# ISASS.EXE - Trojaner?



## Konstantin Gross (22. April 2004)

Hallo,
wo ich gestern rumgesurft bin, hat ne englische Seite ziemlich lange geladen, mein PC hat als gearbeitet und gearbeitet plötzlich meldet sich meine Firewall (Outpost Firewall) das die ISASS.EXE eine Anfrage ins Internet stellen möchte, hier die LOG:

ISASS.EXE	intospace.anort.com	HTTP	Ausgehend TCP
ISASS.EXE	bestforyou.mail15.com	HTTP	Ausgehend TCP

Das ist erst seit gestern und es kommt jetzt alle 15 Minuten die Abfrage ob ISASS.EXE nach draußen telefonieren darf  AdAware hat nichts gefunden und AntiVir auch nicht. Was soll ich tun? Normal hat ISASS ja glaub ich was mit Windows zu tun und davor hat es ja nie Probleme gemacht. Hilfe bitte


----------



## DrSoong (22. April 2004)

Also, auf meinem (vollkommen Viren- und Trojanerfreiem System) läuft die Datei LSASS.exe (kleingeschrieben lsass.exe) als Dienst. Die Beschreibung dazu lautet:
_Verwaltet IP-Sicherheitsrichtlinien und startet den IKE-Treiber (ISAKMP/Oakley) und den IP-Sicherheitstreiber._
Siehe auch dazu hier die Beschreibung.

Das ganze heißt natürlich nicht, dass sich nicht doch ein Trojaner eingeschlichen hat, der das Programm infiziert hat. Der wäre aber sicher dann doch erkannt worden.


Der Doc!


----------



## wackelpudding (22. April 2004)

ISASS.EXE [mit i wie Ingolf, statt L wie Ludwig] = Trojaner?

Definitiv ja! Google hat dieses ausgespuckt.

[font-tags entfernt...]


----------



## Konstantin Gross (23. April 2004)

Und wie krieg ich ihn nun weg? Kennt ihr gute Programme für? Weil ich glaube der bringt auch meinen Taskmanager zum Absturz.


----------



## Leola13 (23. April 2004)

Hai,

versuch doch mal das Programm  CWSHREDDER. Da gibt es in einem andern Forum (Internet ?) schon mehrere Post. Oder Google.

Ciao Stefan


----------



## Konstantin Gross (23. April 2004)

Also CWSHREDDER hat nix gefunden bei mir, ich habe mir mal den Hjackthis oder wie das heißt runtergeladen und er hat so paar Sachen gefunden. Muss mal schauen ob das noch kommt.


----------



## Konstantin Gross (23. April 2004)

JUHU es ist weg ^^ Hjackthis hat ihn entfernt. Bzw. er hat ihn in der Registry gefunden wie er bei jedem Systemstart geladen wurde, was bei Windows Diensten ja nicht über Autostart läuft. Und mein Taskmanager stürzt nicht mehr ab, welche Freude


----------



## brrzzl (11. Januar 2005)

Hi Leute...bin neu hier....wegen ISASS! oder auch LSASS
Wenn es ein Wurm ist...möchte ich folgende Frage aufwerfen:
Wie kann es sein, das ich eine Nagelneue Festplatte in einem (nicht ganz so nagelneuen System aber geflashtem Bios) mit einem ebenfalls nagelneuem XP SP2 OEM bespielen will, und er folgende Meldung bringt:
"Objekt kann nicht gefunden werden - isass.exe"
nach dem Klick auf OK bootet er neu.

Wenn es ein Virus ist, dann wohl ein ziemlich hartnäckiger....und ziemlich *gemein tief irgendwo drin sitzender*

bittedanke euer brrzl....


----------



## TobGod (11. Januar 2005)

Das ist garkein Problem, ich hatte es mal, dass ich nach einer Formatierung AntiVir runterladen wollte und nach ca. 10 min. neuem System, wieder einen Virus draufhatte. Scan dein Sys mal mit einem upgedateten Virusscanner, vielleicht findest du ja was..


----------



## brrzzl (11. Januar 2005)

Das System (Die Festplatte) hat in ihrem Leben noch keinen Internet oder Netzwerkzugang gehabt.
Der Computer hat auch zum gegenwärtigen Zeitpunkt keinen Netzwerkanschluß.
Aus der Luft oder von der XP-CD werden die Viren doch hoffentlich NOCH nicht kommen. Bitte nicht falsch verstehn *g* - jedenfalls Schmeiß ich grad nochmal alles runter und mach nochmal neu (mit FDisk und Format und XP-Install) und wenns dann nicht geht... erschieß ich den Kasten da wo das Wasser am tiefsten ist!
PS: Auf meinem "guten Computer" (der andere ist für'n Wald) ist eine Datei zu finden namens LSASS.exe ... die gehört aber definitiv zu Windows.


----------



## Filone (12. Januar 2005)

> Der wäre aber sicher dann doch erkannt worden.



Muss nicht zwingend sein. Man kann mit jedem Freeware-Hexeditor einen Server vor Antivir-Software verstecken, indem man die Strings manipuliert.

Die Firewall kann man ebenfalls umgehen, indem man einen RemoteThread erstellt. Dann schlägt die Firewall z.B. nicht an, wenn der RT im IE ist und der IE für allen Traffic freigeschaltet ist.

Der Trick mit großem i das dann wie ein kleines l aussieht ist übrigens älter. Erkennen kannst Du es bspw. daran, daß die LSASS.EXE vom System gestartet wird, Dein trojanischer Server aber unter dem aktuellen Benutzernamen.

Hinsichtlich der Deinstallation ist es ratsam, erst den Prozess zu beenden und dann die Registry zu durchsuchen, unter HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run legen die meißten einen Starteintrag an, vielleicht auch unter HKEY_CURREN_USER/Software..../Run.

Dabei dann gerade mal schauen, wo der Server gespeichert wurde (der Startpfad wird in der Registry ja abgelegt) und den Server löschen. Feddisch.

Sofern sich der Server nicht mit der WinLogon.exe patcht oder ein Hiddeninstall vorhanden ist.


----------



## Dotte (8. August 2005)

Counterfeit hat gesagt.:
			
		

> Also CWSHREDDER hat nix gefunden bei mir, ich habe mir mal den Hjackthis oder wie das heißt runtergeladen und er hat so paar Sachen gefunden. Muss mal schauen ob das noch kommt.


 Hallo,
bin ganz neu hier und habe ebenfalls Probleme mit lsass. jetzt habe ich HiJackthis runter geladen, weiß aber nicht genau was ich tun soll, die zeile mit lsass löschen? Am Schluß stürtzt mir alles ab!
Das hat er ausgespuckt, was muß ich jetzt tun?
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
D:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

Bitte um Hilfe! Danke
Dotte


----------

