Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lsass.exe setzt ungewollt registry key Werte

Frage Microsoft

Mitglied: MrBagoo

MrBagoo (Level 1) - Jetzt verbinden

19.12.2009 um 19:38 Uhr, 6010 Aufrufe, 7 Kommentare

Hallo,
ich habe folgendes Problem unter WinXP SP3 mit der "lsass.exe":

Wenn ich unter Ordneroptionen das Häkchen bei "Erweiterungen bei bekannten Dateiypen ausblenden" wegnehme und auf OK klicke, werden die Erweiterungen kurze Zeit später wieder ausgeblendet und wenn ich wieder bei den Ordneroptionen nachschaue ist das Häkchen auch wieder gesetzt.
Ich bin durch Suche in diesem und anderen Foren auf das Tool "regmon" gestoßen um zu schauen was mit dem entsprechenden registry key Eintrag passiert und habe folgendes herrausgefunden:
Die "lsass.exe" setzt alle paar Sekunden den Wert von
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt" (welcher angibt ob die Dateierweiterungen ein- oder ausgeblendet werden) auf 1 also werden die Dateierweiterungen immer wieder verborgen.
Warum geschieht das?
Weiss einer wie ich das abstellen kann?
Kann das ein Virus sein? (eigentlich unwahrscheinlich, hatte das Betriebssystem frisch aufgespielt und auch sofort ein Antivirus Programm installiert und Windows geupdated)

Ich würde mich über jeden Hinweis der das Problem lösen könnte freuen, habe schon lange gesucht und nichts dazu gefunden.
Mitglied: DerWoWusste
19.12.2009 um 19:50 Uhr
Welchen Pfad bewohnt denn die lsass.exe?
Bitte warten ..
Mitglied: MrBagoo
19.12.2009 um 20:01 Uhr
Hallo DerWoWusste,

ich hab mal danach gesucht und gleich mehrere lsass.exe gefunden:

C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1

Ich hoffe, dass es hilft.

edit: Es sei denn du hast den Pfad gemeint den mir regmon anzeigt. Das wäre dann c:\lsass.exe
komisch dass die bei der Suche dann nicht gefunden wurde, habe versteckte Elemente und Systemordner mit in die Suche einbezogen.
Bitte warten ..
Mitglied: DerWoWusste
19.12.2009 um 20:11 Uhr
Das ist garantiert ein Virus. Lad c:\lsass.exe hoch bei virustotal.com
Bitte warten ..
Mitglied: MrBagoo
19.12.2009 um 20:33 Uhr
Ok, hab ich gemacht, ich scanne gerade mit avira und hoffe ihn so weg zu bekommen.
Bitte warten ..
Mitglied: RiciTan
20.12.2009 um 00:28 Uhr
ich hatte auchmal ein virus der sich als lsass.exe getarnt hatte
der übertrug sich durch usbsticks
antiviren programme bringen rein garnix also wenn es der selbe is den ich hatte
auf meinem handy wa das fie auch drauf

ich hab mich gewundert wieso er auf meinem zweiten rechner nicht übersprang
aber kaspersky hatte es geblockt ( glück )

auf jeden fall habe ich mit dem System Explorer gesehn das isass.exe zweimal mitlief
einmal der normale prozess..... aber das zweite mal mit dem MSN symbol
das kahm mir spanisch vor
also hab ich den dateipfad zurückverfolgt bis in den ordner.... und hab den ganzen ordner geschreddert

dann war funkstille

ich hoffe dein virus is ähnlich und es hilft dir weiter

mfg >>RiciTan<<
Bitte warten ..
Mitglied: MrBagoo
20.12.2009 um 14:58 Uhr
Hallo,

so nachdem der scan von avira nichts gebracht hat, habe ich nochmal bei virustotal herumgestöbert und bin dabei auf Informationen gestoßen, welche registry Einträge dafür sorgen, dass dieser Prozess beim Systemstart mitstartet, da ich die Datei nicht einfach löschen konnte.
Nachdem ich in der Registry rumgepfuscht hatte, konnte ich zwar noch hoch fahren, aber direkt nach der Benutzeranmeldung wurde ich wieder abgemeldet. Ich kam also nicht mehr in Windows rein, hab auch unter anderem den abgesicherten Modus versucht, hat alles nichts gebracht.
Also nochmal formatiert und Windows neu drauf. Bis jetzt habe ich ihn noch nicht wieder, und will das auch wenn möglich verhindern. Avira bringt gegen diesen Virus scheinbar nichts, ich fühle mich diesem Virus derzeit etwas ausgeliefert, nach dem Motto: es ist nur eine Frage der Zeit bis ich ihn wieder habe. Werde jetzt aber mal ganz genau drauf achten, was ich mache und wie ich ihn mir einfange.
Danke auch für den Hinweis, dass er möglicherweise auf einem meiner USB sticks sein kann.

mfg MrBagoo
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 00:03 Uhr
Du bist keinem Virus ausgeliefert.
Gut, dass Du neu installiert hast, dann hast Du einen gesicherten Stand. Jetzt alles updaten (Windows und Software), ein eingeschränktes Konto verwenden, evtl. noch Autostarts dicht machen (da gibt es ein Tool von der C'T, das heißt kafu.exe) und schon ist es zwar nicht idiotensicher, aber ausreichend, wenn man es nicht gerade darauf anlegt, ständig unbekannte Dateien runterzuladen und auszuführen.
Bei angepasstem Verhalten ist die Gefahr einer Infektion auch ohne Scanner äußerst gering.
Bitte warten ..
Ähnliche Inhalte
Windows XP
Powershell: Registry-Wert setzen
gelöst Frage von AnkhMorporkWindows XP10 Kommentare

Hallo zusammen, Win XP, 32 bit, SP3, Patchstand tagesaktuell PS 2.0 Ich versuche die Auslagerungsdatei in der Registry neu ...

Webbrowser
Werte in der Registry werden nicht angewendet
gelöst Frage von MarcysWebbrowser4 Kommentare

Hallo, ich habe ein Problem mit der Registry. Und zwar setze ich die Werte für den Proxy nicht über ...

Windows Server
SCCM2012 Abfrage eines Registry Wertes
gelöst Frage von busteronWindows Server5 Kommentare

Hallo an die Gemeinschaft, ich hänge momentan an ein Problem wo ich gerade nicht weiter weiß. Weiß jemand ob ...

Batch & Shell
Powershell: Wert aus Registry auslesen und mit vorhandenem Wert vergleichen
gelöst Frage von BrowserlauserBatch & Shell5 Kommentare

Hallo, ich stehe vor folgendem Problem: Ich möchte per Powershell aus der Registry einen bestimmten Wert auslesen. Beispiel: in ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 4 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 10 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 21 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 23 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless16 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...