Trojaner-Board - lsass.exe- HILFE.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - lsass.exe- HILFE. (https://www.trojaner-board.de/8772-lsass-exe-hilfe.html)

lsass.exe- HILFE.

:heulen: Hallo,
scheint als hätte ich mal wieder den lieben sasser :)
das problem ist, das alle repair-tools uns antivir immer nur bis zur lsass.exe datei scannen und dann der pc ausgeht (also, er geht ganz aus, fährt nicht runter, das kann ich mit shutdown -a aufhalten. der geht einfach aus). manuell finde ich die datei msblast nirgendwo bzw. wenn ich sie im suchprogramm suche, geht der rechner auch aus. kann mir jemand helfen???
vielen lieben dank.
jojo

Lade dir Hijackthis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier.

Logfile of HijackThis v1.98.2
Scan saved at 16:06:51, on 24.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\essspk.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Hewlett-Packard\HP Display Settings\hpdisply.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\HPONE-~1\OneTouch.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\HPConfig.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RadioSvr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\jojo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hewlett-packard.de/mobile/omnibook/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.99.25.254:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [HP Anzeigeeinstellungen] C:\Programme\Hewlett-Packard\HP Display Settings\hpdisply.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\HPONE-~1\OneTouch.EXE
O4 - HKLM\..\Run: [HPPresentationReady] C:\Programme\Hewlett-Packard\HP Presentation Ready\PresRdy.exe -r
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINDOWS\adapi.exe
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.hewlett-packard.de/mobile/omnibook/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098655648782

Hallo Jojolein,

Platform: Windows XP (WinNT 5.01.2600)/ MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com.

=====@=====

Folgende Prozesse sind unbekannt. Überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\essspk.exe
C:\WINDOWS\system32\RadioSvr.exe
C:\PROGRA~1\HPONE-~1\OneTouch.EXE
C:\WINDOWS\adapi.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

=====@=====

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe dann mit Hijack This:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

=====@=====

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf.

=====@=====

Erstelle ein neues Hijack This Logfile und poste es.

SD

hab alles gemacht wie beschrieben. habe die dateien überprüft und die email geschickt. die ersten drei dateien waren ok, die 4. auf meinem system komischerweise nicht bekannt/ konnte in "durchsuchen" nicht gefunden werden.

Logfile of HijackThis v1.98.2
Scan saved at 16:42:16, on 24.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\essspk.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Hewlett-Packard\HP Display Settings\hpdisply.exe
C:\WINDOWS\System32\HPConfig.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RadioSvr.exe
C:\PROGRA~1\HPONE-~1\OneTouch.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\jojo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hewlett-packard.de/mobile/omnibook/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.99.25.254:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [HP Anzeigeeinstellungen] C:\Programme\Hewlett-Packard\HP Display Settings\hpdisply.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\HPONE-~1\OneTouch.EXE
O4 - HKLM\..\Run: [HPPresentationReady] C:\Programme\Hewlett-Packard\HP Presentation Ready\PresRdy.exe -r
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINDOWS\adapi.exe
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hewlett-packard.de/mobile/omnibook/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098655648782

Zitat:

hab alles gemacht wie beschrieben.

Falsch, denn du hast keine einziges Update installiert. Wenn du dies nicht machst, dann ist diese Bereinigung als sinnlos anzusehen und nur von kurzer Dauer.

Zitat:

die 4. auf meinem system komischerweise nicht bekannt/ konnte in "durchsuchen" nicht gefunden werden.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" danach Löschen

beim updaten hat das fenster glaub ich gesagt: updates installiert, computer neu starten. das hab ich gemacht, aber ich machs gerade nochmal.
dann die adapi- datei löschen? ist das die mit dem virus?

Zitat:

updates installiert, computer neu starten. das hab ich gemacht, aber ich machs gerade nochmal.

Du hast dir nur den Installer installiert. Besuche nochmals diese Seite:
http://v5.windowsupdate.microsoft.co...r/default.aspx

Zitat:

dann die adapi- datei löschen? ist das die mit dem virus?

Ja, siehe http://us.mcafee.com/virusInfo/defau...virus_k=127670

windows hat jetzt gesagt: installation abgeschlossen. beim adapi.exe suchen ist der pc wieder ausgegangen und manuell find ich die irgendwie nicht. in welchen ordner ist die denn typischerweise???

Zitat:

windows hat jetzt gesagt: installation abgeschlossen.

In der kurzen Zeit kannst du unmöglich das SP2 runtergeladen und installiert haben.

Zitat:

beim adapi.exe suchen ist der pc wieder ausgegangen und manuell find ich die irgendwie nicht. in welchen ordner ist die denn typischerweise???

Du brauchst auch diese Datei nicht zu suchen, denn der PFAD ist bereits angegeben: C:\WINDOWS\adapi.exe

irgendwie ist das ein windows - fenster, in dem nach und nach alle datein (angeblich) installiert werden. der braucht pro päckchen ca 4 minuten und sagt dann direkt: insalliert. aber das ist es ja dann wohl nicht. ich schau mal und arbeite dran.
in windows hab ich nach adapi. exe schon geschaut und die datei nicht gefunden. deshalb hab ich noch mal gefragt, weil ich dachte, der ist dann vielleicht in einem unterordner?! also, in windows selber hab ich eine solche datei nicht.
bei "suche" nach adapi.exe geht der pc wie gehabt aus.
oh man, das ist echt ein bisschen kompliziert :)
aber vielen dank schon mal für deine hilfe.