gringo86
Goto Top

lsass.exe Problem

Hallo,

ich habe Probleme mit der lsass.exe

Ein User hatte in der Firma die lsass.exe 2 mal vorhanden (einmal im System32 Ordner und einmal im Dokumente und EInstellungen/%username% Ordner)
Ich habe einige Forn durchstöbert und habe dann rausgefunden dass sich bei der letzteren um einen Trojaner handelt.
Habe dann mit HijackThis den Prozess geblockt und neugestartet da man ihn nicht einfach so entfernen konnte da dieser als Systemdienst erkannt wurde.
Nach anschließendem Neustart konnte ich dann auch die lsass.exe im Dokumente Ordner löschen.

Nun das Problem:

Habe vorhin gerade eine Mail des Users bekommen dass dieser folgende Fehlermeldungen bekommt.

182d95d0f288fa1791357f609901dbc6-untitled

63b20b4423721d2e6d9346acf8499648-untitled2

An was kann das liegen ?

Danke im vorraus

Mit freundlichen Grüßen
Michael Hartmann

Content-ID: 96430

Url: https://administrator.de/contentid/96430

Ausgedruckt am: 05.11.2024 um 17:11 Uhr

SlainteMhath
SlainteMhath 09.09.2008 um 10:03:59 Uhr
Goto Top
Moin,

tu Dir einfach selber einen Gefallen: Formatier die Kiste und installiere neu, das ersparrt dir tagelanges Suchen und weiteren Ärger.

lg,
Slainte
Gringo86
Gringo86 09.09.2008 um 10:13:45 Uhr
Goto Top
Hallo,

formatieren ist keine gute Lösung. Auf dem Rechner liegt viel zuviel Zeugs.
Das letzte Image ist auch schon ein paar Monate her. :/

lg, Gringo
Rafiki
Rafiki 09.09.2008 um 10:17:32 Uhr
Goto Top
Ich würde auch Formatieren, denn nur so ist sichergestellt das keine versteckten Hintertürchen zurückbleiben wenn du glaubst den Trojaner entfernt zuhaben.

Nur so zum lernen, probier doch mal die Sicherheitseinstellungen wieder auf default zu setzten.

How to reset security settings back to the defaults
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose.
support.microsoft.com/kb/313222

Gruß Rafiki
SlainteMhath
SlainteMhath 09.09.2008 um 10:23:34 Uhr
Goto Top
Auf dem Rechner liegt viel zuviel Zeugs
Tja, leider war kein AV Programm mit aktuellen Signaturen und/oder Anti Spyware dabei.

Die Daten/Dokumente/was auch immer kannst Du ja vorher sichern. Die Erfahrung hat halt gezeigt, das sichern + neu machen der schnellste und zuverlässigste Weg bei verseuchten Rechner ist.

lg,
Slainte
Gringo86
Gringo86 09.09.2008 um 10:56:49 Uhr
Goto Top
Ich habe Adaware, Antivir, S&D drüberlaufen lassen... alles mit den aktuellsten Signaturen, leider ohne Erfolg.Gibt es keine Möglichkeit die lsass.exe irgendwie wiederherzustellen/reparieren ?

lg, Gringo
x3n0n-pc
x3n0n-pc 22.09.2008 um 08:35:02 Uhr
Goto Top
Klar, wenn die lsass.exe beschädigt ist, geht das über die Wiederherstellungskonsole von Windows.

Allerdings "stinkt" das für mich nicht nach einem Trojaner aus dem Baukasten, da ich mich selbst mal damit beschäftigt habe.

Du solltest wirklich einfach alle Dateien die benötigt werden sichern, und dann Formatieren.

Wenn es wirklich ein Trojaner war, dann sind die übrigen Dateien in der Regel nicht infiziert und kannst gefahrlos ein Image davon ziehen.

Falls du die Trojaner lsass.exe noch hast, lade sie mal bitte auf Virustotal hoch, Vllt. kann ich oder jemand anderes dir aufgrund der Ergebnisse weiterhelfen.

mfg, Daniel


(Mir ist zwar aufgefallen das der Thread recht alt ist, aber vllt. nützt ja noch beim nächsten Mal) :x
Gringo86
Gringo86 17.11.2008 um 10:19:17 Uhr
Goto Top
Danke für eure Hilfe.

Ich habe ein Image gemacht, dann die wiederherstellungskonsole drüberlaufenlassen und es funktioniert wieder alles.

Merci,

lg Gringo