[Virus] Sasser-worm (LSASS.EXE)

[CrazY G]

hallo

Ik heb sinds kort een virus in me pc. Me pc is nu heel erg traag omdat de cpu load vaak 100% is.
En ik krijg heel vaak dit scherm in beeld

Dan gaat hij dus aftellen en dan sluit mijn systeem af.

Hoe haal ik dit weg

[Marcus]

Online virusscan van Symantec

[Enlightenment]

Je bent besmet met de recent opgedoken Sasser worm, en hebt je windows-systeem al 18 dagen lang niet gedicht tegen een zeer ernstig lek in Windows. Dus dit probleem zou ik willen plaatsen in de categorie "careless".

1) Update je Windows! www.windowsupdate.com
2) Gebruik een firewall en sluit port 445
3) Zet de automatische update-functie aan en installeer die updates ook
4) Abonneer je op de CERT-NL Waarschuwingsdienst van de overheid: www.waarschuwingsdienst.nl

[Enlightenment]

Direkte removal tool:

http://www.fluffles.net/files/f-sasser.exe (89KB)

[freyk]

Citaat:

Enlightenment schreef op 02-05-2004 @ 15:58 :
Direkte removal tool:

http://www.fluffles.net/files/f-sasser.exe (89KB)

En als je het handmatig wilt doen, zie hier

[dragonrider]

waarrom staat er lsass.exe in de topic titel. Deze exe staat bij mij ook in taskmanager, al een hele tijd als ik me niet vergis. En ik merk ook niets van dat de computer afsluit of iets dergelijks.

[meeuw]

yo kzit mee dazelfde virus, ik heb die f-sasser geprobeerd ma helpt nie ook stinger geprobeerd helpt ok nie, wa kan ik nog doen?

[freyk]

Maar wat ik nou vreemd vind.
Als ik bij WinTasks Process Library lsass.exe intyp, dan krijg ik dit:

Citaat:

Process File: lsass or lsass.exe
Process Name: Local Security Authority Service
Description: Windows Local Security Authority Server Process handles Windows security mechanisms. It verifies the validity of user logons to your computer or server. Technically, the software generates the process that is responsible for authenticating users for the Winlogon service.
Company: Microsoft Corp.
System Process: Yes
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
Common Errors: N/A

Lsass.exe is een programma wat windows nodig heeft.

[Koen]

Trojans/virussen gebruiken wel vaker bestanden die bij Windows horen om de boel in de war te schoppen. Juist dan líjkt 't geen virus.

[freyk]

Maar als Uniblue systems zegt dat lsass.exe een programma wat windows nodigt heef. Dan hebben ze toch gelijk?
Of hebben die lui er dan ook last van. (nee, dat lijkt me sterk)

Ik denk eerder als je waarschuwingen krijgt zoals de waarschuwingen van de topicstarter, dat je dan echt de virus/trojan hebt.

[Puta]

dit lijkt erg veel op het ms blaster virus, of zie ik dat verkeerd?

[Eurydice]

Kheb deze worm nu ook, stom natuurlijk, maarja, kmoet hier drie computers onderhouden en dan vergeet ik windows update wel ene keer

anyway, die link die je gaf Enlightment, lijkt voor mij niet te werken, hij opent dan msdospromt en lijkt te scannen mar geeft verder ook geen resultaten of iets dergelijks.

Kheb dus http://securityresponse.symantec.com...oval.tool.html gedownload en die lijkt dan weer wél te werken, hij is nog aant scannen dus ik weet het snel genoeg.

Toen ik hem pas kreeg dacht ik ook meteen aan blaster worm dus ik meteen FixBlast downloaden en tot mijn grote verbazing vond ik niks... dus dan wat research gedaan deze worm dus

edit: Na een lange scan blijkt de removal tool hem niet gevonden te hebben...

Zijn er nog meer virussen die dit kunnen veroorzaken behalve deze dus en blaster?

[freyk]

Citaat:

freyk schreef op 02-05-2004 @ 19:49 :
Ik denk eerder als je waarschuwingen krijgt zoals de waarschuwingen van de topicstarter, dat je dan echt de virus/trojan hebt.

Dit klopt!
Want nadat ik ontdekt had dat bij mij Lsass.exe automatisch runde ben ik gaan scannen met die tool van symantec.

En die vond niks

[Eurydice]

Kheb nu trouwens ook de online virus scanner van symatec geprobeerd, dus zowel de remover en de scanner, maar beide vinden niks.

Hij geeft voordat het "systeem afsluiten" in beel komt ook aan dat een progamma moet worden afgesloten, iets met "Exporter" kzal de komende keer dat hij het doet eens goed kijken wat dat precies is.

Rare is dat dat progamma niet in mijn opstart lijst staat.

K run de removal tool nog een keer, kheb intussen wel windows update gerunned dus misschien dat het daaraan ligt...

[CrazY G]

ik heb die removal tool van enlightenment gebruikt. Daarna systeem gescand met norton antivurs2004. Die vind niks, maar daarvoor ook niet, dus dat zegt niets.

Nu krijg ik weer iets anders. Als ik mijn systeem opstart krijg ik een dos window. Die het volgende bestand lijkt uit te voeren: C:/WINDOWS/System32/scvhost.exe
Die blijft maar open staan en ik moet hem handmatig afsluiten. Ik heb geprobeerd het bestand op te zoeken, maar deze is niet aanwezig in de opgegeven pad, ook niet als verborgen bestand.

[CrazY G]

screenshot

[freyk]

Nou,..dit is al vooral niet goed!
Vooral als hij contact probeert te maken met een newsgroup met rukplaatjes.

Ik raad je aan om je autorun in je register eens te bekijken!
En hier een hijackthis log van je pc te posten (zie daarover hier meer info)

En ik raad je aan om de search optie van symantec te gebruiken (gebruik daar als zoekwoord "lsass.exe")
Om zo uit te zoeken welke worm je wel hebt.

Want volgends mij heb je geen last van die sasser worm, misschien eerder een van de varianten.

Citaat:

Put@ schreef op 02-05-2004 @ 20:08 :
dit lijkt erg veel op het ms blaster virus, of zie ik dat verkeerd?

Je ziet het niet verkeerd. Blaster gebruikte de Remote Procedure Call (RPC), en dat is ook een windows proces.

Mocht je computer steeds afsluiten tijdens het updaten van windows/verwijderen van de worm, ga naar start-->uitvoeren-->"shutdown /a". Zo blijft je computer aanstaan en kan je doorgaan.

Hij probeert ook AOL vol te spammen.

[Enlightenment]

Citaat:

Put@ schreef op 02-05-2004 @ 20:08 :
dit lijkt erg veel op het ms blaster virus, of zie ik dat verkeerd?

Dat klopt. Zowel Blaster als Sasser maken gebruik van een ernstige kwetsbaarheid in Windows, beide waarvoor al geruime tijd een patch bestond en mensen onvoorzichtig genoeg waren om deze tijdenlang niet te installeren.

Voor zowel Blaster als Sasser is het niet nodig om iets te doen om het op te lopen, simpelweg je verbinding openhouden met een ungepatched systeem zonder firewall en zonder router, is voldoende om de worm op te lopen.

LSASS.exe is een windows proces ja, RPC was een service, draaien in een svchost.exe proces (Service Host).

@CrazY G, ik zie daar scvhost.exe staan. Dit is *GEEN* windows proces, dat is svchost.exe. Ze maken gebruik van een soortgelijke naam die mensen niet kunnen onderscheiden.

Sowieso vind ik het raar dat systeemprocessen niet expliciet anders vermeld worden in de taskmanager.

[CrazY G]

ja ik had eerst een router, maar die heb ik nu weggehaald en gelijk die virus opgelopen.
Maar enlightenment hoe haal ik die tweede symptoon dan weg, met dat scvhost.exe? Mijn windows is inmiddels geupdate.
thnx

[Enlightenment]

Zelf met reg-edit aan de slag. Maar een moderne anti-virus met zeer recente (net geupdated) viruslijst zou dat moeten detecteren en verwijderen.

[freyk]

Citaat:

freyk schreef op 02-05-2004 @ 22:41 :
Ik raad je aan om je autorun in je register eens te bekijken!

Ik zei het dus al eerder.

Gewoon ff een sleutel wissen met regedit.
Neem een kijkje bij
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[Miss Helena]

Ik had dat virus ook, en heb het net weg kunnen halen met stinger.exe

hier downloaden

[deathz0rz]

wat is het leven toch makkelijk als je achter een router zit...

[Lil' Stef]

of gewoon win 98 gebruiken.......veel beter...

[Koning]

Citaat:

Lil' Stef schreef op 03-05-2004 @ 12:29 :
of gewoon win 98 gebruiken.......veel beter...

nee

[freyk]

Citaat:

Lil' Stef schreef op 03-05-2004 @ 12:29 :
of gewoon win 98 gebruiken.......veel beter...

Pff, gebruik dan gewoon linux

weer even terug on-topic graag

[Enlightenment]

Citaat:

deathz0rz schreef op 03-05-2004 @ 11:49 :
wat is het leven toch makkelijk als je achter een router zit...

Ja, behalve als mensen DMZ gaan gebruiken

Heb je er nog niks aan. :/

[Puta]

Citaat:

Enlightenment schreef op 04-05-2004 @ 00:10 :
Ja, behalve als mensen DMZ gaan gebruiken

Heb je er nog niks aan. :/

dmz?

[M@rco]

Citaat:

Put@ schreef op 04-05-2004 @ 01:50 :
dmz?

DeMilitarized Zone. Normaal gesproken zijn bij een router alle poorten gesloten; als je DMZ gebruikt houdt dat in dat alles wat naar de router wordt gestuurd (bijv. naar een bepaalde poort) wordt doorgestuurd naar jouw PC. Zo omzeil je dus de ingebouwde firewall.

[FaceTheTruth]

Citaat:

CrazY G schreef op 02-05-2004 @ 21:51 :
screenshot
[afbeelding]

heb ik dus ook!
net als die Sasser worm...

[Topicstarter]

Is dit nou het virus of is dit nou het bestand dat Windows nodig heeft?

[dafelix]

Citaat:

Topicstarter schreef op 04-05-2004 @ 09:08 :
Is dit nou het virus of is dit nou het bestand dat Windows nodig heeft?

[afbeelding]

dat bestand is nodig voor Windows

maar zodra je geinfecteerd raakt met 't virus sluit dat (dus essentiele bestand), zodat je hele PC reboot

[nickèsz]

Removal tools tegen meerdere versies

Tools .

by the way, hier kun je checken of je poort 445 dicht zit: http://www.grc.com

handmatig invoeren van poortnummer.

En ik ga maar eens met die removal tools klooien op de andere pc met dat virus

Heeft iemand trouwens een idee hoe je windows update kan downloaden voor op een andere pc? (Aangezien die andere pc een rottige 56k modem heeft, dat wordt niet wat.)

die stomme kut nerdjes met hun foking virussen, alsk er zon eentje tegen kom, beschadig ik zijn bril

windows updates moeten op dezelfde comp gedownload en geinstalleerd worden.

Citaat:

superduck schreef op 04-05-2004 @ 20:50 :
windows updates moeten op dezelfde comp gedownload en geinstalleerd worden.

Ik meende mij te herinneren dat dat ook anders kon, maar hoe?

op www.windowsupdate.com kan laat je je comp scannen op mogelijke updates. die installeer worden dan automatisch geinstalleerd.

edit: hij maakt er automatisch links van nooit eerder gemerkt

[Greenfly]

Citaat:

Krummeltje schreef op 04-05-2004 @ 19:48 :
by the way, hier kun je checken of je poort 445 dicht zit: http://www.grc.com

Waar dan precies? Je klikt gewoon ergens in het venster om naar de echte site te gaan, en dan?

[Fade of Light]

Citaat:

superduck schreef op 02-05-2004 @ 23:10 :
Je ziet het niet verkeerd. Blaster gebruikte de Remote Procedure Call (RPC), en dat is ook een windows proces.

Mocht je computer steeds afsluiten tijdens het updaten van windows/verwijderen van de worm, ga naar start-->uitvoeren-->"shutdown /a". Zo blijft je computer aanstaan en kan je doorgaan.

tata, die wordt afgezet....of het was toevallig op die computer op school, die had ineens geen privilieges meer om shutdown -a te runnen

[Enlightenment]

Citaat:

Greenfly schreef op 04-05-2004 @ 23:06 :
Waar dan precies? Je klikt gewoon ergens in het venster om naar de echte site te gaan, en dan?

Shields-up

Citaat:

M@rco schreef op 04-05-2004 @ 07:24 :
DeMilitarized Zone. Normaal gesproken zijn bij een router alle poorten gesloten; als je DMZ gebruikt houdt dat in dat alles wat naar de router wordt gestuurd (bijv. naar een bepaalde poort) wordt doorgestuurd naar jouw PC. Zo omzeil je dus de ingebouwde firewall.

Heeft niets met firewall te maken, maar dat verschil begrijpen mensen niet makkelijk. De firewall in een router bestaat vaak uit niet meer dan een packet filtering firewall die poorten zoals 135/137/139 blockt, NetBIOS dus. Dat is het enige. Het is de implementatie van NAT (Network Address Translation) die een router zo veilig maakt, omdat de computers achter een NAT router niet direkt via internet benaderbaar zijn. Dat is gelijk ook één van de nadelen van een router; je moet port forwards gaan instellen.

[Greenfly]

Citaat:

Enlightenment schreef op 05-05-2004 @ 01:21 :
Shields-up

Dankje.

445

Stealth
microsoft-ds
Microsoft Directory Services

Wil dit zeggen?

Even een toevoeging: in het Microsoft Download Center kun je ook een heleboel dingen downloaden die je normaal met windows update download. Service Packs enzo.

[CrazY G]

bij mij is wonder boven wonder alles weg.
thank you God and thank jullie of course

[Enlightenment]

Citaat:

Greenfly schreef op 05-05-2004 @ 11:23 :
445

Stealth
microsoft-ds
Microsoft Directory Services

Wil dit zeggen?

Dat jouw poort 445 gefilterd wordt. Open betekent dat de poort open is (in gebruik), Closed betekent dat de poort niet open staat, maar jouw computer wel antwoord geeft dat de poort open staat, Stealth geeft aan dat er helemaal niets wordt teruggestuurd.

Dit staat overigens ook keurig op de Shields Up pagina, check sowieso je hele systeem maar ff. Overigens, dat jouw poort 445 gefilterd wordt geeft aan dat je een firewall danwel router gebruikt.

[Enlightenment]

Citaat:

CrazY G schreef op 05-05-2004 @ 13:59 :
bij mij is wonder boven wonder alles weg.
thank you God and thank jullie of course

Dat is toch niet zo gek als je een remotely exploitable security hole in Windows dicht met de patch die daar al 18-dagen lag te wachten en als zéér kritiek is bestempeld, inclusief door alle computer veiligheids- en coördinatiediensten die SMS-alerts en Email-alerts stuurden?

Verdiep je eens wat meer in security, want Sasser en MS Blaster zijn ontzettend aardig met wat ze doen; veel ergere dingen zijn ook mogelijk. Mensen zijn ofwel onwetend ofwel heel erg naief als ze een always-on verbinding direkt op een niet-gepatchde Windows draaien, dat is *smeken* om problemen. Weet jij hoeveel exploit scripts ik dagelijks op mijn firewall afgevuurd krijg?

Citaat:

Krummeltje schreef op 04-05-2004 @ 20:57 :
Ik meende mij te herinneren dat dat ook anders kon, maar hoe?

Je hebt gelijk, het kan ook anders. Je moet dan handmatig de updates opzoeken en downloaden. op www.microsoft.com naar updates gaan, en dan zoeken.