Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lsass.exe setzt ungewollt registry key Werte

Mitglied: MrBagoo

MrBagoo (Level 1) - Jetzt verbinden

19.12.2009 um 19:38 Uhr, 6017 Aufrufe, 7 Kommentare

Hallo,
ich habe folgendes Problem unter WinXP SP3 mit der "lsass.exe":

Wenn ich unter Ordneroptionen das Häkchen bei "Erweiterungen bei bekannten Dateiypen ausblenden" wegnehme und auf OK klicke, werden die Erweiterungen kurze Zeit später wieder ausgeblendet und wenn ich wieder bei den Ordneroptionen nachschaue ist das Häkchen auch wieder gesetzt.
Ich bin durch Suche in diesem und anderen Foren auf das Tool "regmon" gestoßen um zu schauen was mit dem entsprechenden registry key Eintrag passiert und habe folgendes herrausgefunden:
Die "lsass.exe" setzt alle paar Sekunden den Wert von
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt" (welcher angibt ob die Dateierweiterungen ein- oder ausgeblendet werden) auf 1 also werden die Dateierweiterungen immer wieder verborgen.
Warum geschieht das?
Weiss einer wie ich das abstellen kann?
Kann das ein Virus sein? (eigentlich unwahrscheinlich, hatte das Betriebssystem frisch aufgespielt und auch sofort ein Antivirus Programm installiert und Windows geupdated)

Ich würde mich über jeden Hinweis der das Problem lösen könnte freuen, habe schon lange gesucht und nichts dazu gefunden.
Mitglied: DerWoWusste
19.12.2009 um 19:50 Uhr
Welchen Pfad bewohnt denn die lsass.exe?
Bitte warten ..
Mitglied: MrBagoo
19.12.2009 um 20:01 Uhr
Hallo DerWoWusste,

ich hab mal danach gesucht und gleich mehrere lsass.exe gefunden:

C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1

Ich hoffe, dass es hilft.

edit: Es sei denn du hast den Pfad gemeint den mir regmon anzeigt. Das wäre dann c:\lsass.exe
komisch dass die bei der Suche dann nicht gefunden wurde, habe versteckte Elemente und Systemordner mit in die Suche einbezogen.
Bitte warten ..
Mitglied: DerWoWusste
19.12.2009 um 20:11 Uhr
Das ist garantiert ein Virus. Lad c:\lsass.exe hoch bei virustotal.com
Bitte warten ..
Mitglied: MrBagoo
19.12.2009 um 20:33 Uhr
Ok, hab ich gemacht, ich scanne gerade mit avira und hoffe ihn so weg zu bekommen.
Bitte warten ..
Mitglied: RiciTan
20.12.2009 um 00:28 Uhr
ich hatte auchmal ein virus der sich als lsass.exe getarnt hatte
der übertrug sich durch usbsticks
antiviren programme bringen rein garnix also wenn es der selbe is den ich hatte
auf meinem handy wa das fie auch drauf

ich hab mich gewundert wieso er auf meinem zweiten rechner nicht übersprang
aber kaspersky hatte es geblockt ( glück )

auf jeden fall habe ich mit dem System Explorer gesehn das isass.exe zweimal mitlief
einmal der normale prozess..... aber das zweite mal mit dem MSN symbol
das kahm mir spanisch vor
also hab ich den dateipfad zurückverfolgt bis in den ordner.... und hab den ganzen ordner geschreddert

dann war funkstille

ich hoffe dein virus is ähnlich und es hilft dir weiter

mfg >>RiciTan<<
Bitte warten ..
Mitglied: MrBagoo
20.12.2009 um 14:58 Uhr
Hallo,

so nachdem der scan von avira nichts gebracht hat, habe ich nochmal bei virustotal herumgestöbert und bin dabei auf Informationen gestoßen, welche registry Einträge dafür sorgen, dass dieser Prozess beim Systemstart mitstartet, da ich die Datei nicht einfach löschen konnte.
Nachdem ich in der Registry rumgepfuscht hatte, konnte ich zwar noch hoch fahren, aber direkt nach der Benutzeranmeldung wurde ich wieder abgemeldet. Ich kam also nicht mehr in Windows rein, hab auch unter anderem den abgesicherten Modus versucht, hat alles nichts gebracht.
Also nochmal formatiert und Windows neu drauf. Bis jetzt habe ich ihn noch nicht wieder, und will das auch wenn möglich verhindern. Avira bringt gegen diesen Virus scheinbar nichts, ich fühle mich diesem Virus derzeit etwas ausgeliefert, nach dem Motto: es ist nur eine Frage der Zeit bis ich ihn wieder habe. Werde jetzt aber mal ganz genau drauf achten, was ich mache und wie ich ihn mir einfange.
Danke auch für den Hinweis, dass er möglicherweise auf einem meiner USB sticks sein kann.

mfg MrBagoo
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 00:03 Uhr
Du bist keinem Virus ausgeliefert.
Gut, dass Du neu installiert hast, dann hast Du einen gesicherten Stand. Jetzt alles updaten (Windows und Software), ein eingeschränktes Konto verwenden, evtl. noch Autostarts dicht machen (da gibt es ein Tool von der C'T, das heißt kafu.exe) und schon ist es zwar nicht idiotensicher, aber ausreichend, wenn man es nicht gerade darauf anlegt, ständig unbekannte Dateien runterzuladen und auszuführen.
Bei angepasstem Verhalten ist die Gefahr einer Infektion auch ohne Scanner äußerst gering.
Bitte warten ..
Ähnliche Inhalte
Webbrowser

Werte in der Registry werden nicht angewendet

gelöst Frage von MarcysWebbrowser4 Kommentare

Hallo, ich habe ein Problem mit der Registry. Und zwar setze ich die Werte für den Proxy nicht über ...

Windows Server

SCCM2012 Abfrage eines Registry Wertes

gelöst Frage von busteronWindows Server5 Kommentare

Hallo an die Gemeinschaft, ich hänge momentan an ein Problem wo ich gerade nicht weiter weiß. Weiß jemand ob ...

Batch & Shell

Powershell: Wert aus Registry auslesen und mit vorhandenem Wert vergleichen

gelöst Frage von BrowserlauserBatch & Shell5 Kommentare

Hallo, ich stehe vor folgendem Problem: Ich möchte per Powershell aus der Registry einen bestimmten Wert auslesen. Beispiel: in ...

Batch & Shell

Wert in Registry suchen und in Variable speichern

Frage von J.TrollBatch & Shell2 Kommentare

Hi Liebes Form Ich hab ein Problem mit einem denke ich recht einfachen Programmteil. Vielleicht kann mir jemand von ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 12 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 18 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

SAN, NAS, DAS
Qnap TS-453S Pro - Anbindung Active Directory
Frage von JuckieSAN, NAS, DAS13 Kommentare

Hallo zusammen, ich habe hier eine Qnap TS-453S Pro die sich mal so absolut gar nicht in das Active ...