Brauche Hilfe bei Trojaner

Hallo!

Ich hoffe dass ich hiermit die richtige Kategorie getroffen habe.

Habe vorhin bemerkt, dass ich einen Trojaner namens LSASSA.EXE auf meinem Rechner habe.
AD Watch hat seine Aktivitaet leider nicht verhindern koennen.

Ich habe manuell alle Files gesucht und geloescht die ich mit dem Prog in Verbindung bringen konnte. Auch in der Regestry. (Unter Verwendung eines 2. Adminkontos)
Eine Auswirkung des Trojaners ist, dass ich nicht mehr den Taskmanager und die Regedit aufrufen kann. Es kommt eine Meldung dass diese Funktion vom Admin deaktiviert wurde.
In einer Hilfe habe ich gelesen, dass ich hierfuer mein Adminkonto loeschen und wieder neu Anlegen soll.
Nur dann sind doch meine ganzen Einstellungen weg.
Gibt es nicht eine andere Moeglichkeit?
Ist jmd. eine Prozedur bekannt wie ich den Trojaner 100%ig entfernen kann.

Man das Ding hat mich echt kalt erwischt!


Hilfesuchenderweise...

Verschoben von Windows XP

http://www.tu-berlin.de/www/software/show.shtml?virus/soberc
Könnte dies sein - sonst schau mal hier:

http://de.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=84
http://de.bitdefender.com/bd/site/downloads.php?menu_id=21
http://www.sophos.de/virusinfo/analyses/w32randonaa.html
http://de.mcafee.com/virusInfo/default.asp?id=description&virus_k=100930
http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=lsass.exe+Trojaner&meta=lr%3Dlang_de

Hallo aninemo!

Scheint komplizierter zu sein als ich dachte.
Ich bin mal Deinen Links gefolgt (dort heisst der Trojaner LSASS.exe) und lade mir grade den bitdefender runter.
Leider bin ich mir nicht ganz sicher, ob dieses Programm auch im Nachhinein die verseuchten Dateien loescht, bzw. die Registry wieder herstellt.

Habe hier und hier noch etwas zu dem Thema gefunden.

Leider kommt mir das etwas spanisch vor, so gut kenne ich mich dann doch nicht aus
Ich probiere erstmal den Fix vom bitdefender, und wenn dann immer noch Fragen offen sind melde ich mich nochmal.


Naja, fuer die Zukunft werde ich mir mal eine gute Virensoftware kaufen.
Was nehme ich da am Besten? Norton, MCAffee??

Dank und Gruss...

McAfee - Begründung: führt wesentlich seltener zu Rechnerproblemen als Norton (wobei das nicht heissen soll, dass Norton ein schlechter Vrenscanner ist)

Habe ich mir schon fast so gedacht.

Der Bitdefender hat beim ersten Scan einige Viren entdeckt.

Mir ist noch eingefallen, dass ich ja eigentlich die Systemwiederherstellung nutzen koennte um die Registrierung wieder auf den Stand vor dem Trojanerbefall zu bringen, richtig?

Ich frage mich allerdings immer noch wieso ADWatch die Eintraege nicht verhindert hat.


Gruss...

Möglicherweise sind die Schädlinge in der Systemwiederherstellung konserviert...................
Und ich benutze NOD
http://www.wintotal.de/nod/nod.php

Kannst du mal nen Screenie zu der Meldung posten? Ist alles etwas schwammig. Mittlerweile ist auch schwer was dazu zu finden.

Schau mal hier: http://www.wintotal-forum.de/?board=35;action=display;start=0;threadid=33317#msg191342

Wobei Trojaner in anderen Systemordnern mit gleichen Dateinamen keine Seltenheit sind. Manchmal hilft schon die Kontrolle der Dateigröße.

Ein Screenie kann ich leider nicht mehr machen, da ich die Funktion in der Registrierung wieder eingeschaltet habe.
Dort war der Taskmanager und Regedit auf disabled geschaltet.
Hatte den Tip im Netz gefunden.
Mittels Tune Up konnte ich die Registrierung bearbeiten, so dass dieser Teil jetzt wieder geht.

Scheinbar hat der Trojaner aber noch weiteren Muell fabriziert.
So laeuft der PC jetzt sehr unstabil und stuerzt haeufig nach einem blauen Bildschirm ab.

Die Datei LSASS.exe befindet sich weiterhin unter C:/windows/system32 und laesst sich nicht loeschen.
Bitdefender und MCaffee haben dieses File und auch sonst nichts als Virus erkannt.
Ich habe auch schon versucht mittels WIN98 Startdiskette das File manuell zu loeschen, aber mein Diskettenlaufwerk scheint nicht mehr so richtig zu wollen.
Kann auch sein dass die Diskette defekt ist.
Das war leider meine Einzige Win98 Disk..

Gibt es eine andere Moeglichkeit das File zu loeschen?
Ich habe naemlich keine Lust, die Platte in einen anderen Rechner einzubauen um so darauf zugreifen zu koennen.

Gruss..

Hast du den Link mal angeklickt im Posting davor?

Ich bin den Links auch mal gefolgt, aber dort steht nicht, dass LSASS.exe gelöscht werden soll! Diese Datei wird lediglich vom Wurm in einer weiteren Instanz ausgeführt und dazu benutzt, damit die Wurm-Dateien auch ordentlich wüten können. Und eben genau diese Wurm-Dateien sollen nach Anleitung gelöscht werden.

Setz die Kiste neu auf und spiele die Windows-Updates ein!

OK, das das Programm nun doch nicht boese ist hatte ich nicht ganz verstanden.
aber wo steht denn da wie man die Files manuell loescht?
Ich finde da irgendwie nichts.


Neu Aufspielen...
Hm das wuerde ja bedeuten, dass ich den ganzen Kram sichern muss.
Das ist ne Menge Arbeit.

Wuerde es nicht vielleicht auch helfen, das XP drueber zu installieren?

Oder ist die Methode mit der Systemwiederherstellung zu einem Zeitpunkt vor dem Trojanerbefall nicht eine gute Alternative??


Gruss...

In dem 2. Link von aninemo sind für diesen einen Wurm die Dateien aufgelistet (wobei es nicht sicher ist, ob du genau diesen Wurm hast/hattest?). Dort gibt es die Möglichkeit eben diese Dateien zu löschen oder dies vom Virenscanner Bitdefender erledigen zu lassen (manuell <-> automatisch).


Und wenn es eine Menge Arbeit ist, es ist sie mehr als wert. Windows drüber installieren ist so oder so eine schlechte Lösung und ändert auch nichts an anderen Dateien auf der Festplatte, wie Wurm-Dateien.

Auch die Systemwiederherstellung ist keine Allheillösung, denn auch hier weißt du nicht, was neben den von der Systemwiederherstellung abgedeckten Dateien noch so alles kaputt ist.

Schließlich bist du für andere User im Internet im momentanen Zustand eine potentielle Gefahr. Ein integrierter SMTP-Server bei einem Wurm (oder sonst was) ist kein Problem. Viele Schädlinge zielen (nicht nur erst dann) auf die Schwächen vom Internet Explorer und Outlook (Express). Dein Adressbuch ist hier herzlich willkommen. Aber auch schon nur der momentane Rechner online ist eine potentielle Schädlingsschleuder.


Lern daraus und mach es das nächste Mal besser.

Hallo!

Achso, Du meinst diesen Link:
http://de.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=84

Ich werde nachher mal den Dateien und Registryeintraegen suchen und diese alle loeschen.
Bitdefender hat keine der Dateien gefunden.
Das Programm ist aber eh ein bisschen komisch, ich habe es fast 24 Stunden laufen lassen, und es war immer noch nicht fertig.
Ist das normal?


Aber wie Du schon sagst, vielleicht habe ich gar nicht diesen Wurm.
Vielleicht war es nur Einer, der den Taskmngr und die Regedit deaktiviert.

Ich denke ich werde es mal mit der Systemwiederherstellung probieren.
Vielleicht habe ich ja beim Loeschen irgendeine Datei mitgeloescht, die infiziert, aber sonst gerbaucht wird?!
Ich habe das zwar noch nie gemacht, aber vielleicht hilft es ja.
Meine Mails die ich inzwischen bekommen habe sind dann auch weg, oder?
Gibt es ein Programm mit dem ich diese sichern kann?

Lern daraus und mach es das nächste Mal besser.

Zum Vergrößern anklicken....

Sorry, aber das verstehe ich jetzt nicht wirklich.
Was soll ich denn fuer die Zukunft besser machen, als ZoneAlarm pro, AdWatch und NAV laufen zu lassen, so wie die ganze Zeit vorher???

OK, vielleicht war es noch zu unklar, was ich damit ausdrücken wollte. :

Dieser eine Link ist lediglich ein Suchergebnis von lsass.exe im Zusammenhang mit Trojanern.

Damit ist überhaupt nicht gesagt, dass es sich bei dir um diesen Wurm handelt. Es ist bestimmt nicht der einzige Schädling, der diese Datei benutzt.

BitDefender ist ein Hersteller von Anti-Viren-Software. Einer von vielen. Und das Suchergebnis war zufällig auf deren Seite. Es ist aber bei weitem nicht der einzige Hersteller von Software, der die Entfernung von diesem Wurm im Speziellen und Würmern/Schädlingen im Allgemeinen verspricht.

Zu dem Mittelteil: du versuchst dir etwas einzureden, dass es alles nicht so schlimm sein kann. Geh vom Schlimmsten aus!

Deine Mails liegen auf den Mailservern der Provider (es sei denn, dein Mailprogramm löscht sie dort). Für viele Mailprogramme gibt es Sicherungsprogramme. Fragt sich, ob du die Schädlinge sichern möchtest (wie auch immer zb dieser Wurm auf dein System kam).

Zu ZA: An sich ist dieses Programm schon schlimm, nach einigem Lesen hab ich meine Desktop-Firewall kürzlich deinstalliert. Dazu allgemein: http://www.trojaner-info.de/firewall/index.shtml Technischer Hintergrund: IRONs HP.

NAV ist ein Virenscanner wie jeder andere. Und bei weitem nicht so zuverlässig, wie der Hersteller immer wieder suggeriert.

Das Ad-Watch und NAV den Trojaner nicht erkannt haben, spricht schon Bände.

Und zur Frage, was man noch alles machen kann: Damit kann man tagelange Vorträge füllen. Ein Kurzansatz:
- umsichtiges Bewegen durchs Internet
- ein anderer Browser als den IE
- ein anderer Mail-Client als Outlook (Express)
- regelmäßige Updates

Ich benutze seit kurzem wieder Trojan-Check. Das Programm überprüft, falls irgend etwas am Autostart (gibt ja viele Autostart-Möglichkeiten) geändert/hinzugefügt wird. Trojaner müssen erst mal gestartet werden.

Aber merke: kein Programm bietet dir Sicherheit, wenn man es nicht versteht (von daher hab ich eigentlich noch mit meiner DFW Glück gehabt).


Und noch mal: Installier neu! Lern daraus und mach es das nächste Mal besser.

Also ich benutze OE und lasse die Mails nicht auf dem Server (sonst haette ich die Frage ja nicht gestellt)
Daher die Frage: Gibt es fuer OE unter XP ein Programm was Kontodaten und alle Mails in den Ordnern archivieren kann, um sie zu einem spaeteren Zeitpunkt wieder zu importieren?
OE, IE, werde ich weiterhin benutzen, da ich Mails, mit Anhang generell loesche (Shift+DEL) und mich nicht grossartig umstellen will. Dafuer habe ich einfach nicht die Zeit.
Die Zeit die ich fuer Computer und Internet ausgeben kann, sind stark beschraenkt.
Wenn das nicht so waere, wuerde ich mir auch sicher die Zeit nehmen und mich einlesen.
Dann muesstest Du auch nicht so einem DAU wie mir antworten

Ich weiss ja wie ich mir das Ding eingefangen habe.
Es war eine Zipdatei nach der ich im Netz gesucht habe.
Leider hat sich jmd. einen Spass erlaubt und dort den Trojaner versteckt.


Na dann werde ich mir mal Trojan Check zulegen.

Das mir kein Programm 100%ige Sicherheit bietet ist klar.
Bis jetzt bin ich mit der Config aber auch ganz gut gefahren.
Es lag wohl daran, dass ich die Datei selber aufgemacht habe...

Aber wie gesagt, ich weiss immer noch nicht was das fuer ein Trojaner war.
Ich habe im Netz eine Datei (passend zu der Runtergeladenen) gefunden, wo darauf hingewiesen wird, dass es sich dabei um LSASSA.exe handelt und was diese bewirkt.
Vielleicht war es ja ein ganz anderes Virus, was wirklich nur den Taskmgr. und die Regedit blockiert hat, das wuerde erklaeren wieso bitdefender nichts gefunden hat.
Nochmals hier die Frage: ist es normal, dass Bitdefender sooo lange braucht um die Festplatte C zu scannen?

Wieso Adwatch den Registrierungeintrag nicht bemerkt hat... keine Ahhung, das ist aber sehr schwach!

Ich habe mir den Link zu Trojanerinfo mal angeschaut.
Dort finde ich aber auch keine Antwort auf meine Frage, was nun besser sein koennte als:
Adwatch, ZoneAlarm und NAV.
Vielleicht hast Du ja einen Bombentip fuer mich?
Es fehlt mir einfach die Zeit alles genau zu durchforsten und zu entscheiden was ich nun nehmen sollte.
Und die Hersteller preisen ihre Programme (wie Du schon richtig sagtest) in den hoechsten Toenen an.
Auf wessen Erfahrungen sollte man sonst bauen, als auf Die von so Leute wie du, die sich ja scheinbar gewissenhaft mit der Materie befassen. Was ich im uebrigen bemerkenswert finde!

So, die Arbeit ruft....

Ich kenne mich mit der Problematik auch nur in sehr geringem Umfang aus. Einen Bombentipp kann ich dir momentan nicht geben.

Es langte bisher zu der Erkenntnis, dass Desktopfirewalls nichts bringen und eher das Gegenteil bewirken. Weiterführend bin ich auch noch nicht weiter.

Zum Thema Virenscanner findest du schon mal eine kleine feine Auswahl in den Weblinks von WinTotal. Ich selber benutze NOD32, Kaspersky soll gut sein, die Engine steckt auch im aktuellen GDATA AVG. Das Programm hat 2 Engines, bremst aber arg das System (in etwa wie dein NAV).

Zu den Backup-Tools: http://www.wintotal.de/Software/index.php?rb=1016

Zu OE: eines der schlimmsten Programme. Probier mal Thunderbird, der Umstieg fällt damit extrem leicht. http://www.wintotal.de/Software/index.php?id=1851 Die Vorgänger-Version gibts in deutsch hier: http://thunderbird.diepause.de/downloads/complete.php Demnächst sicher auch die aktuelle Version 0.5 in deutsch.

Gib mal LSASSA.exe bei einer Suchmaschine. Also ich weiß nicht, aber wäre es ein Schädling, würden mehr Ergebnisse kommen. Um welche Datei handelt es sich denn, die du dir runtergeladen hast, und wieso brauchtest du zusätzlich dazu für eine Datei?

Also, hab mal die Quelle der Ursprungsdatei von Jay_Dee erfragt :-X

Das Ding ist IMHO ein Virus als Trojaner.

1. Das File war 16x mit verschiedenen Packern gepackt. Das macht man dafür, dass der Virenscanner unter den ganzen Komprimierungsalgorithmen nicht mehr den Virus findet. Das ist eine der größten Schwächen von Virenscannern.

2. Die exe hat alle Anzeichen eines Viruses. Öffnet man die exe mit einem Editor, sieht man, dass der Inhalt der Ursprungsdatei vorhanden ist. Am Start ist ein Zeiger auf das Ende des Quellcodes. Am Ende wurde Code angehangen. Es sieht so aus, als wenn zuerst mal versucht wird, Virenscanner (und Spyware-Finder, etc.) zu beenden. Der Virus selbst scheint sich darauf zu beschränken, für den derzeit angemeldeten User regedit und Taskmanager zu beschränken.