1
hedie
 
Poebot.C.268 in lsass.exe - Icon27

Poebot.C.268 in lsass.exe



Hallo

Ich bin neu hier und dachte deshalb ich könnte mal mein problem schildern

Also alles begann nach dem für heute 3 mal aufgesetzten Windows Server 2003. Ich habe vor dem Installieren alle Netzwerkkabel entfernt (somit kein Internet). Nach dem installieren hab ich folgendes Installiert

Sygate Firewall 5.5
Antivir Personal Classic

Nun als dies erfolgreich Installiert war, hab ich das internet wieder angeschlossen. Un sogleich kam die Meldung von AntiVir, dass ich folgenden Virus habe

Worm/Poebot.C.268 in der datei C:\Windows\lsass.exe

Ich hab dann zunächst mal zugriff verweigern gecklickt. Dies hat aber nicht geholfen (noch etwa 10 weitere gleiche meldungen).

bei der 10 hab ich in Quarantäne verschieben geklickt. nun war für etwa 5 minuten ruhe. Danach gings wieder los.

Ich hab den server 3 mal neu installiert weill ich zuvor (hab das internet drinn gelassen) gleich so um die 20 Viren hatte.

Nun hoffe ich, dass ihr mir weiterhelfen könnt.

Vielen Dank
grüsschen
Claudio

Alt 08.04.2007, 20:42   #2
undoreal
/// AVZ-Toolkit Guru
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Hallo.

Wahrscheinlichste Infizierung: Sasser Wurm.

Mache folgendes:

-Erstelle ein HijackThis log und poste es hier.
-Update AntiVir.
-Lade dir sassgui.
-Ziehe alle LAN/I-Net Stecker.
-Lasse "sassgui" arbeiten.
-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.
-Konfiguriere AntiVir aggressiv.
-Wechsel in den abgesicherten Modus (F8 beim Hochfahren) und mache einen kompletten scan mit AntiVir. Lösche ALLES was gefunden wird.
-Dann arbeitest du die Anleitung aus meiner Signatur zu eScan/MWAVE ab und postest das logFile.
-Erstelle zu guter letzt ein neues HJT log und poste auch dies sowie eine Beschreibung ob und welche Probleme du noch hast.

Gruß und viel Erfolg

Undoreal
__________________

__________________

Alt 09.04.2007, 10:54   #3
hedie
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Ok Danke

also dann geh ich mal an die Arbeit
__________________

Alt 09.04.2007, 12:16   #4
hedie
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Also es ist folgendes passiert....

Ich habe alle schritte ausgeführt. Bei dem schritt mit dem sassgui kam jedoch die meldung, dass ich keine
Administratoren rechte hätte, obwohl ich mich mit dem Administrator angemeldet habe (also ich hab 100% admin rechte).
Erkannt hat das toll keinen einzigen Virus aber während des Scannen von sassgui, hat AntiVir wieder den selben Virus gemeldet in Lsass.exe
ich habe dann löschen ausgewählt, geklappt hats wohl nicht.

Und escan hat 7 Viren erkannt.

so nun hier die Logfiles
-----------------------------------Erstes HijackThis file-------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 12:01:51, on 09.04.2007
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.ch/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

---------------------------------------------------------------------------------------------
---------------------------------------EScan Log file-----------------------------------------

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows [Version 5.2.3790]
Mon Apr 09 12:38:27 2007 => Version 9.1.8
Mon Apr 09 12:37:28 2007 => Virus-Datenbank Datum: 4/5/2007
Mon Apr 09 13:02:29 2007 => Virus-Datenbank Datum: 4/5/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 09 12:41:19 2007 => Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Div.Downloads\vnc-4_1_2-x86_win32.exe//data0001 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:41:50 2007 => Datei C:\Programme\RealVNC\VNC4\WinVNC4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:48:01 2007 => Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Div.Downloads\vnc-4_1_2-x86_win32.exe//data0001 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:49:16 2007 => Datei C:\Programme\RealVNC\VNC4\vncconfig.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:49:17 2007 => Datei C:\Programme\RealVNC\VNC4\vncviewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:49:17 2007 => Datei C:\Programme\RealVNC\VNC4\winvnc4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:49:17 2007 => Datei C:\Programme\RealVNC\VNC4\wm_hooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 09 13:02:29 2007 => Gefundene Viren: 7
Mon Apr 09 13:02:29 2007 => Anzahl Fehler: 39
Mon Apr 09 13:02:29 2007 => Dauer des Scans bisher: 00:24:00
Mon Apr 09 13:02:29 2007 => Gescannte Dateien: 33624
Mon Apr 09 12:38:27 2007 => Specherüberprüfung: Aktiviert
Mon Apr 09 12:38:27 2007 => Registry Überprüfung: Aktiviert
Mon Apr 09 12:38:27 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 09 12:38:27 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 09 12:38:27 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 09 12:38:27 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 09 12:38:27 2007 => Überprüfung aller Festplatten :Aktiviert
----------------------------------------------------------------------------------------------

----------------------------noch das letzte Hijack this log file----------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 13:06:01, on 09.04.2007
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.ch/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

-------------------------------------------------------------------------------------------


Bis jetzt wurde noch kein virus gemeldet aber dass kann noch kommen.....

Alt 09.04.2007, 12:51   #5
Mobius07
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



So wie das aussieht kommst Du am Neuaufsetzen nicht drumherum. Dies solltest Du auch machen um auf Nummer Sicher zu gehen.

Ansonsten verschickt Dein "Gast" diverse Dateien oder Spam von Deinem Rechner aus.


Alt 09.04.2007, 14:05   #6
undoreal
/// AVZ-Toolkit Guru
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Zitat:
So wie das aussieht kommst Du am Neuaufsetzen nicht drumherum.
warum das denn???? Sieht hier jemand einen Backdoorbefall? Dann bitte ich um Info.

Also hedie; du hast noch mehr zu tun. BItte alles wieder in Reinfolge ganz genau abarbeiten. Bei Fragen erst Boardsuche und google benutzen:

-Scanne deinen Rechner auf Rootkits->F-Secure Blacklight > BlackLight Testversion
-Lasse eScan noch einmal laufen.Diesmal lässt du das Häkchen bei "Scan only" weg. Dann sollte auf dem Button "Scan and Clean" erscheinen.
-Dann meldest du dich als admin an.Nicht nur Benutzerkonto mit admin Rechten.
-Nun schließt du AntiVir(beendest den Guard).
-Dann lasse "sassgui" laufen. Diesmal sollte es klappen.(Beachte das sassgui nicht mehr im abgesicherten Modus laufen sollte)
-Danach startest du den Rechner neu und machst einen kompletten scan mit AntiVir und danach einen mit SSW.
-Dann erstellst du ein neues HJT log (nicht aus dem abgesicherten MOdus sondern aus dem Normalen.. )

Gruß und viel Glück

Undoreal
__________________
--> Poebot.C.268 in lsass.exe

Alt 09.04.2007, 14:06   #7
hedie
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Aber das ist ja das Problem

Neuaufsetzen nützt nichts...

Das hab ich jetzt sicher schon 5 mal gemacht doch der besteht weiterhin

Alt 09.04.2007, 14:08   #8
undoreal
/// AVZ-Toolkit Guru
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Zitat:
Neuaufsetzen nützt nichts...
dann hast du es nicht richtig gemacht. Anleitung befindet sich in meiner Signatur. Allerdings sollte man bei Wurm Befall keinerlei Daten sichern.. Lag es vielleicht daran?

mfg
Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 09.04.2007, 14:11   #9
hedie
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



also so wie es aussieht ist der virus doch weg (keine meldungen mehr bekommen) aber nun hat es 2 neue "VIREN" auf jedenfall Heuristische meldunge die unbekannt sind

Die in zwei merkwürdigen dateien

beide im System32

yseqy.exe
mgxsewgl.exe

Alt 09.04.2007, 14:12   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Zitat:
Zitat von hedie Beitrag anzeigen
Aber das ist ja das Problem

Neuaufsetzen nützt nichts...

Das hab ich jetzt sicher schon 5 mal gemacht doch der besteht weiterhin
Du musst für deinen Windows Server 2003 auch mindestens das SP1 offline installieren (SP2 wäre besser, ist seit ca. 3 Wochen draußen).
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.04.2007, 14:14   #11
undoreal
/// AVZ-Toolkit Guru
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Zitat:
Du musst für deinen Windows Server 2003 auch mindestens das SP1 offline installieren (SP2 wäre besser, ist seit ca. 3 Wochen draußen).
dachte ich mir auch schon. Also mache das bitte und folge meiner Anleitung..

mfg

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 09.04.2007, 14:16   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Zitat:
Zitat von hedie Beitrag anzeigen
also so wie es aussieht ist der virus doch weg (keine meldungen mehr bekommen) aber nun hat es 2 neue "VIREN" auf jedenfall Heuristische meldunge die unbekannt sind

Die in zwei merkwürdigen dateien

beide im System32

yseqy.exe
mgxsewgl.exe
Die Kiste ist verseucht, hier gibts nichts mehr zu retten. Setz den Server neu auf und spiel gleich offline das SP2 ein. Ggf. sind diese Infos für dich interessant.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.04.2007, 14:17   #13
hedie
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



ok werd ich machen....

Danke für eure hilfe

Alt 09.04.2007, 17:02   #14
Mobius07
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Undoreal schrieb :
"warum das denn???? Sieht hier jemand einen Backdoorbefall? Dann bitte ich um Info."

Ich halte die Kiste für verseucht, Du anscheinend nicht......
Man kann Du soviel wursteln wie man will, richtig sicher das alles wech ist, kann man sich nie sein. Dieses WIN VFC ist ein Dienstprogramm von AT&T Labors, Cambridge und kann kann böswillig verwendet werden. Es ermöglicht "VOLLEN" Zugriff auf den Rechner. Naja, und wenn man den Regeln dieses Forums folgen soll, empfiehlt es in diesem Fall immer das "Neuaufsetzen", oder irre ich mich jetzt schon wieder???

Alt 10.04.2007, 14:04   #15
undoreal
/// AVZ-Toolkit Guru
 
Poebot.C.268 in lsass.exe - Standard

Poebot.C.268 in lsass.exe



Jetzt sehe ich das auch so. Aber bis dort unten hin war davon noch nischts zu sehen..

Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Poebot.C.268 in lsass.exe
5 minuten, c:\windows, datei, entfernt, erfolgreich, firewall, folge, folgendes, heute, installieren, internet, kein internet, lsass.exe, meldung, meldungen, neu, personal, problem, quara, quarantäne, server, verschieben, viren, virus, windows, zugriff




Ähnliche Themen: Poebot.C.268 in lsass.exe


  1. Worm/PoeBot.81408.A
    Plagegeister aller Art und deren Bekämpfung - 11.09.2006 (2)
  2. Antivir hat TR/PoeBot.AR angezeigt
    Plagegeister aller Art und deren Bekämpfung - 12.07.2006 (9)
  3. Poebot.c.115
    Plagegeister aller Art und deren Bekämpfung - 03.04.2006 (1)
  4. Win32 Poebot-c immer noch da!
    Plagegeister aller Art und deren Bekämpfung - 04.11.2005 (7)
  5. Hilfe Win32:Poebot-C [Trj]
    Plagegeister aller Art und deren Bekämpfung - 18.10.2005 (10)
  6. Poebot C1 Hilfe?!?!?!
    Log-Analyse und Auswertung - 13.10.2005 (3)
  7. lsass.exe
    Alles rund um Windows - 06.10.2005 (2)
  8. 5*Mall WORM/PoeBot.8192!
    Plagegeister aller Art und deren Bekämpfung - 15.09.2005 (12)
  9. backdoor.win32/poebot.b
    Log-Analyse und Auswertung - 11.09.2005 (8)
  10. poebot
    Log-Analyse und Auswertung - 04.09.2005 (4)
  11. Agent.ADA / Poebot.C1 / SVCHOST.exe
    Plagegeister aller Art und deren Bekämpfung - 05.08.2005 (3)
  12. Worm/Poebot.21504 ?!?
    Plagegeister aller Art und deren Bekämpfung - 02.02.2005 (1)
  13. Worm/Poebot.21504. Wer hilft mir?
    Plagegeister aller Art und deren Bekämpfung - 27.01.2005 (10)
  14. Meldung AntiVir Worm/PoeBot.21504
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (27)
  15. Trojan-Clicker.Win32.Agent.ac / Bachdoor.Win32.PoeBot.a etc
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (1)
  16. Worm/PoeBot.A im System , wie weiter ?
    Plagegeister aller Art und deren Bekämpfung - 17.12.2004 (5)
  17. Backdoor.Win32.PoeBot.a
    Plagegeister aller Art und deren Bekämpfung - 16.12.2004 (9)

Zum Thema Poebot.C.268 in lsass.exe - Hallo Ich bin neu hier und dachte deshalb ich könnte mal mein problem schildern Also alles begann nach dem für heute 3 mal aufgesetzten Windows Server 2003. Ich habe vor - Poebot.C.268 in lsass.exe...
Archiv
Du betrachtest: Poebot.C.268 in lsass.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.