mrbagoo
Goto Top

Lsass.exe setzt ungewollt registry key Werte

Hallo,
ich habe folgendes Problem unter WinXP SP3 mit der "lsass.exe":

Wenn ich unter Ordneroptionen das Häkchen bei "Erweiterungen bei bekannten Dateiypen ausblenden" wegnehme und auf OK klicke, werden die Erweiterungen kurze Zeit später wieder ausgeblendet und wenn ich wieder bei den Ordneroptionen nachschaue ist das Häkchen auch wieder gesetzt.
Ich bin durch Suche in diesem und anderen Foren auf das Tool "regmon" gestoßen um zu schauen was mit dem entsprechenden registry key Eintrag passiert und habe folgendes herrausgefunden:
Die "lsass.exe" setzt alle paar Sekunden den Wert von
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt" (welcher angibt ob die Dateierweiterungen ein- oder ausgeblendet werden) auf 1 also werden die Dateierweiterungen immer wieder verborgen.
Warum geschieht das?
Weiss einer wie ich das abstellen kann?
Kann das ein Virus sein? (eigentlich unwahrscheinlich, hatte das Betriebssystem frisch aufgespielt und auch sofort ein Antivirus Programm installiert und Windows geupdated)

Ich würde mich über jeden Hinweis der das Problem lösen könnte freuen, habe schon lange gesucht und nichts dazu gefunden.

Content-ID: 132005

Url: https://administrator.de/forum/lsass-exe-setzt-ungewollt-registry-key-werte-132005.html

Ausgedruckt am: 25.12.2024 um 19:12 Uhr

DerWoWusste
DerWoWusste 19.12.2009 um 19:50:06 Uhr
Goto Top
Welchen Pfad bewohnt denn die lsass.exe?
MrBagoo
MrBagoo 19.12.2009 um 20:01:57 Uhr
Goto Top
Hallo DerWoWusste,

ich hab mal danach gesucht und gleich mehrere lsass.exe gefunden:

C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1

Ich hoffe, dass es hilft.

edit: Es sei denn du hast den Pfad gemeint den mir regmon anzeigt. Das wäre dann c:\lsass.exe
komisch dass die bei der Suche dann nicht gefunden wurde, habe versteckte Elemente und Systemordner mit in die Suche einbezogen.
DerWoWusste
DerWoWusste 19.12.2009 um 20:11:04 Uhr
Goto Top
Das ist garantiert ein Virus. Lad c:\lsass.exe hoch bei virustotal.com
MrBagoo
MrBagoo 19.12.2009 um 20:33:42 Uhr
Goto Top
Ok, hab ich gemacht, ich scanne gerade mit avira und hoffe ihn so weg zu bekommen.
RiciTan
RiciTan 20.12.2009 um 00:28:50 Uhr
Goto Top
ich hatte auchmal ein virus der sich als lsass.exe getarnt hatte
der übertrug sich durch usbsticks
antiviren programme bringen rein garnix also wenn es der selbe is den ich hatte
auf meinem handy wa das fie auch drauf

ich hab mich gewundert wieso er auf meinem zweiten rechner nicht übersprang
aber kaspersky hatte es geblockt ( glück )

auf jeden fall habe ich mit dem System Explorer gesehn das isass.exe zweimal mitlief
einmal der normale prozess..... aber das zweite mal mit dem MSN symbol
das kahm mir spanisch vor
also hab ich den dateipfad zurückverfolgt bis in den ordner.... und hab den ganzen ordner geschreddert

dann war funkstille

ich hoffe dein virus is ähnlich und es hilft dir weiter

mfg >>RiciTan<<
MrBagoo
MrBagoo 20.12.2009 um 14:58:46 Uhr
Goto Top
Hallo,

so nachdem der scan von avira nichts gebracht hat, habe ich nochmal bei virustotal herumgestöbert und bin dabei auf Informationen gestoßen, welche registry Einträge dafür sorgen, dass dieser Prozess beim Systemstart mitstartet, da ich die Datei nicht einfach löschen konnte.
Nachdem ich in der Registry rumgepfuscht hatte, konnte ich zwar noch hoch fahren, aber direkt nach der Benutzeranmeldung wurde ich wieder abgemeldet. Ich kam also nicht mehr in Windows rein, hab auch unter anderem den abgesicherten Modus versucht, hat alles nichts gebracht.
Also nochmal formatiert und Windows neu drauf. Bis jetzt habe ich ihn noch nicht wieder, und will das auch wenn möglich verhindern. Avira bringt gegen diesen Virus scheinbar nichts, ich fühle mich diesem Virus derzeit etwas ausgeliefert, nach dem Motto: es ist nur eine Frage der Zeit bis ich ihn wieder habe. Werde jetzt aber mal ganz genau drauf achten, was ich mache und wie ich ihn mir einfange.
Danke auch für den Hinweis, dass er möglicherweise auf einem meiner USB sticks sein kann.

mfg MrBagoo
DerWoWusste
DerWoWusste 21.12.2009 um 00:03:29 Uhr
Goto Top
Du bist keinem Virus ausgeliefert.
Gut, dass Du neu installiert hast, dann hast Du einen gesicherten Stand. Jetzt alles updaten (Windows und Software), ein eingeschränktes Konto verwenden, evtl. noch Autostarts dicht machen (da gibt es ein Tool von der C'T, das heißt kafu.exe) und schon ist es zwar nicht idiotensicher, aber ausreichend, wenn man es nicht gerade darauf anlegt, ständig unbekannte Dateien runterzuladen und auszuführen.
Bei angepasstem Verhalten ist die Gefahr einer Infektion auch ohne Scanner äußerst gering.