lsass.exe

  • mein computer stuerzt dauernd ab, aber nur wenn ich eine verbindung herstelle, und sagt irgenetwas von Shell und lsass.exe...

    habe halt die firewall aktiviert...ist jemand noch infiziert worden? wie kriegt man den dreck jetzt weg?:confused::confused::mad:

    "Die Zukunft ist jetzt"

    J. Krischnamurti

  • You've got Sasser :)

    Nein, natürlich nicht betroffen, hatte aber das Vergnügen ihn bei einigen Kollegen zu killen ;)

    Mit gut konfigurierter Firewall und oder gepatchtem Windows hat er keine Chance.
    -> Sorry to tell you, aber Du hast offenichtlich eine sch***. ..lecht konfigurierte dh nutzlose FW.

    Kill procedure:
    am besten:

    Den Virus Registry Eintrag entfernen

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run


    "avserve.exe"= %WINDOWS%\avserve2.exe


    Dannach mit irgendeinem removal tool ganz entfernen.
    (Gibts von jedem AV Hersteller)

    Und natürlcih auch die aktuellen Windows Patches einspie
    len.

    Ist eine Timing Sache, aber für den Registry Eintrag reicht die Zeit, beim nächsten Start ist er nicht mehr aktiv.

    Normalerweise reicht die Zeit bis zum restart NICHT aus, um die removal tools zu starten.

    Notfalls tuts ein Start im abgicherten Modus auch.

    Viel Spaß ...

    Mfg, LB


    Trading for a living [equities,futures,forex]


  • da der prozess durch den registry-eintrag mit den rechten des aktiven benutzerkontos (und nicht 'system') ausgeführt wird, kann man ihn im task-manager beenden.. dann muss man sich nicht so beeilen und kann in ruhe alles entfernen... auch prozesse, die unter HKLM eingetragen sind, kann man normalerweise beenden...

    lg michi

  • Michi: Jo, auf diese Idee bin ich eigentlich auch gekommen, steht überall, daß man das als erstes versuchen soll.

    Den Virus-Task konnte ich aber nirgends beenden.
    Vielleicht eine neue Variante :devil:

    Ist auf jeden Fall ein guter Hinweis, falls das bei jemanden funktionieren sollte.


    Trading for a living [equities,futures,forex]

  • Zitat von Filz

    keine Ahnung genau, aber ist das nicht wieder so ein 1-Minuten-Countdown-Shutdown, den man mit
    shutdown -a
    abbrechen kann?

    nein, das ist der blaster :D

    aber wer wie ich die neuesten patches hat, kennt diese ganzen wurmviecher nur aus schauermärchen :) die lücke, die der 'sasser' ausnützt, ist ja eigentlich schon vor ca. 2 monaten geschlossen worden..

    lg michi

  • Zitat von Lord Binary

    Michi: Jo, auf diese Idee bin ich eigentlich auch gekommen, steht überall, daß man das als erstes versuchen soll.

    Den Virus-Task konnte ich aber nirgends beenden.
    Vielleicht eine neue Variante :devil:

    Ist auf jeden Fall ein guter Hinweis, falls das bei jemanden funktionieren sollte.


    hast du administrator-rechte? so hartnäckig sind normalerweise nur prozesse, die mit der berechtigung 'system' laufen. wüsste gerne wie die das gemacht haben..

    lg michi

  • @Tschebel:
    Noe, das wär zu einfach/langweilig.
    Da Ding braucht i.A viel länger zum scannen/removen als der reboot Countdown :D
    Obendrein ist Sasser sehr CPU intensiv.
    Sobald Sasser nicht mehr aktiv ist / und oder die Lücken im OS geschlossen sind, sollte/kann man die verwenden um ihn *vollständig* zu beseitigen.

    Michi: Ja, Admin-Rechte hatte ich.
    Den Patch für die lsass-vulnerability gibts erst seit 13.4, also eher 2 wochen, nicht 2 Monate. Wie lange MS schon davon weiß, ist eine andere Sache ;)


    Trading for a living [equities,futures,forex]

  • Es ist ja eine Tatsache, dass Microsoft nicht immer genau sagt, welche (unbekannten) Loecher die Sicherheits-updates stopfen.
    Es gibt dann Leute, die die Patches per reverse engineering untersuchen und dann mit dem Wissen Wuermer basteln.

    MfG Peter

  • Zitat


    Michi: Ja, Admin-Rechte hatte ich.
    Den Patch für die lsass-vulnerability gibts erst seit 13.4, also eher 2 wochen, nicht 2 Monate. Wie lange MS schon davon weiß, ist eine andere Sache ;)

    verzeiht.. hatte vergessen, dass ich die letzten patches ja erst vorige woche eingespielt habe..

    das mit dem reverse-engineering ist ja auch die beste methode. wenn man nur an die ganzen raubkopierten windows-versionen denkt, die können ja ohne extra-aufwand gar keine patches installieren.. und die meisten die ich kenne, ignorieren diese windows-update-sprechblase.. dh monate nach erscheinen des patches haben die meisten pcs noch immer keinen schutz...

    lg michi

  • Zitat

    " Den Virus Registry Eintrag entfernen

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run


     "avserve.exe"= %WINDOWS%\avserve2.exe "



    Habe ich versucht...ist aber kein Virus Registry Eintrag namens avserve.exe da zum loeschen...

    habe auch alle Anti-Virus Programme (Symantec FxSasser.exe..) benuetzt, hat aber keinen Virus gefunden...

    was komisch ist ist das jedoch noch immer lsass.exe auf meinem Task-Manager drauf steht...

    aber nachdem ich die firewall eingeschaltet habe, und das System-Restore ausgeschaltet habe, scheint es mir als ob der Wurm kein schaden mehr anrichtet...

    naja...danke euch jedenfalls!!!

    "Die Zukunft ist jetzt"

    J. Krischnamurti

  • Zitat von VanBasten

    was komisch ist ist das jedoch noch immer lsass.exe auf meinem Task-Manager drauf steht...

    Das ist gar nicht sonderbar; lsass.exe ist ein legitimer Windows-Task, der mit den Sicherheitsrichtlinien für User zu tun hat. Der Wurm Sasser nützt nur eine Sicherheitslücke in dem Dienst aus.

  • so - jetzt bin ich ganz verwirrt ...

    ich hab meinen computer ein bisserl aufgeräumt (wie in planetopia-online vorgeschlagen) mit löschung der temporären daten und aufräumen der registry.

    ich hab auch vorher mein system überprüfen lassen, ob ich den sasser hab und das war nicht der fall :)

    seit ich aber "aufgeräumt" hab, will lsass.exe immer aufs internet zugreifen und meine firewall fragt mich immer brav, ob ich das zulassen will.

    darf LSASS.exe aufs internet zugreifen oder nicht?

    danke!
    greetz
    ulli
    ps: betriebssystem: windows xp professional sp1

    Legenden sterben nicht im Bett.
    Es gibt immer was zu tun.

  • Haha das hat man wohl davon, wenn man bei technischen Fragen auf ein Wissenschaftsmagazin von SAT1 vertraut. Hoffentlich machst das später im Beruf nicht noch immer. Ich seh vor mir das verdutzte Gesicht eines Administrators, der gerade sein ganzes System kaputtkonfiguriert hat: "Aber SAT1 hat doch gesagt ..." :devil:

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!