Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   lsass fährt rechner runter (https://www.trojaner-board.de/7256-lsass-faehrt-rechner-runter.html)

Ingo 01.09.2004 15:22
lsass fährt rechner runter
 
Hallo,

ich habe ein großes Problem. Bei einem Kunden haben wir ein Netzwerk mit Win2000 und WinXP Clients und einem Win2000 Server. Es kommt immer wieder vor, dass ein Win2000 Rechner unerwartet heruntergefahren wird.

Meldung:
Der Systemprozess "C:\Windows\System32\lsass.exe" wurde unerwartet mit dem Statuscode -1073741819 beendet. Das System wird heruntergefahren und neu gestartet.

Das passiert grob gesagt jeden Tag auf einem anderen Rechner. Ich habe die betroffenen Rechner schon mit allen möglichen Tools überprüft: Fix-Tools von Symantec, AdAware, SWSchredder, McAfee Stinger, McAfee Virus Scan.
Auf Sasser habe ich alle Rechner im Netz überprüft (incl. Server). Kein Tool hat etwas gefunden.

Was kann das noch sein?? :confused:

Gruß
Ingo

Nichtznuts 01.09.2004 17:40
@Ingo

lass mal Filemon auf den Rechnern mitlaufen über das Log kannst du dann sehen welches File die lsass angesprochen hat.

cu Nichtznuts

Snake26 10.09.2004 00:25
Erstmal ist lsass.exe eine Systemdatei.
Bei einer lssas.exe [/SIZE] siehts jedoch schon wieder anders aus.

Der lokale Sicherheitsdienst lsass.exe (Local Security Authority Subsystem) steuert die Richtlinien für User. Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.


Sieg über W32.MSBlaster C – Wurm
"lssas.exe"

Neustart, F8 und nach Vorgabe in den abgesicherten Modus mit Eingabeaufforderung.
Dann in den Administrator. Das funktionierte.
Und nun die DOS-Befehle (hier gibt es keine Maus zum Klicken).

Erst mal mit cd.. solange bis nur noch C:\ da steht
und dann gings los:
C:\cd windows
C:\windows>cd system32
C:\windows>system32>dir (für Direktory, um den genauen File-Namen zu haben)
C:\windows>system32>del lssas.exe [return]
C:\windows>system32>dir (zur Kontrolle) und weg war er.

Ich hatte ihn Getötet! Die Moral: Es ist nie was zu alt, dass es doch noch zu was nützt.

Ich hoffe ich konnt dir helfen!Bitte schreib, ob es gewirkt hat!

willi go! 23.11.2004 23:09
Hallo, habe es versucht, genau wie beschrieb, erhalte aber keiinen Zugriff die Datei zu löschen. Liegt übrigens ein Schreibfehler vor ? oben im Text schreibst Du noch lsass.exe und weiter unten nur noch lssas.exe. Die gibt es bei mir garnicht. Mfg willi go! :confused:

Shadowdance 23.11.2004 23:33
@ willi go!

bitte genau lesen. Das eine ist eine System-Datei, das andere ein Wurm.
Du kannst Die beiden Dateien hier eingeben, dann siehst Du was was ist. Schreibweise beachten: Free Process Information

SD

charlie1 23.11.2004 23:49
Falls es Blaster ist, den neusten Stinger drüber und gut ist es!
LG, Charlie

Für die „Nichtmausschubser“, dass mit DOS geht auch ganz gut, habe es gerade getestet!? :teufel3:

@ Snake26, warum so umständlich ins DOS zu kommen? einfach Ausführung/cmd und enter!

Chris14 06.01.2005 17:50
@charlie1 das ist nur command, das kann man net als dos-modus ansehen sondern als virutelles dos..


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131