PC HILFE FORUM - User helfen Usern » Software (auch Viren) » Virus - Trojaner - und Hoax - Board » LSASS - mal wieder

LSASS - mal wieder

gruenkaeppchen
Hallo,

mir hat soeben ZoneAlarm angezeigt, das LSASS.exe als Server agieren möchte und kürzlich (vor 3 Tagen) geändert wurde. Habe dann mal bei Google geschaut, was LSASS ist und bei euch war ich auch schon, aber schlauer bin ich immer noch nicht. LSASS.exe befindet sich in den Ordnern c:\windows\system32, c:\windows\ $NTServicepackUninstall$ und c:\windows\ServicePackFiles\386. Dann habe ich aber noch eine weitere Datei gefunden, die LSASS im Namen hat, nämlich
LSASS.exe-20DB6D1B.pf
Die befindet sich im Ordner c:\windows\prefetch. Und bislang habe ich keinen Hinweis gefunden, ob das so sein soll, oder nicht.

Mein System läuft bisher stabil, nix zickt rum oder so, aber ich wüsste trotzdem gerne, ob das alles so seine Ordnung hat. Weiß leider nicht, ob Rechner teilweise auch längere Inkubationszeiten haben.

Danke im Voruas für eure Hilfe
Grünkäppchen
Zz|Sorrow
So auf Distanz lässt sich sowas auch nur schwer sagen. Am besten machst du einen Scan mit Hijackthis (DL-Link). Das komplette Logfile kannst du dann hier reinkopieren und analysieren lassen. Ansonsten kannst du es auch nochmal hier posten, wenn dein System wirklich kompromitiert sein sollte und du gerne wissen möchtest, was du jetzt am ebsten machen kannst.
gruenkaeppchen
So, den Scan habe ich ausgeführt. Leider bringt mich auch der nur begrenzt weiter: Da sind ein paar Dateien mit einem x oder einem ? versehen, von denen ich nicht einschätzen kann, was sie machen und ob ich sie brauche. Drum bin ich so frei und hänge das Logfile mal an, vielleicht kannst Du da mehr mit anfangen (was heißt vielleicht - kannst Du sicher :-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:38, on 22.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\citronixx\GYM-O-FIZZ\gof.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /waitstart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 4\transtask.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GYM-O-FIZZ.lnk = C:\Programme\citronixx\GYM-O-FIZZ\gof.exe
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8428C38C-9AA4-4D5A-A923-2CA0F8160F17}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 6092 bytes
Zz|Sorrow
Hallo gruenkaeppchen,

also ich kann keine wirklichen Bedrohungen im Logfile ausmachen. Die markierten Beiträge würde ich als nicht sicherheitsbedrohlich einstufen. Also solltest du am besten einfach ein bisschen ein Auge auf dein System haben, und sofern man nicht jeden Mailanhang den man egeschickt bekommt aufmacht oder aus unsericheren Quellen aus dem Internet läd ist man ansich schon auf einer relaiv sicheren Seite. Wenn du noch immer einen aktuellen Virenschutz drauf hast sollte dir nicht allzuviel passieren. Einfach Kopf einschalten Augenzwinkern

lg
Sorrow
gruenkaeppchen
Hallo Sorrow,

danke für die Hilfe und die Entwarnung. Da ich unbekannte Mails und Anhänge eh nicht aufmache, hoffe ich mal, dass da jetzt wirklich alles ok ist. Und dass meine Firewall, mein Virenscanner und Spybot so gut wie immer auf dem neuesten Stand sind, sollte ja selbstverständlich sein.

Gruß und :-*
Grünkäppchen
Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH