Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Neustart durch Lsass.exe (https://www.trojaner-board.de/1638-neustart-lsass-exe.html)

cyberman 01.05.2004 17:08
Hallo,
habe WinXP und alle paar Minuten hatte ich nen Neustart durch Lsass.exe.
Habe meinen Rechner mit mehreren Virenscannern durchsuchen lassen und nix wurde gefunden.
Den ständigen Neustart habe ich vorerst mit shutdown -a stoppen können.
Ich poste hier mal mein Logfile mit hijack:

Logfile of HijackThis v1.97.7
Scan saved at 17:57:32, on 01.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
E:\Programme\ip@ctive\ip@ctive Client.exe
E:\Programme\Common Framework\UpdaterUI.exe
C:\WINDOWS\avserve2.exe
E:\Programme\Sophos SWEEP for NT\ICMON.EXE
E:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
E:\Programme\Common Framework\FrameworkService.exe
C:\WINDOWS\System32\SOSsrv.exe
e:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
e:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
E:\Programme\PFTPPRO\PFTPPRO.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Steganos Online Shield\sos.exe
E:\Programme\emule\emule.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
C:\WINDOWS\avserve2.exe
C:\WINDOWS\avserve2.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [DU Meter] F:\Programme\Trafficmesser\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DUControl] f:\PROGRA~1\dyndns\DUControl.exe
O4 - HKLM\..\Run: [KFWebServer] F:\Programme\dyndns\bin\kfwsmon.exe
O4 - HKLM\..\Run: [ip@ctive] E:\Programme\ip@ctive\ip@ctive Client.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "E:\Programme\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKCU\..\Run: [SOS] F:\Programme\Steganos Online Shield\sos.exe /s
O4 - HKCU\..\Run: [flat2serve Server] F:\Programme\flat2serv 2 Mein Server\F2SHSERV.EXE
O4 - Global Startup: InterCheck Monitor.LNK = E:\Programme\Sophos SWEEP for NT\ICMON.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7...ll/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF8444DD-787D-480A-9F8C-F59B03E32087}: NameServer = 194.97.173.125 194.97.3.83

Domino 01.05.2004 17:12
C:\WINDOWS\avserve2.exe
C:\WINDOWS\avserve2.exe


Schau mal hier :

http://www.trojaner-board.de/forum/u...c;f=6;t=005287

Domino

cyberman 01.05.2004 17:47
Thx für die schnelle Hilfe.
Hoffe ich schaffe das Ding zu vernichten!

Domino 01.05.2004 17:50
Klar, das schaffst du !

patchen nicht vergessen, sonst hast du ihn gleich wieder. ;)


Domino

cyberman 01.05.2004 19:28
Ich soll hier jemandem vom Board die Lsass.exe und avserve2.exe schicken. Hab ihm mal gefragt was er damit will, bevor ich mich auf sowas einlasse.

*Christian* 01.05.2004 20:19
Sperrt mich ein. :cool:

Zur avserve2.exe:
http://antivir.de/vireninfo/sasser.htm

cyberman 01.05.2004 20:21
Sorry wegen mein Misstrauen. Aber bevor ich an eine gefakte Adress was schicke und ich Ärger bekomme frag ich lieber mal :)
Kann man anhand des neuen Logfiles sagen ob ich das Ding los habe?

Logfile of HijackThis v1.97.7
Scan saved at 21:14:16, on 01.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
E:\Programme\ip@ctive\ip@ctive Client.exe
E:\Programme\Common Framework\UpdaterUI.exe
C:\WINDOWS\avserve2.exe
E:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
E:\Programme\Common Framework\FrameworkService.exe
C:\WINDOWS\System32\SOSsrv.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Steganos Online Shield\sos.exe
E:\Programme\emule\emule.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\PROGRA~1\McAfee.com\Agent\McDash.exe
c:\programme\mcafee.com\shared\mghtml.exe
c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [DU Meter] F:\Programme\Trafficmesser\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DUControl] f:\PROGRA~1\dyndns\DUControl.exe
O4 - HKLM\..\Run: [KFWebServer] F:\Programme\dyndns\bin\kfwsmon.exe
O4 - HKLM\..\Run: [ip@ctive] E:\Programme\ip@ctive\ip@ctive Client.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "E:\Programme\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [McRegWiz] c:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup
O4 - HKCU\..\Run: [SOS] F:\Programme\Steganos Online Shield\sos.exe /s
O4 - HKCU\..\Run: [flat2serve Server] F:\Programme\flat2serv 2 Mein Server\F2SHSERV.EXE
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\delus.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...108.4415046296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF8444DD-787D-480A-9F8C-F59B03E32087}: NameServer = 194.97.173.125 194.97.3.83

*Christian* 01.05.2004 20:24
Sieht so aus, als bist du Sasser los.
Hast du schon www.windowsupdate.com besucht?

cyberman 01.05.2004 20:35
Danke, hab über microsoft.de ein Windowsupdate
(ca. 15 mb) gemacht!
mfg

Lutz 01.05.2004 21:01
Moin,

</font><blockquote>Zitat:</font><hr />Original erstellt von cyberman:
Ich soll hier jemandem vom Board die Lsass.exe und avserve2.exe schicken. Hab ihm mal gefragt was er damit will, bevor ich mich auf sowas einlasse. </font>[/QUOTE] </font><blockquote>Zitat:</font><hr />Original erstellt von *Christian*:
Sperrt mich ein.
</font>[/QUOTE]aufgrund der Posts vermute ich mal, dass Christian via PM um Übersendung der Dateien gebeten hat!?!

@Christian,
warum machst Du das via PM und nicht offen im Thread? Ich denke, dass wäre sowohl Deiner Vertrauenswürdigkeit, als letztendlich auch der des Boards, nicht abträglich (vorsichtig formuliert)... :confused:

Gruß,
Lutz

*Christian* 02.05.2004 13:21
Lutz, man kennt mich hier doch schon lange.
Ich möchte nicht, dass mein Postfach voller Spam überquillt, darum schreibe ich meine Mail-Addy nicht in jedes Post.

[Raven] 02.05.2004 13:32
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe</font>[/QUOTE]Öhm.... also so wirklich los ist er den nicht....

MyThinkTank 02.05.2004 13:40
</font><blockquote>Zitat:</font><hr />Original erstellt von [Raven]:
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe</font>[/QUOTE]Öhm.... also so wirklich los ist er den nicht.... </font>[/QUOTE]*schadenfreudemodus an*

:D :D :D [img]graemlins/teufel3.gif[/img]

*schadenfreudemodus aus*

Sorry, konnt' ich mir nicht verkneifen.
Hier gibt's ne Anleitung zum Sasser-Problem: http://sasser.klaffke.de/

Gruß!
MyThinkTank

*Christian* 02.05.2004 13:41
Ich seh nirgends eine ...._up.exe-Datei :confused:

mav1976 02.05.2004 13:46
hi *christian*,

die siehst du auch nicht, weil diese nicht mitgestartet wird. ;) sie sind nur die leibwächter des "sasser.a" und "sasser.b". :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:31 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131