DEUTSCHE VERSION |
|
Links | | | Forums | | | Comments | | | Report news |
Chat | | | Polls | | | Newsticker | | | Archive |
amiga-news.de Forum > Andere Systeme > Böses Lsass.exe | [ - Search - New posts - Register - Login - ] |
-1- 2 | [ - Post reply - ] |
2004-05-06, 16:30 h Cj-Stroker Posts: 1343 User |
Hallo Zusammen, Heute morgen hatte ich mal wieder ein Abenteuer der besonderen Art. Als ich mal kurz meine Firewall deaktivierte (wil ich mal Banner sehen wollte), ratterte kurz meine Festplatte und plötzlich erschien ein requester mit der Meldung: in xx Sekunden wird der Rechner heruntergefahren. Da ich ja schon vom neuen Virus gehört/gelesen habe, war mir sofort klar, was da los war. Als ich den Rechner wieder einschaltete bootete er nicht mehr. Ich schaffte es dann schließlich noch 1 mal in den abgesicherten Modus. Da in dem Requester auch noch der Name der Datei drin vorkam, wußte ich wo ich zu suchen hatte. Das biest nannte sich LSASS.EXE. Ich konnte es zwar nicht löschen, doch wenigstens umbenennen. Nach einem Reboot geschah dann garnichts mehr und auch der abgesicherte Modus ging nicht mehr. Ich versuchte dann mal spaßeshalber mit einer KnoppixCD wenigstens die Datei zu löschen. Leider hatte ich hier keine Schreibrechte und fand (als nicht Linux-Versierter) auch keine Lösung. Schließlich legte ich dann die Win2k-CD ein und hab per DOS-Konsole dann das Biest gelöscht. Danach habe ich noch die Partition reparieren lassen und das System bootete wieder. Dann hatte ich noch einige sehr nervige Abenteuer mit dem Windows-Installer, der bei allen möglichen Programmen Sprachpakete suchte (.msi Dateien). Bis ich das dann mal abgestellt hatte ging auch wieder einige Zeit ins Land. Schlußendlich habe ich es nochmal geschafft die komplette Install zu retten. Der Verlust wäre enorm gewesen, da Backups nicht vorhanden waren. Ich kann euch also nur sagen, seid vorsichtig. Das Teil muß irgendwie einfach so auf den Rechner gekommen sein. Schaltet die die Firewall ab und wenn es nur ein paar Sekunden sind. Norton Antivirus hat trotz aktuellster Virendefinitionen nichts ausrichtigen können. Habt ihr auch schon euere Erfahrungen mit dem Biest gemacht? MFG Cj-Stroker -- Webmaster at Amiforce and Abakus-Design http://www.Amiforce.de (Fight For Amiga) http://www.cj-stroker.de/Abakus/ (World of AMHuhn and more) Forum: http://amiforce-forum.cj-stroker.de [ - Answer - Quote - Direct link - ] |
2004-05-06, 17:03 h chkamiga Posts: [Former member] |
>Ich kann euch also nur sagen, seid vorsichtig. Das Teil >muß irgendwie einfach so auf den Rechner gekommen sein. Das ein Virus nur über einen Emailanhang ankommen kann ist ein weit verbreiteter irrtum. Durch Windows Systemlücken kann ein Virus sich auf deinen rechner schreiben und ausführen. >Norton Antivirus hat trotz aktuellster Virendefinitionen >nichts ausrichtigen können. Norton, war der im Test nicht ziemlich schlecht? >Habt ihr auch schon euere Erfahrungen mit dem Biest >gemacht? Momentan Beenden sich Programme auf den PC meiner Mutter automatisch und er stürzt ständig ab seit 3 Tagen. Ich habe auch schon 3x Antivirus aktualisiert, aber er findet nix. Ich denke es liegt an Windows, aber sicherheitshalber werde ich die Platte am Amiga formatieren. -- http://people.freenet.de/CHRAmiga.de CHRKUM@web.de [ - Edit - Answer - Quote - Direct link - ] |
2004-05-06, 18:38 h Maja Posts: 15429 User |
Zitat: -- __________________________________________________ Andere Wahrheiten können nur auf die Palme bringen, wenn man die eigene für die einzig wahre hält. ICQ (Windows): 75661772 http://www.jacobs.privat.t-online.de/ (Letzte Änderung: 11.01.2004) [ - Answer - Quote - Direct link - ] |
2004-05-06, 18:41 h DrNOP Posts: 4118 User |
Zitat:Ist das nicht ein Windows-Systemdienst, der dem Virus nur seinen Namen gab weil der auf diesen Dienst zugreift? [ - Answer - Quote - Direct link - ] |
2004-05-06, 19:15 h Bogomil76 Posts: 2800 User |
Tja, und halt einfach mal die Windows Updates machen [ - Answer - Quote - Direct link - ] |
2004-05-06, 19:19 h Cottet Posts: [Former member] |
Es gibt für diese Win Sicherheitslücke schon eine Weile den Patch: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx Weitere Infos auch dort: http://www.chip.de/artikel/c_artikel_11118090.html [ - Edit - Answer - Quote - Direct link - ] |
2004-05-06, 19:39 h Maja Posts: 15429 User |
Zitat: Dir war aber offenbar nicht klar, wie man sich davor schützen kann, ausser mit einer Firewall. Und warum musst du deine Firewall abschalten, um Banner sehen zu können? [ - Answer - Quote - Direct link - ] |
2004-05-06, 22:03 h CarstenS Posts: 5566 User |
@Cj-Stroker: > Ich konnte es zwar nicht löschen, doch wenigstens umbenennen. > Nach einem Reboot geschah dann garnichts mehr und auch der > abgesicherte Modus ging nicht mehr. Das wundert mich nicht im Geringsten... Denn lsass.exe steht für "Local Security Authority Service" und ist eine Windows-Systemdatei. LSASS.exe kündigt dann ein Herunterfahren in 60 Sekunden an, wenn es abgestürzt ist, z.B. durch einen Virus, etwa dem MSBlaster. Es ist aber natürlich nicht auszuschließen, dass die Datei auch ohne Vireneinwirkung abstürzen kann. Da dein Antivirenprogramm nichts gefunden hat, gehe ich mal davon aus, dass dieser Fall hier zutrifft. Wenn alle aktuellen Sicherheitspatches auf dem Rechner installiert sind, ist das sogar nahezu sicher. [ - Answer - Quote - Direct link - ] |
2004-05-06, 22:09 h CarstenS Posts: 5566 User |
@chkamiga: > Momentan Beenden sich Programme auf den PC meiner > Mutter automatisch und er stürzt ständig ab seit > 3 Tagen. Ich habe auch schon 3x Antivirus aktualisiert, > aber er findet nix. Ich denke es liegt an Windows, Na klar, immer gleich formatieren... Zunächst mal empfiehlt es sich, nachzuschauen, welche Tasks im Taskmanager zu finden sind und die im Internet nachzuschlagen. Außerdem sollte C: mit Scandisk auf Fehler überprüft werden - erst recht wenn, aus welchen Gründen auch immer, hier das furchtbare FAT-Filesystem zum Einsatz kommt. Im Zweifelsfall sollte auch überprüft werden, ob kurz zuvor irgendein Programm oder Treiber neu oder als Update installiert wurde. [ Dieser Beitrag wurde von CarstenS am 06.05.2004 editiert. ] [ - Answer - Quote - Direct link - ] |
2004-05-06, 23:59 h Maja Posts: 15429 User |
Zitat: Stimmt. Wenn der Rechner sich scheinbar plötzlich ungewöhnlich verhält, es kein Virus und keine falsch installierte Software sein kann, dann bleiben nur noch die BIOS-Settings oder ein Hardware-Defekt. Aber psssst. Verurteile niemanden wegen FAT, bevor du nicht sein Windows gesehen hast. Es könnte Win9x sein. [ Dieser Beitrag wurde von Maja am 07.05.2004 editiert. ] [ - Answer - Quote - Direct link - ] |
2004-05-07, 00:12 h CarstenS Posts: 5566 User |
@Maja: > Aber psssst. Verurteile niemanden wegen FAT, bevor du nicht sein > Windows gesehen hast. Es könnte Win9x sein. Stimmt, war mein Fehler. Ich hatte in Erinnerung, dass Christians Mutter Windows XP hat, aber es ist seine Schwester (siehe http://www.amiga-news.de/forum/reply.php3?replyto=7556&BoardID=6"e=71569 ). Windows-9x-User sind ja nun mal leider auf FAT angewiesen. [ - Answer - Quote - Direct link - ] |
2004-05-07, 01:29 h obw Posts: 94 User |
Zitat: Ah ja. Die Symptome kenne ich. Zitat: Offensichtlich nicht. Zitat: Du hast also den Local System Authority Subsystem Service umbenannt. Das ist das Programm, was bei Win NT feststellt, welche Rechte ein Prozeß hat. Zitat: "Wer bist Du?" "Administrator" "Was darf der denn? Hallooooo?!" Die Antwort war Schweigen... "Okay, irgendwas ist kaputt. Was ist die Standardprozedur bei kaputt? reboot..." Das ist übrigens auch das, was der Virus nur macht: den lsass-Prozeß killen. Ist ähnlich fatal für NT wie beim Amiga eine kaputter ramlib-Prozeß. Obwohl eine korrupte Freelist es eher trifft. Zitat: Was es auch nicht schlimmer machte. Zitat: Weil die Systemreparatur wieder ein lsass.exe an der richtigen Stelle eingespielt hat. Zitat: Das ist korrekt. Ein Kontakt auf Port 445 reicht. Es gibt aber ein removal-Tool von M$, was sich normalerweise im abgesicherten Modus mit Netzwerk gut einspielen läßt. Sind auch nur ca. 130 kB IIRC. Die XP-Firewall (Ja, das popelige Teil) hilft BTW dagegen. Auch, wenn sie sonst nix macht. Zitat: Mehr als genug. Mein Router wollte am WE gar nicht mehr auflegen vor lauter Scans. Aber wenigstens kommt nix am BSD vorbei. Und an der Uni kamen alle möglichen Leute an "Mein Rechner fährt dauernd runter." Lustig war nur die Drohung vom HRZ, daß, wenn nicht bis 14 Uhr alle Rechner entwanzt sind, das Subnetz abgeklemmt wird. Da hat man ein paar Leute flitzen sehen... OBW, der Google vom Zweitrechner (Amiga war wohl nicht betroffen, oder?) empfiehlt, ehe man in destruktive Hektik verfällt. [ - Answer - Quote - Direct link - ] |
2004-05-07, 10:00 h chkamiga Posts: [Former member] |
>Na klar, immer gleich formatieren... >Zunächst mal empfiehlt es sich, nachzuschauen, >welche Tasks im Taskmanager zu finden sind und >die im Internet nachzuschlagen. Ach nee, hab ich natürlich gemacht, nur nicht erwähnt weil es selbstverständlich ist. >Außerdem sollte C: mit Scandisk auf Fehler überprüft >werden - erst recht wenn, aus welchen Gründen auch immer, >hier das furchtbare FAT-Filesystem zum Einsatz kommt. Das auch >Im Zweifelsfall sollte auch überprüft werden, ob kurz >zuvor irgendein Programm oder Treiber neu oder als Update >installiert wurde. Das sowieso, ausser den AntiViren Updates wurde zuletzt von 3,5 Wochen AOL Installiert. Aber da ging es noch. -- http://people.freenet.de/CHRAmiga.de CHRKUM@web.de [ - Edit - Answer - Quote - Direct link - ] |
2004-05-07, 10:06 h chkamiga Posts: [Former member] |
>Stimmt. Wenn der Rechner sich scheinbar plötzlich >ungewöhnlich verhält, es kein Virus und keine falsch >installierte Software sein kann, dann bleiben nur noch > >die BIOS-Settings oder ein Hardware-Defekt. Bios, Speicher, CPU, GFX, SK, NK, UK habe ich selbstverständlich schon Überprüft, es ist ein Software Fehler. >Aber psssst. Verurteile niemanden wegen FAT, bevor du nicht >sein Windows gesehen hast. Es könnte Win9x sein.;) Abgesehen davon das wir die Diskussion über XP schon hatten, du würdest natürlich auf einem 266 MHZ Rechner(Pentium 1 MMX) mit 64 MB Win XP zu Installieren. Dann stellst du dir ein Wecker, wenn du nach den Aufstehen ins Internet willst und zwar 2 Stunden vor dem Aufstehen, um den Computer anzuschalten. -- http://people.freenet.de/CHRAmiga.de CHRKUM@web.de [ - Edit - Answer - Quote - Direct link - ] |
2004-05-07, 10:18 h Solar Posts: 3680 User |
Zitat: Mal gut, mal schlecht, je nachdem welche Version und welcher Test. Im großen und ganzen gilt Norton aber als recht gutes Programm. Außerdem will man ja nicht ständig Firewall und AV wechseln, oder? Zitat: Oder einfach daran, das Du kritische Sicherheitspatches nicht eingespielt hast. Einfach mal nach "Sasser" googeln... Zitat: *Kopfschüttel* [ - Answer - Quote - Direct link - ] |
2004-05-07, 14:25 h chkamiga Posts: [Former member] |
>Oder einfach daran, das Du kritische Sicherheitspatches >nicht eingespielt hast. Doch >Einfach mal nach "Sasser" googeln... Den kenne ich ist für Win98 doch ungefährlich > quote: > ...aber sicherheitshalber werde ich die Platte am Amiga > formatieren. >*Kopfschüttel* Warum? Intelligente Viren überleben ein Formatieren im PC. Alle die ich geschrieben habe können das. Konnten die 1993 schon. -- http://people.freenet.de/CHRAmiga.de CHRKUM@web.de [ - Edit - Answer - Quote - Direct link - ] |
2004-05-07, 15:16 h JensB Posts: 193 User |
Zitat: Hehe du auch ! Hast du die Warnungen in den Medien nicht mitbekommen ? Zitat: Jep ! Gleich Samstag Abend rief mich eine Freundin an und sagte das der Rechner immer runterfährt und immer 1 Minute braucht. Na ja dachte ich kommt dir bekannt vor. Ich alles zum Thema rausgesucht. Obwohl ich sicher war das dieser Virus schon in ihrer Software hätte bekannt sein müssen. Ich bin vom MBlaster ausgegangen. Leider nix gefunden nicht mal die neuste Version von Stinger.exe. 3Stunden hab ich mir die Rübe zerbrochen was das für einer ist bis ich auf http://www.antivir.de die erste Info drüber gefunden hatte und wie man ihn ohne gleich AntVir zu installieren entfernt. Gesagt getan im Abgesicherten Modus gestartet die angegeben Dateien gelöscht (die Dateinamen hatten alle ne 2 am Ende nicht wie in der Beschreibung ohne Zahl) und die Registrie geändert und siehe da alles wieder in Butter. -- Nur die,die es schaffen anders zu denken als die Masse , werden die Dinge verändern ! Mfg JensB [ Dieser Beitrag wurde von JensB am 07.05.2004 editiert. ] [ - Answer - Quote - Direct link - ] |
2004-05-07, 19:50 h Roger Posts: 990 User |
Zitat: Hy chkamiga, schön zu lesen das du ein Virenprogrammierer bist. Nur gut das ausser uns Amiga Usern niemand diese Seite liest, sonst dürftest du wohl mal Besuch von ein paar Herren in Uniform bekommen weil Virenschreiben meines Wissens nach nicht legal ist. Oder zumindest das in Umlauf bringen von Viren, aber das machen Virenschreiber ja meistens auch. Gruss Roger -- http://www.ahs-amiga.ch Meine Systeme: A4000T CyberStorm PPC - 68060-50 144MB Fast 2MB Chip RAM CyberVision PPC 80GB IDE HD an SCSI Intel P4 2.8GHz 120GB + 40GB HD 1GB Dual Channel RAM ASUS FX5200 128MB Grafikkarte DVD Brenner TV Karte [ - Answer - Quote - Direct link - ] |
2004-05-07, 20:14 h Maja Posts: 15429 User |
Zitat: Da wäre ich mir nicht so sicher. [ - Answer - Quote - Direct link - ] |
2004-05-07, 20:17 h Maja Posts: 15429 User |
Zitat: Es ist ja auch nicht leicht, bei ihm nicht den Überblick zu verlieren. [ - Answer - Quote - Direct link - ] |
2004-05-07, 20:27 h Maja Posts: 15429 User |
Zitat: fdisk /mbr Wenn du so ein cleveres Kerlchen bist, warum schreibst du dann (bis auf eine Ausnahme) nicht mal was Konstruktives? Ist Zerstören schöner als Erschaffen? [ Dieser Beitrag wurde von Maja am 07.05.2004 editiert. ] [ - Answer - Quote - Direct link - ] |
2004-05-07, 23:48 h chkamiga Posts: [Former member] |
>Hy chkamiga, schön zu lesen das du ein Virenprogrammierer >bist. Nur gut das ausser uns Amiga Usern niemand diese >Seite liest, sonst dürftest du wohl mal Besuch von ein >paar Herren in Uniform bekommen Ach und wie wollen die das beweisen, die wissen nichtmal wie man mein Amiga einschaltet. Meist nehmen die Computer sowieso mit und wenn er von seinem Standort entfehrnt wird geht er sowieso nicht mehr. >weil Virenschreiben meines Wissens nach nicht legal ist. Doch du kannst Programmieren was du willst. >Oder zumindest das in Umlauf bringen von Viren, aber das >machen Virenschreiber ja meistens auch. Ja, genau das trifft zu. @Maja ich habe keinen meiner Viren freigesetzt... Also nix zerstört... -- http://people.freenet.de/CHRAmiga.de CHRKUM@web.de [ - Edit - Answer - Quote - Direct link - ] |
2004-05-07, 23:52 h chkamiga Posts: [Former member] |
>Stimmt. Wenn der Rechner sich scheinbar plötzlich >ungewöhnlich verhält, es kein Virus und keine falsch >installierte Software sein kann, dann bleiben nur noch >die BIOS-Settings oder ein Hardware-Defekt. Hast sogar ein bisschen recht gehabt. Ich glaub der Ram-Speicher ist hin, obwohl er jeden Test bestanden hat. Andere rein, jetzt läuft er Stabiel. Aber das System war dann eh beschädigt weil ich Defragmentiert habe. -- http://people.freenet.de/CHRAmiga.de CHRKUM@web.de [ - Edit - Answer - Quote - Direct link - ] |
2004-05-08, 00:16 h Maja Posts: 15429 User |
Zitat: Aber getestet hast du sie doch sicher. Mir schwant so langsam, warum deine Familie dauern Probleme mit ihren PCs hat. [ - Answer - Quote - Direct link - ] |
2004-05-08, 00:23 h Maja Posts: 15429 User |
Zitat: Macht ja nix. So was kommt in den besten Familien vor. Zitat: Glückwunsch. Fehler gefunden. Du solltest dich in dem Fall bei Windows entschuldigen. Könnte auch eine Inkompatblität des Speichers zum Mainboard gewesen sein. Hatte ich hier auch mal. Nicht alle Bords fressen klaglos jeden Riegel. Zitat: Was nun nicht am Defragmentieren, sondern am defekten Speicher lag. Wir lernen: Erst systematisch die Ursache des Fehlverhaltens lokalisieren, und dann schimpfen. [ - Answer - Quote - Direct link - ] |
2004-05-08, 00:25 h Wolfman Posts: 3669 User |
Ich hoffe ja bloß, dass das Lesen mancher Postings außer Gehirnerschütterungen wegen verzweifeltem Kopf-auf-die-Tischkante-hauens nicht auch noch dem Rechner schaden (weil der ja den Unsinn irgendwie verarbeiten muss) -- Bild: http://home.arcor.de/the_wolf/Bilder/wolfman.jpg Bikers, Amigas and good Whiskey get better with age [ Dieser Beitrag wurde von Wolfman am 08.05.2004 editiert. ] [ - Answer - Quote - Direct link - ] |
2004-05-08, 00:27 h Maja Posts: 15429 User |
Zitat: Ich habe mir jetzt ein dickes Kissen auf den Schreibtisch gelegt. Mein Rechner kichert ab und an mal leise vor sich hin. Der nimmt das mit Humor. Wie ich. [ - Answer - Quote - Direct link - ] |
2004-05-08, 00:33 h DrNOP Posts: 4118 User |
Zitat:Erinnert sich noch jemand an "...haben mich in die Tischkante beißen lassen ..."? [ - Answer - Quote - Direct link - ] |
2004-05-08, 08:44 h ArminHuebner Posts: 1349 User |
@ Roger > Hy chkamiga, schön zu lesen das du ein Virenprogrammierer bist. Es soll ja Leute geben, die können nicht richtig deutsch schreiben, dafür aber richtige Computer-Viren... -- Gruß, Armin. -- 'Auch wenn alle einer Meinung sind, können alle Unrecht haben.' [ - Answer - Quote - Direct link - ] |
2004-05-08, 10:05 h chkamiga Posts: [Former member] |
>Aber getestet hast du sie doch sicher. Mir schwant so >langsam, warum deine Familie dauern Probleme mit ihren >PCs hat.;) Nur auf ein Emulator. Wenn ich über Netzwerk nicht auf einem Virus zugreife, also nicht in das Verzeichnis gehe dürfte nix passieren. > quote: > Ich glaub der Ram-Speicher ist hin, obwohl er jeden > Test bestanden hat. Andere rein, jetzt läuft er > Stabiel. >Glückwunsch. Fehler gefunden. Ganz sicher bin ich mir noch nicht, war auch 2x gestern noch abgestürzt, aber nicht so spontan, der hat ja von alleine Neugestartet. >Du solltest dich in dem Fall bei Windows entschuldigen.;) Windows hat den Defekten speicher nicht erkannt... >Könnte auch eine Inkompatblität des Speichers zum >Mainboard gewesen sein. Hatte ich hier auch mal. >Nicht alle Bords fressen klaglos jeden Riegel. Nee, die Rigel waren schon über 1 Jahr drin. Aber eins ist Komisch, die sind von Kingston, war Kingston nichtmal gute Qualität? > quote: > Aber das System war dann eh beschädigt weil ich > Defragmentiert habe. >Was nun nicht am Defragmentieren, sondern am defekten >Speicher lag. Schon, ich meine aber, ich hab nicht umsonst neuinstalliert. -- http://people.freenet.de/CHRAmiga.de CHRKUM@web.de [ - Edit - Answer - Quote - Direct link - ] |
-1- 2 | [ - Post reply - ] |
amiga-news.de Forum > Andere Systeme > Böses Lsass.exe | [ - Search - New posts - Register - Login - ] |
Masthead |
Privacy policy |
Netiquette |
Advertising |
Contact
Copyright © 1998-2024 by amiga-news.de - all rights reserved. |