Lsass.exe

Internet Internet Sicherheit
#1

Hallo!
Wenn ich online bin stockt nach einer bestimmten Zeit das System. Svchost.exe ist öfter geöffnet (soweit normal). Doch eine Einheit hat fast 100% CPU Leistung. Schließt man sie (Task beenden), so fährt der PC nach ein paar Sekunden herunter -> Sasser-Virus typisch. Was man aber bekanntlich durch shutdown.exe -a verhindern kann. Auch Sasser typisch
Doch kein Programm erkennt den Virus (hab alle handelsüblichen durchgetestet…selbst mit dem MS Entfernungstool und dem von Symantec).
Es muss also ein anderer sein…

Und was mich schon stutzig macht, dass alle anderen Exe-Dateien im windows\system32 ordner eine deutsche Info (Eigenschaften) haben und die lsass.exe eine englische.

Wer kann mir helfen?

#2

Hallo,
Prüfe mal wo die lsass.exe sitzt. Wenn es nicht in „C:\Windows\System32“ sitzt, hast du Dir was eingefanegn.
Und…
…schaust Du hier: http://frankn.com/html/lsass_exe.html

gruss
Carsten

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#3

Doch da ist sie. Aber es ist normal, dass die Info englisch ist.

#4

Wenn ich online bin stockt nach einer bestimmten Zeit das
System. Svchost.exe ist öfter geöffnet (soweit normal). Doch
eine Einheit hat fast 100% CPU Leistung. Schließt man sie
(Task beenden), so fährt der PC nach ein paar Sekunden
herunter -> Sasser-Virus typisch. Was man aber bekanntlich
durch shutdown.exe -a verhindern kann. Auch Sasser typisch

Was ist unter „eine Einheit“ zu verstehen? Ein Prozess? Wenn du den LSASS-Prozess beendest, wird selbstverständlich das gleiche passieren, wie wenn der Sasser diesen Prozess beendet. Wie man daraus den Rückschluss ziehen kann, dass das System infiziert sei, ist mir schleierhaft.

Doch kein Programm erkennt den Virus (hab alle handelsüblichen
durchgetestet…selbst mit dem MS Entfernungstool und dem von
Symantec).

Angenommen, dein System sei tatsächlich infiziert - wie kommst du dann auf die absurde Idee, du könntest mit Hilfe irgendwelche Programme, die auf diesem kompromittierten System laufen, sinnvolle Rückschlüsse auf den Infektionsstatus deines Systems ziehen? Wenn du ernsthaft testen willst, dann boote deinen PC z. B. mit Knoppix und führe dann von dort aus eine Analyse durch.

Und was mich schon stutzig macht, dass alle anderen
Exe-Dateien im windows\system32 ordner eine deutsche Info
(Eigenschaften) haben und die lsass.exe eine englische.

Welches Betriebssystem, Sprachversion, welcher SP-Stand? Versionskennung der Datei? Dateigrösse, Erstellungsdatum?

Gruss
Schorsch

#5

Leerlaufprozeß
Hallo,

Svchost.exe ist öfter geöffnet (soweit normal). Doch
eine Einheit hat fast 100% CPU Leistung.

Du meinst mutmaßlich den Leerlaufprozeß. Die Prozentzahl dahinter zeigt nicht den Verbrauch der Systemressourcen, sondern wieviel im Augenblick nicht benötigt wird, d.h. im Leerlauf befindlich ist.

Gruß,
Christian

#6

Huhu!
Danke für deine Ausführungen.
Wo bekomme ich Knoppix und was ist das?
Habe jetzt eine Firewall drauf, seitdem läuft das System wieder.
Übrigens eine Einheit von svchost.exe hat fast 100%. Eine Einheit deswegen, weil svchost.exe mehrfach im Hintergrund läuft. Was ja auch normal ist…

#7

Wo bekomme ich Knoppix und was ist das?

Die einfachste Methode ist der Einsatz von Knoppicillin (http://www.heise-medien.de/presseinfo.php/ct,05,10_2… sowie http://www.heise.de/security/news/meldung/65540), einer von der c’t-Redaktion speziell für solche Zwecke herausgegebenen angepassten Knoppix-CD. Da diese CD kommerzielle Anwendungen integriert, steht ihr Image leider nicht zum freien Download zur Verfügung. Wenn du in deiner Umgebung keinen regelmässigen c’t-Leser kennst, kannst du das in den Links angegebene Heft aber auch beim Heise-Verlag nachbestellen. Dort findest du dann auch alle weiteren notwendigen Erläuterungen.

HTH
Schorsch