Svchos, Lsass machen probleme ...

00Albert · Beitrag von **00Albert** » 03.07.2005, 02:48

Hallo,

ich hab auf einen aktuellen Rechner ein windows 2000 samt SP4 drauf gemacht...

Das Problem der rechner fährt an ... das windowas läuft udn im taskmanager ... falls man ihn aufbekommt sihet man, das SVchost.exe 99% systemlast verursacht ... wie kommt das? wie kann man das abstellen ...
außerdem passiert es ab udn an das Lsass.exe einen fehler "128" verursacht und das system in 60s zwangs beendet wird ... wie kommt das zu stande?

Es ist übrigens ein Arcor ADSL anschluß in benutzung ...

mfg

pawlak · Beitrag von **pawlak** » 03.07.2005, 13:30

Das klingt sehr nach Sasser

Windows plattmachen, davor aber diesen Betrag lesen!

00Albert · Beitrag von **00Albert** » 04.07.2005, 15:30

also dieser sasser wars nicht aber das update hat trotzdem geholfen

jetzt ist aber beim scannen noch was anderes aufgetaucht was ziemlich nerft ... ein Trojaner namens: SPy.agent.dg.2.B ... Der war wohl in irgendeiner alten installdatei mitverpackt ... (man sollte eben keine unbekannten dateien benutzen ... aber naja, wenns der endnutzer unbedingt will)

ich hab bei microsoft ein Toll gefunden das dieses problem behebt ... nur egal ob ich es im abgesicherten modus laufen lasse oder im Normalen modus es ist anch dem neustart wieder da ...

Antivir erkennt den zwar immer kann jedoch nur die Virusdatei entfernen nicht den dazugehörigen eintrag in der regestry ... wo auch immer der ist ...

hat da noch wer eine idee wie man das angehen kann? Ich bin leider nicht so bewandert im editieren einer Regestrydatei ...

mfg

00Albert · Beitrag von **00Albert** » 04.07.2005, 22:31

also ich hab etwas rumgesucht und es gibt bei microsoft ein tool das dieses virus entfernen soll... macht es aber nicht da die regestry einträge nicht mit entfernt werden...

Jetzt hab ich selbst danach gesucht und hab einen teil löschen können einen anderen leider nicht.

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX

dies ist de reintrag der nicht löschbar ist auch nicht im abgesicherten modus ...

Hat da wer eine idee dazu?

Im netz hab ich nichts brauchbares gefunden bis auf die üblichen undurchsichtigen postings von diversen systemprotokollen ...

mfg

pandorra · Beitrag von **pandorra** » 04.07.2005, 22:58

Original geschrieben von 00Albert
also ich hab etwas rumgesucht und es gibt bei microsoft ein tool das dieses virus entfernen soll... macht es aber nicht da die regestry einträge nicht mit entfernt werden...

Jetzt hab ich selbst danach gesucht und hab einen teil löschen können einen anderen leider nicht.

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX

dies ist de reintrag der nicht löschbar ist auch nicht im abgesicherten modus ...

Hat da wer eine idee dazu?

Im netz hab ich nichts brauchbares gefunden bis auf die üblichen undurchsichtigen postings von diversen systemprotokollen ...

mfg

wie, lässt sich nicht löschen?

möchte zwar nicht behaupten, das es das nicht gibt,
aber ich konnte in der registry noch nie etwas "nicht löschen" O_o

wird der eintrag nach dem booten einfach wieder neu geschrieben?

00Albert · Beitrag von **00Albert** » 05.07.2005, 03:51

Es kommt die meldung "felhler beim löschen" ... und das wars der eintrag bleibt bestehen ... ich dacht auch das man eigentlich als admin alles editieren kann scheint aber nicht so zu sein

712 · Beitrag von **712** » 05.07.2005, 08:49

Original geschrieben von 00Albert
Es kommt die meldung "felhler beim löschen" ... und das wars der eintrag bleibt bestehen ... ich dacht auch das man eigentlich als admin alles editieren kann scheint aber nicht so zu sein

als admin hast du mit nichten auf alles zugriff...du kannst dir nur überall zugriff verschaffen (gutes beispiel ist system volume information von der systemwiederherstellung)

also dann klicke mal mit der rechten maustaste auf den ordner -> berechtigungen -> erweitert -> berechtigungen von oben übernehmen häkchen raus -> berechtigungen kopieren -> für administratoren mit vollzugriff nach unten hin vererbt hinzu....sei glücklich

Master · Beitrag von **Master** » 05.07.2005, 08:50

Der Eintrag ist egal, solange das Trojanerprogramm gelöscht würde.
Eventuell musst du dir erst Rechte auf das Verzeichnis geben, bevor du es löschen kannst.
regedt32

00Albert · Beitrag von **00Albert** » 06.07.2005, 02:37

so ich habd en lagacy eintrag und die anderen einträge löschen können ... ebenfalsl die eigentliche virusdatei (msdirectx) ... das problem ist, die datei erscheint nahc dem löschen im sekunden takt wieder und es spielt keine rolle ob man die regestry säubert der mists etht danach wieder drin ... auch im abgesicherten modus ... nun die frage an sich wie unterbinde ich das?

Ich nhem an es muß da noch einen trick geben ...

gibts eigentlich irgendein virenprogramm das dieses virus tatsächlich entfernen kann? antivir kanns nämlich nicht, bzw. es wird nur die virus datei gelöscht aber keine registryeinträge ... somit erscheint der immer wieder ...

pandorra · Beitrag von **pandorra** » 06.07.2005, 11:35

http://virusscan.jotti.org/

lad die datei da mal hoch

Sarti · Beitrag von **Sarti** » 06.07.2005, 12:36

1. zieh dir alle updates und brenn sie auf ne cd
2. mach den rechner wieder platt und installier neu
3. installier alle updates bevor du das erste mal ins netz gehst
4. http://forum.ingame.de/quake/showthread ... did=157253 lesen und anwenden

712 · Beitrag von **712** » 06.07.2005, 13:12

Original geschrieben von 00Albert
so ich habd en lagacy eintrag und die anderen einträge löschen können ... ebenfalsl die eigentliche virusdatei (msdirectx) ... das problem ist, die datei erscheint nahc dem löschen im sekunden takt wieder und es spielt keine rolle ob man die regestry säubert der mists etht danach wieder drin ... auch im abgesicherten modus ... nun die frage an sich wie unterbinde ich das?

Ich nhem an es muß da noch einen trick geben ...

gibts eigentlich irgendein virenprogramm das dieses virus tatsächlich entfernen kann? antivir kanns nämlich nicht, bzw. es wird nur die virus datei gelöscht aber keine registryeinträge ... somit erscheint der immer wieder ...

der legacy eintrag wird mit sicherheit wieder kommen...so...weshalb das wohl bei dir wieder auftaucht...
systemwiederherstellung (systemsteurung -> system -> systemwiederherstellung -> häkchen rausmachen)...omg vergiss das..du hast win2000

dann wird da evtl ein prozess sein der da läuft sich selbst wiederherstellen...tjaaja...mal prozessliste durchschauen (autostart auch mal anschauen...reg unter hklm sowie hkcu)

dann was passiert wenn du die datei im abgesicherten modus löscht?

noch ne möglichkeit...lösch die datei NICHT...erstell ne dummy datei...nenn sie exakt so...benenn die infizierte datei um und kopier zügig die dummy datei rein....dann starte neu, evtl bekommst ne fehlermeldung -> dann weisst von wem. und lösch anschliesend die beteiligten dateien

virenSCANNER sind prinzipiell erstmal nur für die erkennung da...dass entfernen bzw das bisschen was sie entfernen ist allerhöchstens ein schmankerl und eigentlich nicht primäre funktion dieser ganzen programme! scanner die in jedem belang besser wie der von dir genannte sind -> g-data, kaspersky, f-secure, bitdefender

n hijackthislog würde auch helfen btw

ebbel · Beitrag von **ebbel** » 06.07.2005, 13:21

Original geschrieben von |glp|pandorra
http://virusscan.jotti.org/

lad die datei da mal hoch

Jottie ist gut, aber hier wohl überflüssig. Wenn der Patch "geholfen" hat, dann war das einer der zahlreichen Netzwerkwürmer, die auf den LSASS-Fehler aufsetzen. Welcher Rbot/SDbot/Phatbot und wie sie alle heißen, das nun genau war, ist egal. Die einzig richtige Vorgehensweise hat Sarti ja schon gepostet. Vor allem geht das mit Sicherheit schneller als ewiges Rumgefrickel mit einem verkorksten Windows.

Und an dieser Stelle nochmal, auch wenns im Sticky steht: der Patch gegen die LSASS-Verwundbarkeit von Windows 2000 ist NICHT im SP 4 erhalten.

Hier gibts den

pandorra · Beitrag von **pandorra** » 06.07.2005, 13:31

Original geschrieben von Ebbel
Jottie ist gut, aber hier wohl überflüssig. Wenn der Patch "geholfen" hat, dann war das einer der zahlreichen Netzwerkwürmer, die auf den LSASS-Fehler aufsetzen. Welcher Rbot/SDbot/Phatbot und wie sie alle heißen, das nun genau war, ist egal. [/url]

genau das hätte mich aber interessiert :>

00Albert · Beitrag von **00Albert** » 06.07.2005, 13:38

hm, das windows funktioniert einmanfrei ... nur ist nicht ersichtlich was nun noch zu diesem virus gehören soll auch die anzeigen der verschiedenen virenarchive taugen da nichts ... in den autostarteinträgen ist nämlich garnichts weiter enthalten ...

ebbel · Beitrag von **ebbel** » 06.07.2005, 13:55

Original geschrieben von |glp|pandorra
genau das hätte mich aber interessiert :>

Alte Neugier

00Albert · Beitrag von **00Albert** » 06.07.2005, 15:49

mal anders gefragt ... es könnte ja sein das in den vorhandenen daten der virus enthalten ist, deshalb wär es recht unproduktiv alles neu zu machen aber den virus eben gleich mit

beim durchsuchen mit antivir der HDD ist aber nichts weiter aufgetreten nun bin ich da etwas unsicher woran es liegen könnte ...

nur ist unklar ob der virus sich irgendwo einnistet und sich so verbreitet oder eben nicht ...

pandorra · Beitrag von **pandorra** » 06.07.2005, 16:04

das sich der virus/wurm in platten auf logischen partition einnistet
ist imo eher unwarscheinlich wenn er so programmiert ist,
dass er sich selbst wiederherstellt...
also würde plattmachen schon etwas bringen...
aber vorher kannst du ja immer noch mal das machen,
was wir dir schon gesagt haben...
jotti und hijackthis

712 · Beitrag von **712** » 06.07.2005, 16:58

der von dir genannte "virus" ist eh nicht so dermasen schlimm...deshalb würde ich mich entspannen und zurücklehnen...wie gesagt...hijackthis log posten...

das mit den vorhandenen daten kann natürlich sein