[WinXP] isasss.exe crash, PC sluit af * - Privacy en beveiliging

maandag 10 mei 2004 00:57

Acties:

Topicstarter

Als eerste, het is de PC van m'n pa, m'n eigen pc is goed beschermt

Maar goed, ik krijg dus met de pc van m'n pa, als ik ga internetten, een scherm met een foutmelding in Isass.exe en dat de PC afgesloten wordt...binnen een minuut of zo.
In het lijstje met processen staat naast isass.exe dus ook een isasss.exe. Ik dacht gelijk aan het sasser firus, heb inmiddels dus de removal tool van microsoft, symantec en stinger geprobeerd. Hadden alle wel wat gevonden, b en d variant en idd ook gedelete. Opnieuw gescand, maar konden niets meer vinden. Maar het probleem blijft, telkens weer een melding van Isass.exe en plop uit. Dus ook als ik m'n pc opnieuw opstart, na diverse scans van stinger etc., staat isasss.exe weer in het rijtje.

[ Voor 3% gewijzigd door X-t-r-e-m-e op 10-05-2004 00:57 ]

maandag 10 mei 2004 01:00

Acties:

Vorkie

Heb je uberhaubt wel een virusscanner en een firewall aanstaan, want dat zeg je er niet bij

maandag 10 mei 2004 01:04

Acties:

X-t-r-e-m-e

Topicstarter

Op m'n pa z'n pc staat geen virusscanner nee, firewall wel maar dan de interne van winxp. Maar als ik toch een scan uitvoer met stinger.exe moet hij toch alles kunnen vinden en verwijderen.Ik weet dat het stom is dat er geen virusscanner op zit. Zelf heb ik die wel, maar m'n pa heeft een 56k lijntje, schiet niet echt op met al die updates. Nu wil ik dus ook alles updaten maar krijg de kans niet omdat als ik internet op ga, hij na een minuut of zo dag dag zegt... Ik kan geen update binnenhalen. Autopatcher xp werkt ook niet want het is winxp nederlands.

maandag 10 mei 2004 01:05

Acties:

pasta

Ondertitel

lsasss.exe is een Sasser-E infectie. Ik weet nog niet of hier al removal tools al zijn. Zie hiervoor ook [rml]Schouw in "[ High Alert] Agobot/hacker/Sasser Frenzy..."[/rml]

Signature

maandag 10 mei 2004 01:05

Acties:

Verwijderd

Heb je de update van Microsoft uberhaupt wel gedraaid, zonder dat schiet je er nog steeds weinig mee op

maandag 10 mei 2004 01:07

Acties:

X-t-r-e-m-e

Topicstarter

Updaten heeft dus nog geen zin, dat gaat neit, eerst moet die versie 'e' er dus af. Heb dus een removal tool nodig, maar die heb ik alleen voor versie a t/m d, wist trouwens niet dat er een 'e' was

maandag 10 mei 2004 01:07

Acties:

DJSmiley

Redelijk basic, staat zelfs een sticky over...

[rml][ XP/2K] LSASS.EXE foutmelding? Lees dit![/rml]

Je kan m wel lekker verwijderen maar dan komt ie net zolang terug als je geen updates gedaan hebt.

Kortom:

Fik de update op cd
http://www.microsoft.com/...ty/bulletin/MS04-011.mspx

tesamen met een removal tooltje:
http://securityresponse.symantec.com/avcenter/FxSasser.exe

pc van het net afhalen, updaten, virus verwijderen en verdere updates runnen.

shutdown -a kan ook, dan kun je alsnog de update downen....

edit: als het een nieuwe variant is.. dan handmatig verwijderen en de regkeys fixen, zie linkje van Schouw.
Exacte details wat ie allemaal doet en hoe je m handmatig weghaalt:
http://securityresponse.s...ta/w32.sasser.e.worm.html

Uiteraard nog steeds die update eerst maar eens runnen anders blijft ie terugkomen

[ Voor 24% gewijzigd door DJSmiley op 10-05-2004 01:10 ]

maandag 10 mei 2004 01:09

Acties:

X-t-r-e-m-e

Topicstarter

Nou ik kon anders niets vinden op got onder isasss.exe...maar goed dan probeer ik jouw oplossing wel. THX (slotje?!) (op google trouwens ook maar 2 hits op isasss.exe)

[ Voor 19% gewijzigd door X-t-r-e-m-e op 10-05-2004 01:10 ]

maandag 10 mei 2004 01:10

Acties:

sdomburg

Je hebt het over XP neem ik aan (zet volgende keer [XP] voor je topictitel en let sowieso beter op; je topic had in SA gemoeten met een titel als "[XP] IE crasht door foutmelding lsass"). lsass (LSASS, niet isasss) is een windowseigen systeemproces. Het is echter waarschijnlijk, dat je met bijvoorbereld een Sasser variant besmet bent geraakt, die regelmatig de bekende RPC's veroorzaken.

Na succesvolle verwijdering van dit virus en nadat je Windows Update gerunt hebt en een fatsoenlijke firewall geïnstalleerd hebt, kan je de search gebruiken over hoe dit op te lossen als het probleem blijft.

maandag 10 mei 2004 01:16

Acties:

Henk007

Lsasss.exe backdoor ?
W32.Sasser.E.Worm, Deze zit nog niet in de removal tooltjes.
Als workaround kun je de maatregelen in dit document uitvoeren.

maandag 10 mei 2004 01:30

Acties:

Jimster

Sasser komt binnen via een gat in Windows. Als je em verwijdert met Stinger ofzo, dan staat ie 10 seconden later er weer op, omdat het gat nog niet dicht is. Eerst een firewall installeren en Windows updaten dus.

maandag 10 mei 2004 01:49

Acties:

X-t-r-e-m-e

Topicstarter

Oke bedankt alle, nu snap ik dus ook waarom na herstarten het bestand bleef staan bij processen. 'E' versie, wordt dus ook niet verwijderd met removal tool A t/m D versie (duhuh) Ik wist dus niet dat er een 'E' versie was. Daarnaast zocht ik dus op isasss.exe ipv lsasss.exe Maar goed, ik laat morgen ff weten of het opgelost is. (waarschijnlijk wel)

maandag 10 mei 2004 02:07

Acties:

Phaerion

Stillborn!!!

Ik wil niet veel zeggen, maar lsass.exe is een windows onderdeel.
De worm sasser maakt gebruik van die service.

Snoep verstandig, lik m'n reet! :P

maandag 10 mei 2004 09:13

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

sdomburg schreef op 10 mei 2004 @ 01:10:
Je hebt het over XP neem ik aan (zet volgende keer [XP] voor je topictitel en let sowieso beter op; je topic had in SA gemoeten

SA Beveiliging & Virussen

Maar goed, wat dat betreft was alles uitgelegd in WOS Policy: zo doe ik even een kleine titeledit isasss.exe -> [WinXP] isasss.exe crash, PC sluit af

X-t-r-e-m-e schreef op 10 mei 2004 @ 01:09:
Nou ik kon anders niets vinden op got onder isasss.exe...maar goed dan probeer ik jouw oplossing wel. THX (slotje?!) (op google trouwens ook maar 2 hits op isasss.exe)

Hier is al heel erg veel over gezegd als het om lsass gaat maar ik laat het nog even open omdat isasss.exe != lsass.exe. Wel alvast een move naar B&V. Check nog eens goed die naam.

Anyhow, zie dus [rml][ XP/2K] LSASS.EXE foutmelding? Lees dit![/rml] in B&V (zie ook [rml]Schouw in "[ XP/2K] LSASS.EXE foutmelding? Lees dit!"[/rml]).

offtopic:
prive-mening: geen vscan, geen updates en zelfs geen echte firewall - met als reden een 56k lijn waar best updates over zijn binnen te halen - is IMHO wel heel erg fout als ondertussen wel (gokje) gewoon grote "grappige" mailtjes heen en weer worden gestuurd en er IE wordt gebruikt ipv. Lynx

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 10 mei 2004 12:27

Acties:

Verwijderd

Instaleer de patch die Microsoft vrij gegeven heeft en instaleer daarna een goede firewall.

maandag 10 mei 2004 13:04

Acties:

hemz

Verwijderd schreef op 10 mei 2004 @ 12:27:
Instaleer de patch die Microsoft vrij gegeven heeft en instaleer daarna een goede firewall.

Ik gebruik een router en heb geen problemen

Kost bijna niks en je kan makkelijk beveiligen en internet delen.

maandag 10 mei 2004 13:46

Acties:

Verwijderd

hemz schreef op 10 mei 2004 @ 13:04:
[...]

Ik gebruik een router en heb geen problemen
Kost bijna niks en je kan makkelijk beveiligen en internet delen.

Ach, veiligheid gaat boven alles.

maandag 10 mei 2004 16:55

Acties:

Henk007

Microsoft heeft v3.0 gereleased van de Sasser removal tool MKBA 841720. Deze herkent en verwijdert ook Sasser.E

[ Voor 17% gewijzigd door Henk007 op 10-05-2004 17:00 ]

dinsdag 11 mei 2004 11:20

Acties:

LollieStick

Het bestand isasss.exe kan ik niet vinden. Ik denk dan ook dat je het bestand lsass.exe bedoeld. Gaat het wel om isasss.exe dan denk ik dat je een ander virus hebt als het Sasser virus. Check dus even met een recente virusscanner

dinsdag 11 mei 2004 11:25

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Misschien is het handig om verder op een reactie van de topicstarter te wachten

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 11 mei 2004 23:41

Acties:

X-t-r-e-m-e

Topicstarter

Nou, met die nieuwe removal tool is het gefixt. Het gaat hier wel degelijk om een exe bestand die dus lsasss.exe heet. Dus met drie 's'-en op het eind. Het is dus idd het sasser virus alleen dan in vorm 'E' ipv A t/m D. Het kan btw ook zijn dat het isasss.exe is, maar in ieder geval dus die drie 's'-en op het eind. Of het nou met een 'i' of 'l' begon weet ik niet meer zo zeker. Anyway, virus verwijdert en update geinstald vanaf cd. Had ik dus gedownload met m'n eigen PC en op cd gebrand. Het virus zorgde er trouwens voor dat zodra je internet opstarte je pc na 1 min opnieuw opstarte. Bedankt voor de hulp iedereen.

[ Voor 7% gewijzigd door X-t-r-e-m-e op 11-05-2004 23:42 ]