Lauter Viren, nach Entfernung Netzwerk lamgelegt!

[LordObsidian]

Hi, ich möchte kurz und fachlich das Problem beschreiben über schnelle Hilfe wäre ich sehr dankbar!

Es handelt sich um ein XP Pro System.

Der Rechner (von bekannten) war mit 43 Viren befallen und ohne Ende Spyware.

Die Spyware habe ich manuell gelöscht auch einträge aus Registry und msconfig (Autostart).

1. Problem Registry und msconfig schließen sich nach wenigen sekunden von allein, nur im Abgesicherten Modus bleiben sie stabil offen.

Nachdem ich die Software erfolgreich entfernt hatte lief der PC und Internet noch wunderbar!

Dann ließ ich AntiVir über das System laufen Ergebnis 43 Funde meist belanglose Dateien die ich löschen lies biss auf lsass.exe und eine weitere wichtige gelockte System datei, die ließ ich bei Neustart löschen!

Dann befanden sich noch infizierte Dateien in einer Treiber *.cab Datei, welche nicht gelöscht wurden.

Nach Neustart des Systems (lief einwandfrei) empfängt der PC keine Päckchen mehr von dem Router! (DLink W-Lan Router, aber über Kabel angeschlossen). Folglich kann ich weder ins LAN noch ins Internet.

Was kann passiert sein? Ist es wahrscheinlich, dass AntiVir auch eine oder mehrere Treiber Dateien für die Kommunikation gelöscht hat und deswegen der PC keine Pakete mehr empfängt?

Es gab keine Fehlermeldungen gar nichts und vor AntiVir lief das alles noch wunderbar!

Liebe Grüße

Daniel

P.S.: Werde wohl eine Neuinstallation von XP vornehmen müssen, oder?

[the_chaos]

hi

ich weiss nicht mehr genau, was lsass hieß, aber es ist eine wichtige systemdatei. als "sasser" rumging, hab ich die datei aus sämtlichen registry einträgen gelöscht(dumm wie ich war... ), danach ließ sich das system nicht mal mehr starten. kann man vieleicht reparieren, aber ka wie. vieleicht mit der reparaturkonsole.

[hades]

Du wirst um eine Neuinstallation des Systems nicht drumherum kommen.

Dann folgendes durchfuehren/beachten:

- SP2 installieren

- Das System immer auf dem neuesten Stand halten (Automatische Updates)

- stets einen aktuellen Virenscanner einsetzen

- nicht benoetigte Dienste ausschalten

- keine unbekannten Anhaenge oeffnen

- Alternativbrowser (Firefox, Opera) und -Emailprogramme (TheBat, Pegasus, Eudora) nutzen

[hades]

Nachtrag zu LSASS.exe:

Der LSASS-Dienst (Local Security Authority Subsystem Service) stellt eine Schnittstelle zum Verwalten der lokalen Sicherheit, der Domänenauthentifizierung sowie für Active Directory-Prozesse zur Verfügung. Der Dienst regelt die Authentifizierung für den Client und den Server. Außerdem enthält er Features für die Unterstützung von Active Directory-Dienstprogrammen.

Es gibt nur die LSASS.exe, aehnlich lautende Namen (z.B. LSSAS.exe) deuten auf einen Virenbefall hin.

Fehlende Patches lassen sich mit dem Microsoft Baseline Security Analyzer (MBSA) aufspueren.

siehe http://www.microsoft.com/downloads/details.aspx?FamilyID=b13ebd6b-e258-4625-b0a3-64a4879f7798&displaylang=de

[the_chaos]

und wieviele Private Daten und Festplatteninhalte werden dabei wieder mit gesendet?

[hades]

und wieviele Private Daten und Festplatteninhalte werden dabei wieder mit gesendet?

Keine.

Es wird eine XML-Datei von den MS Servern auf den lokalen PC uebertragen und der MBSA vergleicht lokal die installierten Patches mit der Liste in der XML-Datei und zeigt das Ergebnis an.

[the_chaos]

das is ja mal ne gute nachricht. dann werden wir das gleichmal machen...