sfg.dll,lsass.exe

sfg.dll , lsass.exe

sfg.dll lsass.exe

sfg.dll, lsass.exe

HijackThis

O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg.dll"
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg.dll"

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe

C:\WINDOWS\System32\sfg.dll

DrWeb 4.33 12.27.2005 DLOADER.Trojan
eTrust-Iris 7.1.194.0 12.27.2005 no virus found
eTrust-Vet 12.4.1.0 12.25.2005 no virus found

Verzeichnis von C:\WINDOWS\system32
22.11.2005 04:42 70 i

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php

und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Local Security Authority Subsystem Service

in edit und klicke "Ok".
Notepad wird sich oeffnen

Start-->Ausführen--> regedit

bearbeiten--> suchen --> LSASS
Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LSASS\0000
"DeviceDesc"="Local Security Authority Subsystem Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lsass
"DeviceDesc"="Local Security Authority Subsystem Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_LSASS\0000
"DeviceDesc"="Local Security Authority Subsystem Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lsass
"DeviceDesc"="Local Security Authority Subsystem Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LSASS\0000
"DeviceDesc"="Local Security Authority Subsystem Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass
"DeviceDesc"="Local Security Authority Subsystem Service"

bitte nicht verwechseln mit dem regulaeren Dienst

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LSASS\0000]
"Service"="lsass" --> der darf nicht gelöscht werden !!!!!!!!!!!!

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

Unknown Service # 1
Service Name: lsass
Display Name: Local Security Authority Subsystem Service
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Path Finder Service Displays Internet Routing ...
Service Type: Own Process
Path: "c:\windows\lsass.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Start-->Ausführen--> cmd --> reinkopieren: regsvr32 /u sfg.dll

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

c:\windows\lsass.exe
C:\WINDOWS\system32\i
C:\WINDOWS\System32\sfg.dll

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

C:\DOKUME~1\User\LOKALE~1\Temp --> muss leer sein

Kaspersky - Virus Removal Tool - AVPTool
http://virus-protect.org/artikel/tools/kaspersky.html