Trojaner-Board - Trojaner (?) im Autostart!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner (?) im Autostart!! (https://www.trojaner-board.de/29706-trojaner-autostart.html)

Hallo Lizzy,
Crashkurs Teil 2.
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
Das die Datei da ist zeigt dein HJT-Log,da sind wir uns einig ?
Da du nun alle Dateien anzeigen läßt,tust du doch noch,oder ?
Dann gehen wir mal den alten Weg....
Das ist was wir suchen : C:\WINDOWS\lsasss.exe
Also machst du :Start>Arbeitsplatz,nun solltest du sehen : Lokaler Datenträger C
draufklicken
nun erscheinen jede Menge Ordner...
du suchst dir den :WINDOWS
draufklicken
wieder jede Menge Ordner....
nun gehts los....fahnde nach der :Isasss.exe
pass aber auf,es gibt Dateien die heißen so ähnlich.Du willst nur die mit den drei "s" haben !
Nun Sherlock Lizzy,hast du sie ?
Irrlicht

Hallo Lizzy,
Liebes Irrlicht,

Crashkurs Teil 2.
Vielen Dank die 2te ...
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe

Das die Datei da ist zeigt dein HJT-Log,da sind wir uns einig ?
Dass die Datei wohl oder übel uneingeladen bei mir wohnt ist der Grund, dass ich hier überhaupt bin, wir sind uns also einig.

Da du nun alle Dateien anzeigen läßt,tust du doch noch,oder ?
Ja, ich lasse mir alle Dateien anzeigen (hab schon was gelernt :D )

Dann gehen wir mal den alten Weg....
Das ist was wir suchen : C:\WINDOWS\lsasss.exe
Also machst du :Start>Arbeitsplatz,nun solltest du sehen : Lokaler Datenträger C
draufklicken
nun erscheinen jede Menge Ordner...
du suchst dir den :WINDOWS
draufklicken
wieder jede Menge Ordner....
nun gehts los....fahnde nach der :Isasss.exe
Das ist der Weg, den ich ausprobiert habe, lange bevor ich angefangen habe, den PC selbst suchen zu lassen. Und genau da ist ja des Pudels Kern: ich lasse mir anzeigen was nur geht und lese alles durch (und lesen kann ich ...), aber: kein lsasss.exe. Schade.
Wat nun?

pass aber auf,es gibt Dateien die heißen so ähnlich.Du willst nur die mit den drei "s" haben !
(Leider oder zum Glück gibt es nicht mal so ähnliche Dateien bei mir ... sonst hätt ich vielleicht schonmal Hoffnung geschöpft sie gefunden zu haben ;) )

Liebe (und für jede weitere Hilfe dankbare) Grüße,
Sherlock Lizzy

Zitat:

C:\WINDOWS\lsasss.exe
C:\WINDOWS\wuyieop.EXE
C:\WINDOWS\system32\fbayjp.exe
C:\WINDOWS\system32\pshwr.exe
C:\WINDOWS\system32\irssyncd.exe
C:\WINDOWS\system32\fbayjp.exe

Sieht verdächtig nach Netzwerkwürmern aus. Die kommen fast immer mit einer Backdoorfunktion daher. Du hast nicht zufällig das SP2 erst nach dem Herstellen der ersten Internetverbindung installiert oder?

kurz einmisch:

Zitat:

- HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
Das die Datei da ist zeigt dein HJT-Log,da sind wir uns einig ?

Nein!
Das HJT-Logfile zeigt an, daß ein Registry-Eintrag mit einer bestimmten Datei besteht. D.h. aber nicht, daß die Datei noch existiert. Nur wenn sie im Autostart auftaucht, ist sie 100%ig "anwesend".

dartus

Zitat:

Zitat von cosinus

Ähm, den Windows Service Pack 2? Doch, den hab ich tatsächlich erst nach der ersten Internetverbindung installiert. :o
Hilft da nur noch formatieren??

Zitat:

Zitat von Lizzy

Ähm, den Windows Service Pack 2? Doch, den hab ich tatsächlich erst nach der ersten Internetverbindung installiert. :o
Hilft da nur noch formatieren??

Ja! Das SP2 sollte vor der ersten Internetverbindung installiert sein.
Bei einem unabgesicherten Rechner (Stichwort: Dienstekonfig) und fehlendem SP2 (bzw. RPC-/LSASS-Patch) wird der Rechner innerhalb kürzester Zeit von Netzwerkwürmern befallen. Dann hilft nur noch formatieren und neu aufsetzen.