|
|
|
sfg.dll, lsass.exe
HijackThis
O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg.dll"
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg.dll"
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
C:\WINDOWS\System32\sfg.dll
DrWeb 4.33 12.27.2005 DLOADER.Trojan
eTrust-Iris 7.1.194.0 12.27.2005 no virus found
eTrust-Vet 12.4.1.0 12.25.2005 no virus found
Verzeichnis von C:\WINDOWS\system32
22.11.2005 04:42 70 i
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
Local Security Authority Subsystem Service
in edit und klicke "Ok".
Notepad wird sich oeffnen
Start-->Ausführen--> regedit
bearbeiten--> suchen --> LSASS
Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LSASS\0000
"DeviceDesc"="Local Security Authority Subsystem Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lsass
"DeviceDesc"="Local Security Authority Subsystem Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_LSASS\0000
"DeviceDesc"="Local Security Authority Subsystem Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lsass
"DeviceDesc"="Local Security Authority Subsystem Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LSASS\0000
"DeviceDesc"="Local Security Authority Subsystem Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass
"DeviceDesc"="Local Security Authority Subsystem Service"
|
bitte nicht verwechseln mit dem regulaeren Dienst
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LSASS\0000]
"Service"="lsass" --> der darf nicht gelöscht werden !!!!!!!!!!!!
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip
- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
Unknown Service # 1
Service Name: lsass
Display Name: Local Security Authority Subsystem Service
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Path Finder Service Displays Internet Routing ...
Service Type: Own Process
Path: "c:\windows\lsass.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch
Start-->Ausführen--> cmd --> reinkopieren: regsvr32 /u sfg.dll
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
c:\windows\lsass.exe
C:\WINDOWS\system32\i
C:\WINDOWS\System32\sfg.dll
|
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
C:\DOKUME~1\User\LOKALE~1\Temp --> muss leer sein
Kaspersky - Virus Removal Tool - AVPTool
http://virus-protect.org/artikel/tools/kaspersky.html
|
|