Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lsass.exe setzt ungewollt registry key Werte

Frage Microsoft

Mitglied: MrBagoo

MrBagoo (Level 1) - Jetzt verbinden

19.12.2009 um 19:38 Uhr, 5991 Aufrufe, 7 Kommentare

Hallo,
ich habe folgendes Problem unter WinXP SP3 mit der "lsass.exe":

Wenn ich unter Ordneroptionen das Häkchen bei "Erweiterungen bei bekannten Dateiypen ausblenden" wegnehme und auf OK klicke, werden die Erweiterungen kurze Zeit später wieder ausgeblendet und wenn ich wieder bei den Ordneroptionen nachschaue ist das Häkchen auch wieder gesetzt.
Ich bin durch Suche in diesem und anderen Foren auf das Tool "regmon" gestoßen um zu schauen was mit dem entsprechenden registry key Eintrag passiert und habe folgendes herrausgefunden:
Die "lsass.exe" setzt alle paar Sekunden den Wert von
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt" (welcher angibt ob die Dateierweiterungen ein- oder ausgeblendet werden) auf 1 also werden die Dateierweiterungen immer wieder verborgen.
Warum geschieht das?
Weiss einer wie ich das abstellen kann?
Kann das ein Virus sein? (eigentlich unwahrscheinlich, hatte das Betriebssystem frisch aufgespielt und auch sofort ein Antivirus Programm installiert und Windows geupdated)

Ich würde mich über jeden Hinweis der das Problem lösen könnte freuen, habe schon lange gesucht und nichts dazu gefunden.
Mitglied: DerWoWusste
19.12.2009 um 19:50 Uhr
Welchen Pfad bewohnt denn die lsass.exe?
Bitte warten ..
Mitglied: MrBagoo
19.12.2009 um 20:01 Uhr
Hallo DerWoWusste,

ich hab mal danach gesucht und gleich mehrere lsass.exe gefunden:

C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1

Ich hoffe, dass es hilft.

edit: Es sei denn du hast den Pfad gemeint den mir regmon anzeigt. Das wäre dann c:\lsass.exe
komisch dass die bei der Suche dann nicht gefunden wurde, habe versteckte Elemente und Systemordner mit in die Suche einbezogen.
Bitte warten ..
Mitglied: DerWoWusste
19.12.2009 um 20:11 Uhr
Das ist garantiert ein Virus. Lad c:\lsass.exe hoch bei virustotal.com
Bitte warten ..
Mitglied: MrBagoo
19.12.2009 um 20:33 Uhr
Ok, hab ich gemacht, ich scanne gerade mit avira und hoffe ihn so weg zu bekommen.
Bitte warten ..
Mitglied: RiciTan
20.12.2009 um 00:28 Uhr
ich hatte auchmal ein virus der sich als lsass.exe getarnt hatte
der übertrug sich durch usbsticks
antiviren programme bringen rein garnix also wenn es der selbe is den ich hatte
auf meinem handy wa das fie auch drauf

ich hab mich gewundert wieso er auf meinem zweiten rechner nicht übersprang
aber kaspersky hatte es geblockt ( glück )

auf jeden fall habe ich mit dem System Explorer gesehn das isass.exe zweimal mitlief
einmal der normale prozess..... aber das zweite mal mit dem MSN symbol
das kahm mir spanisch vor
also hab ich den dateipfad zurückverfolgt bis in den ordner.... und hab den ganzen ordner geschreddert

dann war funkstille

ich hoffe dein virus is ähnlich und es hilft dir weiter

mfg >>RiciTan<<
Bitte warten ..
Mitglied: MrBagoo
20.12.2009 um 14:58 Uhr
Hallo,

so nachdem der scan von avira nichts gebracht hat, habe ich nochmal bei virustotal herumgestöbert und bin dabei auf Informationen gestoßen, welche registry Einträge dafür sorgen, dass dieser Prozess beim Systemstart mitstartet, da ich die Datei nicht einfach löschen konnte.
Nachdem ich in der Registry rumgepfuscht hatte, konnte ich zwar noch hoch fahren, aber direkt nach der Benutzeranmeldung wurde ich wieder abgemeldet. Ich kam also nicht mehr in Windows rein, hab auch unter anderem den abgesicherten Modus versucht, hat alles nichts gebracht.
Also nochmal formatiert und Windows neu drauf. Bis jetzt habe ich ihn noch nicht wieder, und will das auch wenn möglich verhindern. Avira bringt gegen diesen Virus scheinbar nichts, ich fühle mich diesem Virus derzeit etwas ausgeliefert, nach dem Motto: es ist nur eine Frage der Zeit bis ich ihn wieder habe. Werde jetzt aber mal ganz genau drauf achten, was ich mache und wie ich ihn mir einfange.
Danke auch für den Hinweis, dass er möglicherweise auf einem meiner USB sticks sein kann.

mfg MrBagoo
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 00:03 Uhr
Du bist keinem Virus ausgeliefert.
Gut, dass Du neu installiert hast, dann hast Du einen gesicherten Stand. Jetzt alles updaten (Windows und Software), ein eingeschränktes Konto verwenden, evtl. noch Autostarts dicht machen (da gibt es ein Tool von der C'T, das heißt kafu.exe) und schon ist es zwar nicht idiotensicher, aber ausreichend, wenn man es nicht gerade darauf anlegt, ständig unbekannte Dateien runterzuladen und auszuführen.
Bei angepasstem Verhalten ist die Gefahr einer Infektion auch ohne Scanner äußerst gering.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Viren und Trojaner
LSASS.EXE verursacht dauerhaften Netzwerktraffic (2)

Frage von Fr4nki zum Thema Viren und Trojaner ...

Windows Server
Server 2012 R2 Cleanmgr.exe mit Systemdateien bereinigen? Wie? (2)

Frage von busteron zum Thema Windows Server ...

Windows Vista
gelöst Vista Home Premium nur Basic Key (8)

Frage von Chonta zum Thema Windows Vista ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...