lsass.exe

Dit klinkt als een geval van W32.Blaster. Hier kan je de removal tool halen. Als je de Microsoft Windows 2000 Recource Kit hebt geïnstalleerd, dan kan je het rebooten voorkomen met:

Start > uitvoeren > cmd > shutdown -a

[ Voor 31% gewijzigd door the_shadow op 28-07-2004 13:12 ]

firewall aanzetten, en dan pas updaten

Direct het commando shutdown -a intikken als het herstarten begint. Daarmee breek je het af.
En de 2 tips hierboven uitvoeren uiteraard

Verwijderd schreef op 28 juli 2004 @ 13:12:
die removal tools heb ik allemaal al gebruikt

Wel in veilige modus neem ik aan? (dus tijdens het opstarten F8 drukken en dan veilige modus selecteren).

Verwijderd schreef op 28 juli 2004 @ 13:12:
Direct het commando shutdown -a intikken als het herstarten begint. Daarmee breek je het af.
En de 2 tips hierboven uitvoeren uiteraard

Dat werkt alleen maar in XP en 2k met de recource kit geïnstalleerd

[ Voor 39% gewijzigd door the_shadow op 28-07-2004 13:14 ]

jereng, zou je in het vervolg een wat creatievere titel kunnen bedenken? Het is niet zo dat we niets beters hebben te doen dan jouw topictitels verbeteren . Verder lijkt dit idd een redelijk klassiek virus waar je wel uit moet kunnen komen met deze tips:

Beveiliging en Virussen - FAQ

Voor de zekerheid gooi ik hem nog door naar BV; mocht je echt wat nieuws hebben

WOS > BV

[ Voor 14% gewijzigd door Spider.007 op 28-07-2004 13:14 ]

Je zou het volgende eens uit kunnen voeren, als je de melding krijgt dat de pc opnieuw opgestart wordt:

Start -> Uitvoeren -> shutdown /a

the_shadow schreef op 28 juli 2004 @ 13:13:
[...]


Wel in veilige modus neem ik aan? (dus tijdens het opstarten F8 drukken en dan veilige modus selecteren).


[...]


Dat werkt alleen maar in XP en 2k met de recource kit geïnstalleerd

shutdown.exe zit standaard in XP.. niet in 2000 idd

En als je echt wil afsluiten (met shutdown -a sluit je gewoon de hele commando shutdown af) moet je start => run/uitvoeren => shutdown -f

Het beste vind ik altijd gewoon helemaal opnieuw installen en dan gelij updates draaien

[ Voor 13% gewijzigd door Verwijderd op 28-07-2004 13:24 ]

gewoon bij services uitzetten dat Remote Procedure Call bij een fout opnieuw moet opstarten, gewoon op de optie zteten dattie niks doet, op je gemakje alles updaten.

na de updates ff die removal tool doen en dan op je gemakje die services terug zetten.

nergens last van!

ik heb hem laatst ook nog van een bak verwijderd die nog nooit ge-update was.
Was welliswaar op een XP bak, maar de instructies van de microsoft site waren goed.: hier is de Windows 2000 link

http://www.microsoft.com/...ent/sasser_print2000.mspx

Volg dit exact op. Bij mij kon de scanner ook geen virus vinden, maar die had ik schijnbaar al met een cleaner opgeruimd zonder dat ik daar melding van kreeg. Hierna blijf je echter het probleem houden tot je de firewall hebt ingeschakeld en de update hebt gedaan.

Overigens geeft MS voor windows XP wel de shutdown -a optie, maar voor windows 2000 niet. Daarom werkt shutdown -a waarschijnljik gewoon niet in windows 2000.

Nogmaals: gewoon instructies duidelijk volgen dan moet het lukken

edit: op die microsoft site staat dus ook hoe je van de shutdown af komt en je kunt updaten!
edit2: aan collin: het is idd voor 99,9% sasser en als de shutdown cycle eenmaal gestopt is kun je alle updates/removal tools wel d/l'en die je maar wilt

[ Voor 15% gewijzigd door MindWarp op 28-07-2004 14:08 ]

klinkt als Sasser worm.

Je kan altijd ff bij www.symantec.com of bij www.mcafee.com kijken voor removal instructies, staat voor elk virus hoe je het de nek om moet draaien.

Handig tooltje:
http://vil.nai.com/vil/stinger/
Kent de laatste +- 40 virussen en verwijderd deze

Info van MS over Sasser:
http://www.microsoft.com/security/incident/sasser.mspx

Als het niet lukt met die PC, kan je dan niet ff op een andere PC de updates, removal tool downloaden?

Verwijderd schreef op 28 juli 2004 @ 13:55:
[...]


Helaas, dit werkt ook niet, de pc sluit toch weer opnieuw af.

KNIP

[ Voor 16% gewijzigd door Verwijderd op 28-07-2004 14:13 ]

Ik heb em onlangs ook nog gehad bij de buren, op een 'kale' windows xp machine.
Hetzelde bestand. NAV 2004 herkende em niet op de prescan en tijd om de
virusdefs te updaten heb je niet.

Leek dus op een Sasser variant met trekjes van de Blaster (RPC shutdown).
Aangezien de pc van de buren niet echt snel is (p3-500mhz) lukte me het niet om
tijdig anti-virus software op de pc te installeren. Een firewall had geen zin, want
het virus was er al.

Tip: Schone installatie windows, wel de UTP stekker er voortijdig uit, de updates
voor je virusscanner op een andere pc binnen halen, en de pc pas met internet
verbinden als het voldoende beschermd is.

Een kale Windows XP/2000 installatie op het internet is hetzelfde als een baby in de regen. Heeeeel errug vatbaar voor een griepje

Weet je trouwens wel zeker dat de RPC down gaat en niet de LSA shell?
Als de LSA shell down gaat is het zeker sasser en kun je mijn eerdere post opvolgen.
Bij RPC zal het waarschijnlijk een ander geval zijn en weet ik niet zeker of dat zal werken

http://www.microsoft.com/technet/security/alerts/sasser.mspx onderaan staat iets wat SniekyTunes ook al zei alleen op een iets andere manier. Er is idd geen standaard shutdown -a op win2000

Snowwie schreef op 28 juli 2004 @ 14:27:
Tip: Schone installatie windows, wel de UTP stekker er voortijdig uit, de updates
voor je virusscanner op een andere pc binnen halen, en de pc pas met internet
verbinden als het voldoende beschermd is.

Als je met een schone XP eerst de Firewall aanzet op je (inbel) internetverbinding, voordat je inbelt / de netwerkkabel in je PC doet, kan je op je gemak de updates binnenhalen. De firewall beschermt je PC tegen elke variant van Blaster, Sasser en andere 'IP based' wormen.

Dit topic gaat dicht..
Dit is bijzonder vaak voorbijgekomen... let er echter wel op dat de computer nu backdoorvrij is.
De BV FAQs zijn daarvoor wel aan te raden + een virusscanner die goed is met zulke malware.

Mocht je er niet uitkomen, dan mag je een nieuw topic openen waarbij je je aan de regels die in Beveiliging & Virussen gelden houdt.
Dus dat houdt in dat je de stickies doorwerkt.

Dicht.