ISASS.EXE - Trojaner?

[Filone]

Der wäre aber sicher dann doch erkannt worden.

Muss nicht zwingend sein. Man kann mit jedem Freeware-Hexeditor einen Server vor Antivir-Software verstecken, indem man die Strings manipuliert.

Die Firewall kann man ebenfalls umgehen, indem man einen RemoteThread erstellt. Dann schlägt die Firewall z.B. nicht an, wenn der RT im IE ist und der IE für allen Traffic freigeschaltet ist.

Der Trick mit großem i das dann wie ein kleines l aussieht ist übrigens älter. Erkennen kannst Du es bspw. daran, daß die LSASS.EXE vom System gestartet wird, Dein trojanischer Server aber unter dem aktuellen Benutzernamen.

Hinsichtlich der Deinstallation ist es ratsam, erst den Prozess zu beenden und dann die Registry zu durchsuchen, unter HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run legen die meißten einen Starteintrag an, vielleicht auch unter HKEY_CURREN_USER/Software..../Run.

Dabei dann gerade mal schauen, wo der Server gespeichert wurde (der Startpfad wird in der Registry ja abgelegt) und den Server löschen. Feddisch.

Sofern sich der Server nicht mit der WinLogon.exe patcht oder ein Hiddeninstall vorhanden ist.

 

[Dotte]

Also CWSHREDDER hat nix gefunden bei mir, ich habe mir mal den Hjackthis oder wie das heißt runtergeladen und er hat so paar Sachen gefunden. Muss mal schauen ob das noch kommt.

Hallo,
bin ganz neu hier und habe ebenfalls Probleme mit lsass. jetzt habe ich HiJackthis runter geladen, weiß aber nicht genau was ich tun soll, die zeile mit lsass löschen? Am Schluß stürtzt mir alles ab!
Das hat er ausgespuckt, was muß ich jetzt tun?
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
D:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

Bitte um Hilfe! Danke
Dotte