Isass.exe

Hallochen allerseits, seit kurzem meldet meine Firewall das Isass.exe ins Netz will.



Ich habe mit Hilfe der Suchfunktion ja einiges gefunden und bereits Stinger und Avast! laufen lassen. Aber sie haben nichts gefunden. Bin mir nun etwas unsicher ob ich es ins Netz lassen soll oder nicht? Ist es ein Sasser oder nicht?
Danke für jeden Rat
Stefan

Nein, ist nicht der Sasser.
Aber ins Netz muss das Teil auch nicht. Kannste blocken.

Hallo,

xyzdef schrieb:

Hallochen allerseits, seit kurzem meldet meine Firewall das Isass.exe ins Netz will.

Zum Vergrößern anklicken....

überprüfe die Datei C:\Windows\lsass.exe bitte einmal hier und teile das Ergebnis mit ( wenn die Datei sich nicht hochladen lässt, beende den Prozess zuerst mit Hilfe des Taskmanagers ):

http://virusscan.jotti.org/de/ ( JavaScript aktivieren )

Nicht verwechseln mit dem regulären Prozess, der unter C:\Windows\System32\lsass.exe läuft.

SDNDNK

[blue]korrekten Dateinamen aus nachfolgendem Posting reineditiert, nachfolgendes Posting gelöscht[/blue]

Huppala, da hat SDNDNK natürlich Recht, ich hab den Pfad gar nicht richtig gesehen. Sorry, mein Fehler. Unter C:\Windows darf sich diese Datei eigentlich nicht tummeln, da hat SDNDNK natürlich Recht. 8)

Mhhh, danke für den Link! Ich glaube die Antwort ist nicht so toll. Wie werde ich den Mist wiede los?



Das ist ja auch Lustig das Avast nix gefunden hat, wo das Teil so gelobt wird.

Stefan

Also ich habe jetzt im abgesicherten Modus die Datei gelöscht (vorher war der Zugriff verweigert). Sollte das ausreichen?
Stefan

Ja, das reicht. Welches Virusprogrammm nutzt du den? Normalweise hättest du einen Hinweis erhalten müssen

Ups, den Wald vor lauter Bäumen net gesehn :?

xyzdef schrieb:

Also ich habe jetzt im abgesicherten Modus die Datei gelöscht (vorher war der Zugriff verweigert). Sollte das ausreichen?

Zum Vergrößern anklicken....

Das ist immer so eine Sache. Das Problem ist, dass du nicht nachvollziehen kannst, ob und welche Daten durch eine evtl. bestehende Backdoor zusätzlich manipuliert wurden. Daher ist in solchen Fällen ( Befall durch Backdoor-Trojaner ) das Formatieren und Neuinstallieren die einzig 100%ig sichere Methode.

http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

http://oschad.de/wiki/index.php/Kompromittierung

Erstelle doch einmal mit HijackThis einen Bericht, evtl. wird daraus erdeutlich, dass noch mehr Malware auf dem Rechner ist, wobei auch HijackThis keine Garantie dafür ist, dass alle Schadprogramme gefunden bzw. im Bericht angezeigt werden.

http://www.wintotal.de/softw/?id=2022

SDNDNK

Hallo, irgendwann beim extrahieren einer *.zip Datei meldete Avast einen Trojaner. Die Meldung lies sich aber auch nicht mehr wegklickern. Da ich die Datei nicht ausgeführt hatte machte ich mir daher auch keine grösseren Gedanken, was scheinbar ein Fehler war.
Hier der Bericht von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 20:23:32, on 19.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\AMP\AMP.EXE
C:\Programme\avmclient\bluefritz.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Directory Opus\dopus.exe
C:\WINDOWS\system32\autoupdatev2.exe
C:\Programme\SenseConnect\sc_pro.exe
C:\Programme\clean_desktop\clean_desktop.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Alle meine Passworte] C:\PROGRA~1\AMP\AMP.EXE
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe runtime
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [DOpus] C:\Programme\Directory Opus\dopus.exe
O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe
O4 - Startup: SenseConnect PRO.lnk = C:\Programme\SenseConnect\sc_pro.exe
O4 - Startup: Verknüpfung mit clean_desktop.lnk = C:\Programme\clean_desktop\clean_desktop.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra->Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125775259515
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Avast4\ashMaiSv.exe /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Avast4\ashWebSv.exe /service (file missing)
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Als geübter Laie kann ich nichts aufregendes finden, aber eben nur als Laie. Wie sieht das der Fachmann?

Danke und bis später
Stefan

xyzdef schrieb:

C:\WINDOWS\system32\autoupdatev2.exe

O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe

Zum Vergrößern anklicken....

solltest du mal nachgehen ???

pan_fee

xyzdef schrieb:

C:\WINDOWS\system32\autoupdatev2.exe

Zum Vergrößern anklicken....

Das ist mit Sicherheit nichts Gutes. Überprüfe die Datei, wie schon von PCDpan_fee vorgeschlagen, ebenfalls bei Jotti.

Lasse auch noch eScan im abgesicherten Modus laufen und berichte, ob und was noch gefunden wurde. eScan unbedingt in das Verzeichnis C:\Bases_X entpacken, sonst kannst du die Virensignaturen nicht aktualisieren ( kavupd.exe auführen )

http://www.trojaner-info.de/hijacker/escan.shtml

SDNDNK

Hallochen allerseits, entschuldigt bitte das ich mich erst jetzt wieder melde aber angesichts des Virenbefalls den eScann meldete ? hier das Protokoll:

19.10.2005 23:44:38:234 :ModuleName = C:\Bases_X\mwavscan.com
19.10.2005 23:44:41:500 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
19.10.2005 23:44:41:500 :Mode ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
19.10.2005 23:44:41:500 :TimeOut : ffffffff
19.10.2005 23:44:41:500 riority : NORMAL
19.10.2005 23:44:54:828 :VirusCount = 155081 Latest Date = 2005/10/19
19.10.2005 23:47:46:953 :[00000001] File C:\WINDOWS\system32\autoupdatev2.exe infected by Trojan-Clicker.Win32.Agent.fq
19.10.2005 23:54:46:171 :[00000001] File C:\Dokumente und Einstellungen\Stefan\.jpi_cache\jar\1.0\count.jar-3d3316dc-238880c5.zip infected by Exploit.Java.ByteVerify
19.10.2005 23:54:46:265 :[00000001] File C:\Dokumente und Einstellungen\Stefan\.jpi_cache\jar\1.0\count.jar-7e84fe99-7bb8d610.zip infected by Exploit.Java.ByteVerify
19.10.2005 23:55:54:906 :[00000001] File C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\izh9jwfl.6\Cache\6681 6BBAd01 infected by Backdoor.Win32.VBbot.g
20.10.2005 00:32:51:265 :[00000001] File C:\RECYCLER\S-1-5-21-329068152-1303643608-839522115-500\Dc1.exe infected by Backdoor.Win32.VBbot.g
20.10.2005 00:53:08:515 :[00000001] File C:\WINDOWS\system32\autoupdatev2.exe infected by Trojan-Clicker.Win32.Agent.fq
20.10.2005 01:37:40:140 :[00000001] File D:\Sicherungen\Progamme\Apple_scin\FlyakiteOSXv2.0.exe infected by not-a-virus:NetTool.Win32.PsKill
20.10.2005 02:40:28:875 :VirusCount = 155081 Latest Date = 2005/10/19
20.10.2005 02:41:07:546 :VirusCount = 155081 Latest Date = 2005/10/19


Zog ich doch vor XP neu aufzusetzen, was ja eigentlich kein Problem ist, aber bei verläuft die Installation irgendwie jedes Mal anders. Aber nun bin ich endlich wieder im Netz und möchte mich an dieser Stelle noch mal für alle Tips bedanken.
Bis später
Stefan