Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: LSA-Shell (Export Version)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.10.2005, 18:10   #1
Hannibal125
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Hallo zusammen,

vielleicht habe ich ein Problem - vielleicht aber auch nicht:

Habe gerade bei meiner Kerio PF4 geguckt, welche Prozesse aufs I-Net zugreifen dürfen und welche nicht. Dabei habe ich eine Anwendung gefunden, die ich vorheer noch nie gesehn habe. Sie nennt sich "LSA Shell (Export Version)"; die eigentliche Datei die sich dahinter verbirgt ist die lsass.exe. Die ja eigentlich gut ist, glaub ich zumindest. Google gab mir zum Thema ganz viele Antworten mit Sasser etc. Dort ward lsaass.exe allerdings immer mit 3 "s" - also lsasss.exe" beschrieben. Die Datei sollte ja eigentlich suaber sein.

Ich bin nur deswegen etwas verunsichert, weil ich eben Spybot aufgerufen habe und Spybot plötzlich auf Englisch eingestellt war und eine Kategorie im Expertenmodus aufgerufen war, die ich definitiv NICHT aufgerufen habe!

Diese beiden Sachen zusammen beunruhigen mich etwas. Laut automatischer HijackThis Log-Auswertung gibt es keine bösen Prozesse und AdAware und Spybot sowie AVG finden auch nix...

Gibt's dennoch Grund zur Sorge? Ich poste euch hier mal das HT-Log...

Logfile of HijackThis v1.99.1
Scan saved at 18:43:41, on 18.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\AVGFRE~1\avgupsvc.exe
C:\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\AVGFRE~1\avgcc.exe
C:\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Trillian\trillian.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128023730468
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B91D45F-8549-4971-AEC7-A9CE5044469D}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Also ich als Nicht-Experte kann auf Anhieb auch nix verdächtiges finde... Vielleicht weiß einer von euch mehr... Außer diesem einen fett markierten Eintrag, aber auch der wurde bei der Auto-Auswertung als gut erkannt...

Danke und Gruß,
Hanni

E D I T: Ach da fällt mir doch noch was auf:Beim Scannen mit AVG free wird beim Prozess "shell32.dll" bei Status "Change" angezeigt, bei allen anderen "ok"...

Geändert von Hannibal125 (18.10.2005 um 18:16 Uhr)

Alt 18.10.2005, 18:15   #2
cronos
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Der Log ist sauber.
Und wegen der lsass.exe, no need to worry about that:

http://www.neuber.com/taskmanager/de...lsass.exe.html

Du könntest mal Java updaten:

http://www.java.com/de/download/help/java_update.xml
__________________

__________________

Alt 18.10.2005, 18:22   #3
Hannibal125
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Dnake cronos! Hab's mir ja fast gedacht.

Aber was ist mit der Spybot-Sache? Zufall wg. Update (waren eigentlich nur die detection rules die geupdatet wurden...)

Danke und Grüßli,
Hanni
__________________

Alt 18.10.2005, 18:29   #4
cronos
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Das weiß ich so nicht, denke aber mal das hat tatsächlich evtl. mit dem Update zu tun.
Stells dir halt wieder um.
__________________
Only cronos endures

Alt 18.10.2005, 21:09   #5
Hannibal125
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Hmmm. jetzt ist mein PC auch einfach so ausgegangen. Einfach so. Wollt das Trojaner Board aufrufen und schwups: war er aus!

Weiß jemand Rat?

Was ist mit der geänderten dll? (Siehe Edit in erstem Beitrag!)

Hilfe!
Hanni


Alt 18.10.2005, 22:49   #6
Hannibal125
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Noch was: Ein Freund machte mich darauf aufmerksam dass die Symptome für einen Eindringling im System sprechen könnten: veränderte dll, verändertes Spybot, plötzliches Ausschalten des Rechners, etc.

Er macht emich auf dieses WinUpdate aufmerksam: http://www.microsoft.com/downloads/d...3-5952DBA6995B

und ob ich es installiert hätte. Meine Frage dazu: Bin mir ziemlich sicher, dass ich das Update unter DIESEM Namen nicht installiert hab: ich führe immer nur die in Windows integrierte Updatefunktion aus und lade die Updates die mir dort unter "Wichtige Updates" gezeigt werden. Wenn es sich dabei um eine eklatante Sicherheitslücke handelt, muss dieses Update doch bei mir installiert sein, oder???

Wie gesagt: Es macht micht stutzig, dass alles das auf einmal auftritt: Spybot geändert, dll geändert, UND VOR ALLEM: dass sich mein PC einfach so selbst ausstellt!!!!

Habe auch gerade etwas über Rootkits gelesen. Kann es sich auch um so etwas handeln? Aber dann hätten doch AVG, KPF4, AdAware oder Spybot irgendwas gefunden, oder?

Was meint ihr? War da jemand auf meinem System, oder hatte der Computer nur nen Wackler oder so und ist dann ausgegangen???

So langsam werd ich doch ein wenig unruhig. Vielleicht hat von euch wer noch nen Tipp. Braucht ihr noch was? Irgendwelche Logfiles oder so???

Danke und Gruß,
Hanni

Geändert von Hannibal125 (18.10.2005 um 23:24 Uhr)

Alt 18.10.2005, 23:44   #7
cronos
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Dann prüf halt die .dll!
Paranoid ist sicherlich ein gutes Lied von Black Sabbath, dennoch ist es falsch das Lied im privaten auszuleben!
__________________
Only cronos endures

Alt 18.10.2005, 23:52   #8
Tomita
Gesperrt
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Zitat:
Zitat von cronos
Dann prüf halt die .dll!
Paranoid ist sicherlich ein gutes Lied von Black Sabbath, dennoch ist es falsch das Lied im privaten auszuleben!
@Cronos du bist ne geile Type ,hast auch die gute alte Musik gehört ne??
Tomita k

Alt 19.10.2005, 00:04   #9
cronos
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



@ Tomita

sehr schöne Mucke

@ hannibal

ansonsten update mal deine Hardware-angefangen beim Mainboard
__________________
Only cronos endures

Alt 19.10.2005, 00:07   #10
Hannibal125
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Jo, werd ich mal machen. Danke! nen Angriff würdet ihr aber also weitestgehends ausschließen!?

Danke euch!

Gruß,
Hanni,
Der auch die gute alte Mucke hört: Pro ACDC! Pro Stones!

Alt 19.10.2005, 00:18   #11
cronos
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Einen Angriff würde ich niemals ausschließen, ich vermute mal ich werde während ich diese Zeilen schreibe zumindest gescannt!
Um es nochmal zu wiederholen: Malware kommt nicht duch Zauberei auf den Rechner!
Man muss was angeklickt oder was anderes vernachlässigt haben.
Wenn der PC abstürzt liegt meistens sowieso ein Hardware-Problem vor.
Ich hab gerade selbst so eins und finde die Lsg nicht!

Egal-auf AC/DC -obwohl ich mit 27 knapp halb so alt bin wie Angus!
__________________
Only cronos endures

Alt 19.10.2005, 00:47   #12
Hannibal125
 
LSA-Shell (Export Version) - Standard

LSA-Shell (Export Version)



Hehe, was soll ich mit meinen 22 da sagen?

Werde zur Sicherheit mal formatieren. Denn: Meines - bescheidenen Wissens nach - hat die Shell32.dll etwas mit Dateien zu tun wenn man sie öffnet. Das würde ja zu einem Trojaner passen irgendwie... Dann das veränderte Spybot... Ich weiß nicht!

Ich wüsste zwar nicht, woher die Unzulänglichkeit für den Malwarebefall kommen sollte, aber sicher ist sicher! Angeklickt hab ich definitiv nichts!

Let there be rock,
Hanni

Antwort

Themen zu LSA-Shell (Export Version)
adobe, adobe reader, alert, avg, avg free, bho, danke, dateien, excel, explorer, firewall, google, hijack, hijackthis, internet, internet explorer, logfile, lsa shell, microsoft, problem, programme, prozesse, scan, shell32.dll, software, system, system32, windows, windows xp



Ähnliche Themen: LSA-Shell (Export Version)


  1. Hacking Team bestreitet Export von Überwachungssoftware an autoritäre Staaten
    Nachrichten - 08.07.2015 (0)
  2. USA bestraft Export von Verschlüsselungssoftware
    Nachrichten - 17.10.2014 (0)
  3. Srep.exe - shell.txt - was nun?
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (17)
  4. Bundespolizei-Trojaner shell.txt
    Log-Analyse und Auswertung - 05.09.2011 (2)
  5. OE sichern (Speicherort nicht findbar) - MSOutlook-Daten export/import Problem
    Alles rund um Windows - 06.07.2010 (16)
  6. Problem mit Virus LSA Shell (export version)
    Plagegeister aller Art und deren Bekämpfung - 03.12.2008 (0)
  7. DR\Delf.DY oder so + LSA Shell (Export Version) Backdoor Virus!?
    Plagegeister aller Art und deren Bekämpfung - 20.08.2008 (5)
  8. LSA Shell U
    Plagegeister aller Art und deren Bekämpfung - 14.05.2008 (0)
  9. IE "angeblich" nur Version 5, habe aber die neuste Version!Wer kann helfen?
    Alles rund um Windows - 27.02.2008 (0)
  10. Zone Alarm: LSA Shell (Export Version)...
    Antiviren-, Firewall- und andere Schutzprogramme - 24.01.2008 (9)
  11. LSA Shell (Export Version)?
    Mülltonne - 23.01.2008 (0)
  12. Spybot SD Version 1.4 RC (Neue Version)
    Antiviren-, Firewall- und andere Schutzprogramme - 25.05.2006 (13)
  13. LSA-Shell (Export Version)
    Alles rund um Windows - 19.10.2005 (2)
  14. MB Shell Spy - HILFE!
    Plagegeister aller Art und deren Bekämpfung - 21.01.2005 (1)
  15. SHELL.DLL verschwunden
    Log-Analyse und Auswertung - 23.09.2004 (9)
  16. LSA Shell (Export Version)
    Plagegeister aller Art und deren Bekämpfung - 20.07.2004 (1)
  17. F0 - system.ini: Shell=
    Log-Analyse und Auswertung - 19.07.2004 (2)

Zum Thema LSA-Shell (Export Version) - Hallo zusammen, vielleicht habe ich ein Problem - vielleicht aber auch nicht: Habe gerade bei meiner Kerio PF4 geguckt, welche Prozesse aufs I-Net zugreifen dürfen und welche nicht. Dabei habe - LSA-Shell (Export Version)...
Archiv
Du betrachtest: LSA-Shell (Export Version) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.