Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: lsass.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.11.2006, 14:40   #1
Skatermati
 
lsass.exe - Standard

lsass.exe



Oh man ich bin am verzweifeln - so gut wie immer wenn ich das Notebook starte kommt nach dem WIN XP Bootvorgang vor dem Anmeldescreen sovort "lsass.exe - das Endpunktformat ist unzulässig" .

Selbst eine Systemwiederherstellung hat nichts geholfen, es kam dann immer zufällig wann es wollte. Jetzt gerade habe ich mich eine halbe Stunde spielen müssen damit er mal wieder ohne diese Meldung startet!

Bitte helft mir! Dass es sich um einen Wurm handelt schließe ich stark aus da der Prozess vom system32 Ordner gestartet worden ist und "Secure Task Manager" auch nichts sagt.... ich mache fast täglich Spybot, Ad - Aware SE etc. - hab ständig die neuesten Updates sowie ein Antivirenprogramm - keiner findet was und keiner hat NIE was gesagt!

Und neu aufsetzten kommt für mich nicht in Frage! Es sind viel zu viele Daten und Programme drauf die ich mühsam Wochen bzw. Monatelang gesammelt hab....

Hier noch vielleicht das HijackThis Log File:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:40:00, on 09.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Dokumente und Einstellungen\MaTi\Desktop\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.251:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 ; localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)


Achja noch ne Anmerkung: Ab und zu wähle ich im Boot Menü "Automatischen Neustart deaktivieren, diesmal war es "letzte bekannte funktionierende Windows Konfiguration" damit ich reinkomme.

Ich freue mich über alle Antworten,

Danke,

MaTi

Alt 09.11.2006, 19:41   #2
irrlicht
 
lsass.exe - Standard

lsass.exe



Hallo,
das da :
Zitat:
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
Kann man mit "LSP Fix" reparieren.Google danach und pass auf was du da tust,handle nach der Anleitung.
Das gefällt mir auch nicht :
Zitat:
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
Lass es bei www.virustotal überprüfen und poste das Ergebnis.
Dann schaust du unter "Anleitungen,FAQ,Links" nach dem Threat "Escan".
Erstelle ein solches EScan-Log nach der Anleitung.Beachte sie genau,vor allem der genaue Name des Tools,ergibt erst den richtigen Download.
Machst du was falsch,funktioniert das Programm nicht.Also lese gut...
Irrlicht
__________________


Alt 09.11.2006, 21:35   #3
Skatermati
 
lsass.exe - Standard

lsass.exe



Ok, zuerst mal zu dem IP Fix.

Zitat:
Kann man mit "LSP Fix" reparieren.Google danach und pass auf was du da tust,handle nach der Anleitung.
Ich will nur sicher gehen, stimmt es wenn ich "avsda.dll" "rübergebe" ?

Ok, nun zum zweitem Punkt dem "Refiebar.dll" . Es gibt mehrere Refiebar Dateien, und habe wie gesagt, die dll Datei via virustotal überprüft.

Zitat:
AntiVir 7.2.0.39 11.09.2006 no virus found
Authentium 4.93.8 11.09.2006 no virus found
Avast 4.7.892.0 11.09.2006 no virus found
AVG 386 11.09.2006 no virus found
BitDefender 7.2 11.09.2006 no virus found
CAT-QuickHeal 8.00 11.09.2006 no virus found
ClamAV devel-20060426 11.09.2006 no virus found
DrWeb 4.33 11.09.2006 no virus found
eTrust-InoculateIT 23.73.50 11.09.2006 no virus found
eTrust-Vet 30.3.3184 11.09.2006 no virus found
Ewido 4.0 11.09.2006 no virus found
Fortinet 2.82.0.0 11.09.2006 no virus found
F-Prot 3.16f 11.09.2006 no virus found
F-Prot4 4.2.1.29 11.09.2006 no virus found
Ikarus 0.2.65.0 11.09.2006 no virus found
Kaspersky 4.0.2.24 11.09.2006 no virus found
McAfee 4892 11.09.2006 no virus found
Microsoft 1.1609 11.09.2006 no virus found
NOD32v2 1860 11.09.2006 no virus found
Norman 5.80.02 11.09.2006 no virus found
Panda 9.0.0.4 11.09.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.116 11.09.2006 no virus found
UNA 1.83 11.09.2006 no virus found
VBA32 3.11.1 11.09.2006 no virus found
VirusBuster 4.3.15:9 11.09.2006 no virus found
Außerdem siehe hier: refiebar.dll - refiebar - Process Information



Wäre es eine Möglichkeit als Standard Boot Option "Letzte als funktionierend bekannte Windows Konfiguration" zu konfigurieren?? Hätte das negative Folgen?

Ich mein es ist schon irgendwie beschissen immer das zu booten, mir wäre es schon lieber den Fehler zu beheben nur wenn es keine andere Möglichkeit geben würde...

Achja und wegen dem Escan Programm, ist das hier das richtige was ich mal installieren und rennen lassen soll?

Download eScan Internet Security Suite Demo aus Antivirus


Danke,

MaTi


----EDIT:----

OHA ich hab mal bissel Google durchstöbert und hab das gefunden!

Norberts XP Ressource - Forum :: Thema anzeigen - lsass.exe- Systemfehler: System fährt nicht mehr hoch ?!

Wo gemeint wird dass ich den Sasser Virus hab.

Doch warum sagt dann kein Antiviren Scan was, kein Adaware, Spybot sagt nix, Hijackthis sagt nix, stinger sagt nix, secure task manager sagt nix da der prozess von system32 ausgeführt wird - da kann das doch nicht sein?

Da noch was: Forenübersicht - Computer fährt nicht mehr hoch , doch der ist schon Wahnsinns veraltet, und ich hab ja die neuesten Updates!


Ein Edit noch:

Ich habe sowohl schon gegoogelt aber immer antworten wie "Adaware" "Spybot" "Hijackthis" etc. Scan machen gelesen, doch das hab ich schon alles gemacht.

Sollte ich mir den passenden Sicherheitspatch von Microsoft für "Sasser" runterladen? Informationen zum Wurm Sasser und seinen Varianten , doch er wird damit beschrieben dass er automatisch herunterfährt nach dem einloggen und mein Problem sieht ja wieder anders aus....
__________________

Geändert von Skatermati (09.11.2006 um 21:52 Uhr)

Alt 13.11.2006, 21:50   #4
Skatermati
 
lsass.exe - Standard

lsass.exe



Sorry für den Doppelpost, aber ich will nur mitteilen dass sich das problem erübrigt hat.

Die Lösung siehe hier:

Windows XP - Probleme mit dem Tipp der Leistungsfokussierung


Nun bleibt nur noch das LSPFix ungeklärt, siehe voriger Post, Punkt 1

Antwort

Themen zu lsass.exe
adobe, avira, bho, bootvorgang, desktop, dll, einstellungen, ellung, explorer, format, frage, handel, hijack, hijackthis, hijackthis log, internet, internet explorer, log file, logfile, neustart, programm, programme, prozess, rundll, software, spielen, updates, windows, windows xp, wurm




Ähnliche Themen: lsass.exe


  1. Rechneraktivität lsass.exe
    Log-Analyse und Auswertung - 06.06.2010 (2)
  2. Problem mil lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 01.10.2008 (8)
  3. Isass.exe /lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 17.03.2008 (8)
  4. LSASS.exe Problem!!!
    Antiviren-, Firewall- und andere Schutzprogramme - 22.01.2008 (4)
  5. lsass.exe
    Mülltonne - 18.01.2008 (3)
  6. lsass.exe - Trojaner?
    Log-Analyse und Auswertung - 18.04.2007 (2)
  7. Poebot.C.268 in lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 10.04.2007 (14)
  8. Systemfehler lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (2)
  9. lsass.exe
    Alles rund um Windows - 06.10.2005 (2)
  10. NT-Autorität, lsass
    Log-Analyse und Auswertung - 21.08.2005 (29)
  11. LSASS exploit
    Plagegeister aller Art und deren Bekämpfung - 23.07.2005 (4)
  12. LSASS.Exe - Problem
    Plagegeister aller Art und deren Bekämpfung - 27.06.2005 (13)
  13. lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 20.01.2005 (1)
  14. lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 13.01.2005 (1)
  15. lsass.exe
    Log-Analyse und Auswertung - 31.08.2004 (1)
  16. Lsass.exe Sasser
    Plagegeister aller Art und deren Bekämpfung - 02.07.2004 (4)
  17. lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 17.06.2004 (3)

Zum Thema lsass.exe - Oh man ich bin am verzweifeln - so gut wie immer wenn ich das Notebook starte kommt nach dem WIN XP Bootvorgang vor dem Anmeldescreen sovort "lsass.exe - das Endpunktformat - lsass.exe...
Archiv
Du betrachtest: lsass.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.