hi,

Ich habe das Problem das ich jedesmal wenn ich meinen Rechner Hochfahren will kurz bevor eigentlich die anmeldung von Windows XP kommen sollte kommt folgende meldung:

lsass.exe Systemfehler

Ein Ungültiger HANDLE wurde angegeben

Ich habe zwar bei der Boardsuche etwas ähnliches gefunden und zwar das hier: http://www.informationsarchiv.net/foren/beitrag-3982.html aber die Tipps zur Bereinigung haben mir nicht geholfen. Es wurde angegeben das ich einige Dateien löschen muss die sind bei mir aber nicht vorhanden. In der Registry waren zwar 2 Dateien die ich gefunden habe als ich nach "AVSERVE.EXE" gesucht habe aber die waren nicht in dem Ordner indem sie eigentlich sein sollten und als ich sie gelöscht habe hat es nichts verändert.

Habe auch schon AntiVir genau wie ein Programm was in dem Thread verlinkt (ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.zip) war durchlaufen lassen aber es hat beides nichts gebracht!

Kann Windows also nur noch im Abgesicherten Modus starten und hab da übrigends auch kein Internet.

Betriebssystem: Microsoft Windows XP und Suse Linux

Weis jetzt nicht weiter. Wäre Toll wenn mir einer helfen könnte!

Danke Schonmal im Vorraus

lsass.exe ist kein sasser, sondern eine systemdatei!!!
erstelle bitte mal ein logfile mit hijackthis(download siehe signatur) und stelle es hier rein!

Ich meinte auch nur das Ich/mein PC Probleme mit der lsass.exe hat und das Scheinbar durch einen Sasser Wurm hervorgerufen wird.

Naja Egal
hier die Logfile (natürlich unter abgesicherten Modus):

Code: Alles auswählen

Logfile of HijackThis v1.99.1
Scan saved at 16:03:06, on 23.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://83.133.110.24/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {1BD900A4-35F0-4B91-A131-9B1792A68A03} - C:\WINDOWS\system32\perfos32.dll
O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Programme\IntCodec\isaddon.dll (file missing)
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {70F1EA2A-071F-4D68-AA84-D74204A472D3} - C:\WINDOWS\system32\mscosies.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Mario Forever Toolbar Helper - {8036D4D7-AAD3-4793-AB49-329E437155A8} - C:\Programme\Mario Forever Toolbar\v2.0.0.3\Mario_Forever_Toolbar.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\DATA BECKER\Download Turbo\iebar.dll
O3 - Toolbar: Mario Forever Toolbar - {463DF6D5-BEC1-4d67-B217-59DB692DFC53} - C:\Programme\Mario Forever Toolbar\v2.0.0.3\Mario_Forever_Toolbar.dll
O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Programme\IntCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKLM\..\Run: [Windows Compliant] ihsfdk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MICROSOFT UNPACCKER SYSTEM] unpak32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [PCI Audio Applications] D:\Sound\C-Media\W2K-ME\app\Setup.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] ihsfdk.exe
O4 - HKLM\..\RunServices: [MICROSOFT UNPACCKER SYSTEM] unpak32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Compliant] ihsfdk.exe
O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Seopolo] "C:\Programme\Seopolo\Seopolo.exe" /autostart
O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GetRight Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRfox000
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Wecker-Alarm - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Übrigends danke schonmal für die schnelle Antwort!

O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZRfox000
O4 - HKLM\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKLM\..\Run: [MICROSOFT UNPACCKER SYSTEM] unpak32.exe

alles ziemlich böses zeug

O4 - HKCU\..\Run: [Seopolo] "C:\Programme\Seopolo\Seopolo.exe" /autostart

ist das ein programm von dir?

O2 - BHO: (no name) - {1BD900A4-35F0-4B91-A131-9B1792A68A03} - C:\WINDOWS\system32\perfos32.dll

dazu findet nicht mal google was-also vermutlich böse

zur entfernung bitte an Nikita wenden!

kann ich das einfach löschen???

Code: Alles auswählen

O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe[/list]

Das hier und so??

Vielen dank Ariczzz für die Hilfe bisher!

Suche einmal die exe und lade sie zwecks Überprüfung bei http://www.virustotal.com rauf und poste bitte das Log.

Ich finde die ganzen dateien die Ariczzz gepostet hat komischer weise überhaupt nicht ausser in der Registry und da weis ich nicht wie ich die hochladen soll!

Edit:

Wenn ich das einfach so lösche könnte das weitere Probleme verursachen?

bei viren nicht ungewöhnlich,
lässt du versteckte dateien anzeigen?
wenn nicht extras-ordneroptionen, ansicht und pünktchen bei "alle dfateien und ordner anzeigen" machen

Jo Hab ich jetzt gemacht und das hier hab ich gefunden:

O2 - BHO: (no name) - {1BD900A4-35F0-4B91-A131-9B1792A68A03} - C:\WINDOWS\system32\perfos32.dll

Die anderen immer noch nicht.
hier die logfile:

Code: Alles auswählen

Complete scanning result of "perfos32.dll", received in VirusTotal at 11.28.2006, 17:56:28 (CET).

Antivirus   Version   Update   Result
AntiVir   7.2.0.46   11.28.2006   ADSPY/BHO.aa.1
Authentium   4.93.8   11.27.2006   W32/Downloader.MNI
Avast   4.7.892.0   11.28.2006   Win32:Trojano-3384
AVG   386   11.28.2006   no virus found
BitDefender   7.2   11.28.2006   Trojan.BHO.WebPrefix.A
CAT-QuickHeal   8.00   11.28.2006   no virus found
ClamAV   devel-20060426   11.28.2006   AdWare.BHO-2
DrWeb   4.33   11.28.2006   no virus found
eSafe   7.0.14.0   11.28.2006   no virus found
eTrust-InoculateIT   23.73.69   11.28.2006   no virus found
eTrust-Vet   30.3.3219   11.28.2006   no virus found
Ewido   4.0   11.28.2006   Trojan.BHO.b
Fortinet   2.82.0.0   11.28.2006   Adware/KeenValue
F-Prot   3.16f   11.27.2006   security risk named W32/Downloader.MNI
F-Prot4   4.2.1.29   11.27.2006   W32/Downloader.MNI
Ikarus   0.2.65.0   11.28.2006   AdWare.Win32.BHO.aa
Kaspersky   4.0.2.24   11.28.2006   not-a-virus:AdWare.Win32.BHO.aa
McAfee   4906   11.28.2006   potentially unwanted program Adware-KeenValue
Microsoft   1.1804   11.28.2006   no virus found
NOD32v2   1887   11.28.2006   a variant of Win32/Adware.BHO.AA
Norman   5.80.02   11.28.2006   W32/BHO.X
Panda   9.0.0.4   11.28.2006   Adware/KeenValue
Prevx1   V2   11.28.2006   no virus found
Sophos   4.11.0   11.16.2006   Mapkon
TheHacker   6.0.3.124   11.27.2006   Adware/BHO.aa
UNA   1.83   11.27.2006   Trojan.Win32.BHO.A9D7
VBA32   3.11.1   11.28.2006   suspected of Trojan-Downloader.Agent.49
VirusBuster   4.3.15:9   11.28.2006   no virus found

Aditional Information
File size: 33251 bytes
MD5: 40723f2f83d58fce0c4a6443efa20200
SHA1: 1c5c817bcca8005f524ae1b75c605c36a6f560ae

also wie ist das den jetzt?? kann ich die dateien die ich gefunden habe, also die dll und die registry einträge löschen?? und weis vielleicht jemand wie ich die anderen dateien noch finden kann?? die müssen ja irgendwie da sein.

danke

hast du schon an Nikita geschrieben?

ja hab ihm ne pm geschickt aber er hat noch nicht geantwortet

edit:scheinbar war er auch nch nicht wieder online zumindest steht die nachricht nicht bei gesendete nachrichten sondern bei postausgang

dann probier es bitte bei gipsy111 !

Ich hab ihm vorhin ne mitteilung geschickt.
Aber Vielleicht brauch ich seine Hilfe jetzt gar nicht mehr.

Ich bin nämlich gerade im Windows(ohne abgesicherten modus).

Ich bin im Abgesicherten Modus endlich mal auf die Idee gekommen eine Systemwiederherrstellung zu machen. Beim ersten mal hats nichts gebracht und es kam dann als ich im Abgesicherten Modus gestartet habe die Meldung das es nicht geklappt hat. Bei einem anderen Datum bei von dem ich das System wiederhergestellt habe konnte ich dann das "Normale" Windows starten aber trotzdem kam die meldung das es nicht geklappt hat.

Ich habe jetzt ein bisschen Angst den PC wieder runterzufahren

Was meint ihr soll ich jetzt am besten machen?

Nachdem ich gestern noch mehrmals problemlos neustarten kann geht heute wieder GAR nix! Egal was ich in sachen Systemwiederherrstellung!