LSASS.EXE - Wurm/Trojaner oder nicht?

Hi,

ich bin jetzt völlig irritiert:

ich hab im Taskmanager einen Prozess lsass.exe und im Windows32-Ordner liegt diese Datei lsass.exe.

Ist das jetzt „der Sasser-Wurm“ oder eine Windows eigene Datei?

Wenn ich auf diese exe doppelklicke kommt ein Fensterchen, dass das System in so und soviel Sek. runtergefahren wird.

Vor „Panik“ hab ich dann gleich den Strom gekappt …

Das Arbeiten geht aber am Rechner normal vonstatten. Das Removal-Tool von Symantec bzgl. des Sasser-Wurms (in Versin 1.0.4 - also für alle Sasser-Varianten) findet nichts, die aktuellen Virenupdates finden bei einem kompletten Rechnercheck auch nichts.

Heißt das jetzt, dass die lsass.exe-Datei auf meinem Windows 2000 „normal“ ist und nichts mit dem Wurm zu tun hat?

Den Microsoft Patch aus der Bulletin 04 11, glaub ich, hieß sie … hab ich mir geladen.

Kann mir jemand erklären, was es mit der lsass.exe nun auf meinem Rechner auf sich hat?

Unter dem normalen Arbeiten merk ich nichts, System ist stabil, fährt auch nicht selbsttätig runter oder so - mir ist eben nur im Taskmanager mal dieser Prozess lsass.exe aufgefallen und hat mich stutzig gemacht wegen der „Namensgleichheit“.

Danke im voraus.
Chris

ich hab im Taskmanager einen Prozess lsass.exe und im
Windows32-Ordner liegt diese Datei lsass.exe.

Wenn du den system32-Ordner meinst, ist das okay. Der Dateiname sollte in diesem Ordner allerdings grossgeschrieben sein (LSASS.EXE).

Ist das jetzt „der Sasser-Wurm“ oder eine Windows eigene
Datei?

Ist üblicherweise eine Windows Datei, sie könnte aber infiziert sein.

Wenn ich auf diese exe doppelklicke kommt ein Fensterchen,
dass das System in so und soviel Sek. runtergefahren wird.

Das darf unter w2k eigentlich nicht passieren. Mach mal rechte Maustaste-> Eigenschaften drauf, die aktuelle Version sollte folgende Merkmale aufweisen:

• Grösse 39.184 Bytes
• Version->Dateiversion 5.0.2195.6902
• Version->Beschreibung LSA-Exe und Server-DLL

Die md5-Checksumme (digitaler Fingerabdruck) gibt letzte Sicherheit, für die LSASS.EXE lautet sie cde60a41f00229166dfeca90f4c41c4f
Um die md5-Summe zu berechnen, benötigst du ein entspr. Programm, z. B. winmd5sum http://winmd5sum.solidblue.ca/ oder md5sum http://www.etree.org/md5com.html

Wenn du andere Werte hast, hat einer von uns beiden einen Virus oder eine nicht aktuelle Version.

Unter dem normalen Arbeiten merk ich nichts, System ist
stabil, fährt auch nicht selbsttätig runter oder so - mir ist
eben nur im Taskmanager mal dieser Prozess lsass.exe
aufgefallen und hat mich stutzig gemacht wegen der
„Namensgleichheit“.

Der Prozess muss laufen, da alle Authentifizierungsoperationen darauf aufbauen.

Gruss
Schorsch

Die Idee mit der md5-Checksumme habe ich ausprobiert und prompt einen groben Unterschied gesehen. Ich hatte das gleiche Problem, vermutlich auch eine Sassa-Abkömmling. Da ich mit einem getrennten Internetrechner arbeite habe ich kurzerhand die lsass.exe von meinem „Arbeitsrechner“ kopiert auf dem Internetrechner überschrieben. Seit dem scheint das Problem gelöst zu sein. Der Rechner läuft stabil. (Diese md5-Nr. weicht nur wenig von der angegebenen ab, die Version ist von 1999.)

Alles Gute
Andaron

Ähhmmm…

gelöst zu sein. Der Rechner läuft stabil. (Diese md5-Nr.
weicht nur wenig von der angegebenen ab, die Version ist von
1999.)

Die md5-Checksumme gibt keine Ähnlichkeiten an, sondern nur Gleichheit. Um eine Datei erfolgreich zu prüfen, muss die Checksumme bis aufs letzte Bit übereinstimmen. Wenn du Abweichungen hast, haben wir offenbar verschiedene Versionen - was nichts heissen muss: ich habe mich ausschliesslich auf Windows 2000 bezogen, wenn du XP fährst, sind die Ergebnisse nicht übertragbar.

Wenn deine LSASS.EXE tatsächlich von 1999 stammte, wäre das hingegen durchaus ein bedenkliches Zeichen, ich nehme aber an, du meinst das in den Versionsinformationen angegebene Copyrightdatum?

Gruss
Schorsch