[2003WEB] isass.exe of Lsass.exe

Pagina: 1
Acties:

  • Scorchor
  • Registratie: Februari 2001
  • Laatst online: 22-11-2025
Dag,

ik heb laatst op mijn webserver een worm gehad, deze is verwijderd en de server draait weer goed
volgens de scanner zat het in isass.exe
deze heb ik vervolgens verwijderd

nu 2 weken later, heb ik een probleem met een service, de server draait gewoon maar, de service

"security service"
kan niet starten, en in het register onder de volgende key:

My computer\HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\Secsrv

staat bij imagepath: C:\WINDOWS\system32\Isass.exe (isass.exe dus)

kan het zo zijn dat de worm deze key gewijzigd heeft? en dat er dus eigenlijk Lsass.exe moet worden gestart met deze service?
als ik namelijk naar de service op technet zoek krijg ik door dat het wat met SSL te maken heeft en lijkt me dus toch wel belangrijk
als iemand een webserver heeft met 2003 web edition zou die dan even kunnen checken wat er bij zijn Secsrv staat in het register?
overigens heb ik op de server ook Plesk draaien

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

"SecSrv" komt volgens mij standaard niet voor - zoeken bij Microsoft naar secsrv bevestigd dat ook.

Volgens mij kan je het beste je server opnieuw installeren - eenmaal geinfecteerd door een worm is zo'n toestel niet meer te vertrouwen :)

  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Even [google=isass.exe] geeft mij ook sterk het vermoeden dat nog niet alles weg is. Je zit nog met overblijfselen van het virus, dus een schone installatie is de beste (en misschien wel enige) effectieve optie...

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • Scorchor
  • Registratie: Februari 2001
  • Laatst online: 22-11-2025
nou opnieuw installeren was zoiezo geen optie maar ik heb de service kunnen uninstallen met een whitepapertje van microsoft, server is nu weer op en top

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Echt niet.
Ik kan er nog steeds bij hoor ;)


Oftewel: die doos vertrouw ik niet.
Reinstall is altijd een optie, en met een backdoor vaak de enige optie.
Aan jou de taak om dat dan ook mogelijk te maken (backups).

Zo niet maak je het alleen maar erger omdat je dan bewust een gekraakte bak in de lucht houdt en verdere verspreiding en misbruik mogelijk maakt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Met BackSlash32 - je bent gewoon niet slim bezig door een server waar je in eerste instantie al niet genoeg kennis van had (anders was waarschijnlijk niet geroot geweest, maar had je zeker deze vraag niet gesteld want dan had je al meteen geformatteerd) te gaan recoveren naar een 'veilige' status.

Of - zoals Microsoft het zegt:
The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.
:)
Pagina: 1