LSASRV.dll

Dieses Thema LSASRV.dll im Forum "Windows XP Forum" wurde erstellt von BigWoelfi, 14. Mai 2009.

Thema: LSASRV.dll Hallo, ich weiß nicht genau, ob ich hier jetzt richtig bin, habe aber verschiedene Ansätze in Google gefunden....

  1. Hallo,

    ich weiß nicht genau, ob ich hier jetzt richtig bin, habe aber verschiedene Ansätze in Google gefunden. Leider war keine konkrete Lösung für mich dabei.

    Jemand aus der Familie hat gestern abend, wie sonst auch, seinen Rechner (WinXP HE SP3) herunter gefahren und heute startet das Teil zunächst ganz normal, bis dann, nachdem de Balkenläufe beendet sind, mit dem Meldungsfenster Lsass.exe und der sinngemäßen Meldung
    Ich habe Hinweise gefunden, dass es sich beim Urheber um einen Virus handeln könnte, jedoch nicht muss. Die Datei regelt normalerweise ja den Systemdienst für die lokale Sicherheitsautorität (lt. Microsoft). Es gab einen Patch dazu von Microsoft. Ob der drauf ist, weiß ich natürlich nicht.

    Egal, was ich versuche (normaler Start, letzte funktionierende Konfiguration, abgesichert mit und ohne Treiber, protokolliert, Debug oder was sonst noch da ist), ich komme im Ablauf immer wieder zu dieser Fehlermeldung.

    Was kann ich tun?

    Nachtrag:
    Ich mache gerade mit dem Norton Recovery Tool aus NIS 2009 einen Systemcheck von CD aus, mit Signaturen von gestern. Die sind ja immerhin auf dem Rechner vorhanden, wie das Tool festgestellt hat.

    Gruß, Wolfgang
     
  2. Lsass.exe = System LSA Shell (Local Security Authority Subsystem), dieser Prozess managed die User-Logins auf dem PC oder auf dem Server. Der Sicherheitsdienst steuert die Richtlinien für jeden User (Anmeldedienst/Netlogon/PolicyAgent), Systemdatei

    LSASRV.dll = LSA-Server Programmbibliothek, Systemdatei

    oder Sasser-Wurm
    [sub]Der Angriff erfolgt bei Sasser über die TCP/IP-Ports 139/445, es wird in einer der Windows-Systemdateien (LSASRV.DLL) ein Pufferüberlauf erzeugt und der bösartige Code, welcher den eigentlichen Wurm nachlädt, direkt im Speicher (auf dem Stack) ausgeführt[/sub]
    [sub]http://www-pc.uni-regensburg.de/systemsw/WinXP/sasser.htm[/sub]

    pan_fee
     
  3. Hallo Wolfgang

    Die Dateien Lsass.exe und LSASRV.DLL, sollten sich im Windows\System32 Ordner befinden, wenn nicht, die Dateien Lsass.ex_ und LSASRV.DL_,mit hilfe der expand.exe, von der Windous- CD aus dem Ordner I386 in den Windows\System32 Ordner entpacken.
     
  4. Hallo Karl,

    danke für den Hinweis. Hat prima geklappt von der Recovery-CD.

    Ich hatte sonst schon in Erwägung gezogen, die Datei von meinem eigenen Rechner da raufzubringen. Ich hatte zunächst übersehen, dass der PC integrierte Kartenleser hat. Von einer SD-Card müsste man doch dann auch Dateien von dort in das Windows/System32-Verzeichnis kopieren können, das ja über die Reparturfunktion der REcovery erreichbar ist, oder?

    Zumindest sind die Laufwerke des Kartenlesers von der Eingabeaufforderung aus erreichbar, habe ich festgestellt.

    Was mich interessieren würde, wäre noch, wie die LSASRV.dll einfach im Nirvana verschwinden kann.
    Ich prüfe jetzt den PC auf jeden Fall noch einmal auf Viren und Würmer und dann ist das erst mal erledigt für heute.

    Gruß, Wolfgang