WinFuture-Forum.de: Isass.exe Virus - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Isass.exe Virus


#1 Mitglied ist offline   Sparkle2007 

  • Gruppe: aktive Mitglieder
  • Beiträge: 556
  • Beigetreten: 10. Februar 05
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 09. Dezember 2007 - 08:09

Moin.
Hallo hatte mir ein Virus eingefangen wollte auch gleich zum inet connecten doch meine Firewall hat es geblockt und mein Antivirus hat die Datei gelöscht jetzt bekomm ich nach jedem Windowsstart folgenden Fehlermeldung:

Eingefügtes Bild


Ich hab schon unter Autostart geguckt aber finde keinen Eintrag für diese Datei.
0

Anzeige



#2 Mitglied ist offline   kxxx 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.036
  • Beigetreten: 10. Dezember 03
  • Reputation: 31
  • Geschlecht:Männlich
  • Wohnort:Elsenfeld

geschrieben 09. Dezember 2007 - 08:24

Auch wenn dein Antivirus die Datei gelöscht hat, ist dein System immer noch nicht vertauenswürdig.
Du kannst nicht wissen, wie lange der Virus schon aktiv war, bevor du ihn "entfernt" hast.
Ausserdem kann der Virus schon jede Menge Schadcode nachgeladen haben, ohne das deine Firewall irgendwas davon mitbekommen hat.
Die einzig richtige Lösung ist eine Neuinstallation.
Der Staat ist eine Notordnung gegen das Chaos (Gustav Heinemann, ehemaliger Bundespräsident)

Ich glaube mit dem Chaos wären wir oft besser bedient (kxxx, verarschter Bürger)
0

#3 Mitglied ist offline   Sparkle2007 

  • Gruppe: aktive Mitglieder
  • Beiträge: 556
  • Beigetreten: 10. Februar 05
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 09. Dezember 2007 - 09:41

Ne auf keinen fall werde ich mein System formatieren und neu aufsetzen!!
Es ist nur diese Meldung am start die nervt der Virus ist ja gelöscht!!

Eingefügtes Bild
0

#4 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.022
  • Beigetreten: 14. Juli 07
  • Reputation: 542
  • Geschlecht:unbekannt

geschrieben 09. Dezember 2007 - 09:46

Du solltest lang genug dabei sein um zu wissen was Hijackthis ist und wie man es benutzt?
Falls nicht, google mal danach und nutze es.
Was kxxx sagt ist aber nicht von der Hand zu weisen. Ich würd auf jeden Fall mal die wichtigsten Paswörter von einem sicheren System aus ändern (z.b. Knoppix) und kein Online-Banking mehr nutzen, sicher ist sicher...
0

#5 Mitglied ist offline   Sparkle2007 

  • Gruppe: aktive Mitglieder
  • Beiträge: 556
  • Beigetreten: 10. Februar 05
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 09. Dezember 2007 - 10:09

Achja das gute alte Hijackthis hat ich voll vergessen. ;)

Edit:glaube ich habs gefunden:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\lsass.exe

;)

Dieser Beitrag wurde von Sparkle2007 bearbeitet: 09. Dezember 2007 - 10:11

0

#6 Mitglied ist offline   mush 

  • Gruppe: aktive Mitglieder
  • Beiträge: 895
  • Beigetreten: 29. Mai 07
  • Reputation: 7

geschrieben 09. Dezember 2007 - 11:08

Ich würde bei absolut jedem Vierenbefall dringend anraten das System neu aufzusetzen. Ich persönlich nehme für ein sauberes System die Arbeit in Kauf.
insane in the membrane
0

#7 Mitglied ist offline   sкavєи 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.735
  • Beigetreten: 20. Juli 04
  • Reputation: 62
  • Geschlecht:Männlich
  • Wohnort:Stralsund

geschrieben 09. Dezember 2007 - 11:13

lsass.exe = Local Security Authority Subsystem

Und die Datei hast du gelöscht, nur weil die Heuristik angesprungen ist? Wenn das die einzige Meldung war, hätte ich sie getrost ignoeriert. Das Problem, was dein System jetzt hat ist, dass es die Benutzerkonten nicht mehr anständig authentifizieren kann. Um ein Neu-Aufsetzen des Systems wirst du jetzt wohl nicht mehr herumkommen. denn Fehlermeldungen beim start sind wahrscheinlich nur die Spitze des Eisberges. Des weiteren solltest du dir überlegen, ob du deinen Virenscanner richtig eingestellt hast und wenn ja ob du nicht lieber einen anderen verwenden solltest. Denn ein Virenscanner der Systemdienste mittels der Heuristik als Virus erkennt taugt mal gar nichts.

P.S.: Eine kleine Erläuterung zum Thema Heuristik:
Heuristische Verfahren können richtig sein, müssen es aber nicht zwangsläufig sein. Heuristik findet vor allem in der Mathematik Anwendung. Es gibt Leute die sich heuristische Methoden zur Berechnung komplexer mathematischer Funktionen angeeignet haben und diese somit in Sekunden lösen können. Aber diese Personen machen je nach Aufgabe und und Rechnung/angewendeter Heuristik öfters mal Fehler, bzw. haben falsche Ergebnisse.
Beim Virenscanner kann man bei den meisten Heuristik-Meldungen von Fehlalarmen ausgehen, sollte jedoch die Datei zur Sicherheit nochmal bei Kaspersky oder ähnlichem (am besten bei Kaspersky, McAffee und Symantec zugleich) einschicken. In 95% aller Fälle bekommt man eine Negativmeldung zurück.

Dieser Beitrag wurde von sкavєи bearbeitet: 09. Dezember 2007 - 11:21

Eingefügtes Bild
Eingefügtes Bild
0

#8 Mitglied ist offline   Sparkle2007 

  • Gruppe: aktive Mitglieder
  • Beiträge: 556
  • Beigetreten: 10. Februar 05
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 09. Dezember 2007 - 12:30

Beitrag anzeigenZitat (sкavєи: 09.12.2007, 11:13)

lsass.exe = Local Security Authority Subsystem

Und die Datei hast du gelöscht, nur weil die Heuristik angesprungen ist? Wenn das die einzige Meldung war, hätte ich sie getrost ignoeriert. Das Problem, was dein System jetzt hat ist, dass es die Benutzerkonten nicht mehr anständig authentifizieren kann. Um ein Neu-Aufsetzen des Systems wirst du jetzt wohl nicht mehr herumkommen. denn Fehlermeldungen beim start sind wahrscheinlich nur die Spitze des Eisberges. Des weiteren solltest du dir überlegen, ob du deinen Virenscanner richtig eingestellt hast und wenn ja ob du nicht lieber einen anderen verwenden solltest. Denn ein Virenscanner der Systemdienste mittels der Heuristik als Virus erkennt taugt mal gar nichts.

Wieso?Ich hab jetzt keine Probleme mehr alles ist wie vorher ;)

Und der richtige Dienst läuft ja noch aber unter System32 und nicht unter Windows/config also alles paletti nur der Virus hieß auch isass.exe und war halt unter Windows/Config:

Eingefügtes Bild

Dieser Beitrag wurde von Sparkle2007 bearbeitet: 09. Dezember 2007 - 12:38

0

#9 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 09. Dezember 2007 - 12:44

Es koennte trotzdem gut sein, dass sensible Daten nun irgendwo im Netz verteilt wurden oder es kann sich sonst wo weitere Malware festgesetzt haben...nur um es nochmal zu betonen. Nich, dass es dann heisst, wir haetten dich nicht gewarnt.
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
0

#10 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 09. Dezember 2007 - 12:57

Beitrag anzeigenZitat (Sparkle2007: 09.12.2007, 08:09)

Hallo hatte mir ein Virus eingefangen wollte auch gleich zum inet connecten doch meine Firewall hat es geblockt und mein Antivirus hat die Datei gelöscht jetzt bekomm ich nach jedem Windowsstart folgenden Fehlermeldung

Sasser http://www.bsi.bund....v/vb/sasser.htm was willst du noch mehr? Ist doch toll ein solches Würmchen im System zu haben. Weder dein PFW noch dein Scanner hat dich davor beschützt. Dein Sicherheitkonzept ist Müll.

Alternativ zu Format C: kannst du dein letztes Image zurückschreiben. Aber du hast ja keines angelegt, weil dein Scanner und deine PFW dich beschützt.

--------------------------------------

Ich kann die Argumentation einiger User nicht verstehen. Ca. 2 Mio kostenlosen Vollversionen, welche zum Erstellen eines Partitionsbackup brauchbar waren, sind in deutschen Restmülltonnen verschwunden. Selbst in dieser Minute lässt sich mit ein klein wenig natürlicher Intelligenz ein brauchbares Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Tweaker, Scanner, PFWs und Removertools "En gros" verwendet.

0

#11 Mitglied ist offline   Sparkle2007 

  • Gruppe: aktive Mitglieder
  • Beiträge: 556
  • Beigetreten: 10. Februar 05
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 09. Dezember 2007 - 14:29

Beitrag anzeigenZitat (Hinterwäldler: 09.12.2007, 12:57)

Sasser http://www.bsi.bund....v/vb/sasser.htm was willst du noch mehr? Ist doch toll ein solches Würmchen im System zu haben. Weder dein PFW noch dein Scanner hat dich davor beschützt. Dein Sicherheitkonzept ist Müll.

Alternativ zu Format C: kannst du dein letztes Image zurückschreiben. Aber du hast ja keines angelegt, weil dein Scanner und deine PFW dich beschützt.

--------------------------------------

Ich kann die Argumentation einiger User nicht verstehen. Ca. 2 Mio kostenlosen Vollversionen, welche zum Erstellen eines Partitionsbackup brauchbar waren, sind in deutschen Restmülltonnen verschwunden. Selbst in dieser Minute lässt sich mit ein klein wenig natürlicher Intelligenz ein brauchbares Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Tweaker, Scanner, PFWs und Removertools "En gros" verwendet.

Ja klar ein Wurm von 2004!!

Hört bloß auf mit dieser Panikmache
Eingefügtes BildEingefügtes Bild

Dieser Beitrag wurde von ShadowHunter bearbeitet: 09. Dezember 2007 - 14:35
Änderungsgrund: Link entfernt

0

#12 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 09. Dezember 2007 - 15:45

Beitrag anzeigenZitat (Sparkle2007: 09.12.2007, 14:29)

Ja klar ein Wurm von 2004!!
Hört bloß auf mit dieser Panikmache

Ach so, nur weil dein Removertool nichts mehr findet ist dein System nicht kompromittiert? Wo lebst du denn? Zu isass.dll kennt Sophos allein 9 verschieden Malware, wobei 8 von ihnen Würmer sind: http://www.sophos.de/security/analyses/sea...p;action=search
Lies bitte was der Scannerhersteller dazu schreibt. besonders die Registerseiten [Erläuterung] dürften hoch interessant sein.

Warum stellst du hier Fragen, wenn du die exakten Antworten ablehnst.

Ich gehe mal davon aus, das du nicht weißt, was ein Wurm ist und das entschuldigt dein Verhalten. Die einzig für dich gültige FAQ findest du hier: http://faq.jors.net/virus und was von deinem Removertool zu halten ist, kannst du hier nachlesen: http://malte-wetz.de...ec-removal.html. Übrigens hat erst kürzlich einer der großen Hersteller veröffentlicht, das 57% alle deutschen PC kompromittiert sind. Was spricht dafür das es deiner nicht ist?

Und warum machst du kein Restore der Startpartition?

------------------------------

Nur Feiglinge sichern ihre Startpartition in einem Image. Wahre Helden von heute stellen sich der Herausforderung und benutzen Tweaker, PFWs, Scanner und Removertools. Sie waren bis gestern damit noch sehr zufrieden.
Ich bin ein Feigling.

0

#13 Mitglied ist offline   Sparkle2007 

  • Gruppe: aktive Mitglieder
  • Beiträge: 556
  • Beigetreten: 10. Februar 05
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 09. Dezember 2007 - 18:41

Ok danke für die Infos wenn mein Konto leergeräumt ist sage ich bescheid :rolleyes:.
0

#14 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 09. Dezember 2007 - 18:53

Beitrag anzeigenZitat (Sparkle2007: 09.12.2007, 18:41)

Ok danke für die Infos wenn mein Konto leergeräumt ist sage ich bescheid :rolleyes:.

Mit anderen Worten: Du hast noch immer nicht gelesen welche Funktionen ein Wurm hat. Woher bekommt man eigentlich so nen Dingbums? Hier im Forum wohl kaum.

------------------------------

Hinterwäldler hat neben WindowsXP-Home SP2 mit allen Fixes, Patches und Updates sowie FF&TB, jedoch ohne On-Access-Scanner und spezieller PFWs, dafür aber einem kostenlosen Paragon DriveBackup 7.5, auch Linux Suse 10.2 auf seiner Festplatte installiert.

0

#15 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.022
  • Beigetreten: 14. Juli 07
  • Reputation: 542
  • Geschlecht:unbekannt

geschrieben 09. Dezember 2007 - 19:01

Beitrag anzeigenZitat (Hinterwäldler: 09.12.2007, 18:53)

Woher bekommt man eigentlich so nen Dingbums? Hier im Forum wohl kaum.

Warum nicht? Muss doch nur jemand seine Signatur seltsam verlinken. Wär nicht das erste Forum, in dem so etwas passiert.
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0