[VIRUS] lsass Windows Task Manager - Privacy en beveiliging

vrijdag 29 oktober 2004 12:38

Acties:

Stik er maar in!

Topicstarter

Hey allemaal.

Ik draai al een paar maanden Win W2K3 op mijn PC en ik zie al een paar dagen (weken) dat lsass.exe in mijn Windows Task Manager scherm staat. Ik heb gescand met HijackThis en deze geeft idd aan dat dit een worm virus is en dat verwachtte ik ook al. Ik zie echter geen lsass.exe staan in HijackThis maar als ik de log copieeer naar hun site dan word deze wel vermeld. Zeer vreemd dus. Ik heb ook al een aantal keren gescand met mijn virusscanner McAfee Enterprise 7.1.0 maar deze ziet hem niet. Ook het anti-spyware progje Spybot Search & Destroy ziet hem niet. Ja wie niet waagt wie niet wint....

Nu zag ik echter dat op mijn server die pas 2 weken draait met WinXP Pro dat daar ook lsass.exe draait en precies hetzelfde verhaal als hierboven. Alleen daar draait McAfee VirusScan 8 zo even uit m'n hoofd en deze ziet hem ook niet. En hetzelfde geld voor Spybot.

Ik heb 3 PC's aan een router hangen. De W2K3 bak als PC1, mijn zusjes PC als 2e en mijn server met WinXP Pro als 4e. (Slot 3 hangt een netwerkkabel in waarvan het lipje is afgebroken zodat ik deze er niet meer uit krijg LOL). Ik vermoed dus dat mijn zusjes PC ook besmet is met lsass.exe ??? Daar draait overigens dezelfde virusscanner als op mijn server en ook daar draait SpyBot.

Ik ben ten einde raad..... B.v.d

“In a world without walls and fences, who needs Windows and Gates".

vrijdag 29 oktober 2004 12:41

Acties:

Osiris

lsass.exe is in eerste instantie een normale service van Windows, maar is (na mijn weten) wel doelwit voor bepaalde wormen..
Dat een PC lsass.exe heeft wil dus niet zeggen dat deze met iets besmet is.

vrijdag 29 oktober 2004 12:41

Acties:

Verwijderd

"lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the W32/Windang.worm"

Het process is dus niet per definitie een virus..

Edit: net te laat

[ Voor 8% gewijzigd door Verwijderd op 29-10-2004 12:41 ]

vrijdag 29 oktober 2004 12:42

Acties:

Mike78

Always

google zoeken op lsass.exe 1e hit

lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the W32/Windang.worm which spread via floppy disk drives. Please review file path for clarification of this.

lijkt er op dat het dus standaard geen virus is

24 uur per dag, 24 biertjes in een krat. Toeval?

vrijdag 29 oktober 2004 12:42

Acties:

TommyGun

Stik er maar in!

Topicstarter

Ik had dit ook net gevonden ja toevallig;

Bestandsnaam: Lsass.exe.
Programma: Local Security Authentication Server, Windows NT/2000/XP.
Beschrijving: controleert wachtwoorden bij het inloggen.
Aanbevolen actie: altijd toelaten binnen eigen netwerk. Niet naar internet. Dit bestand is een geliefd doelwit van hackers, dus scan het regelmatig.

Bron: HelpMij.info

En het draait idd ook bij me zusje

Ik dacht alleen ff dat het een virus was aangezien HijakThis zegt dat het een Worm is

[ Voor 9% gewijzigd door TommyGun op 29-10-2004 12:43 ]

“In a world without walls and fences, who needs Windows and Gates".

vrijdag 29 oktober 2004 12:43

Acties:

wildhagen

Blablabla

Ik heb gescand met HijackThis en deze geeft idd aan dat dit een worm virus is

Euh.... HijackThis geeft alleen de lopende processen aan, niet of iets wel of niet een virus/worm is...

LSASS = Local Security Authority Sub-System, een deel van Windows zelf..

Virussen? Scan ze hier!

vrijdag 29 oktober 2004 12:45

Acties:

TommyGun

Stik er maar in!

Topicstarter

wildhagen schreef op 29 oktober 2004 @ 12:43:
[...]

Euh.... HijackThis geeft alleen de lopende processen aan, niet of iets wel of niet een virus/worm is...

Ow? Er stond toch duidelijk met rode koeie letters:

High Dangeres.
This is a W32 Worm virus and you need to delete this fast.

Iets in die richting. Weet het niet meer precies maar het stond er dus zeker wel

“In a world without walls and fences, who needs Windows and Gates".

vrijdag 29 oktober 2004 12:46

Acties:

Dala

uhm..
dus om jullie allemaal te pakken kan ik dus gewoon me virus lsass.exe noemen en in een andere map zetten dan het origineel en dan opstarten?

dus kijk eens welke map het staat? en dan effe kijken wat de sign information is?
(properties en dan version)

ik krijg net een sms van alertdienst dat er weer een nieuwe uitbraak van bagle virus is

vrijdag 29 oktober 2004 12:46

Acties:

Mike78

Always

TweakingPro schreef op 29 oktober 2004 @ 12:45:
[...]

Ow? Er stond toch duidelijk met rode koeie letters:

High Dangeres.
This is a W32 Worm virus and you need to delete this fast.

Iets in die richting. Weet het niet meer precies maar het stond er dus zeker wel

Was het wel lsass.exe en niet lsess?

24 uur per dag, 24 biertjes in een krat. Toeval?

vrijdag 29 oktober 2004 12:48

Acties:

wildhagen

Blablabla

TweakingPro schreef op 29 oktober 2004 @ 12:45:
[...]

Ow? Er stond toch duidelijk met rode koeie letters:

High Dangeres.
This is a W32 Worm virus and you need to delete this fast.

Nou, dat is dan wel een heel rare versie van HijackThis, want HijackThis checked zelf namelijk niets, die somt gewoon een lijstje op.

Heb je een link waar ik die versie van HijackThis kan downloaden? Klinkt wel interessant namelijk

Virussen? Scan ze hier!

vrijdag 29 oktober 2004 12:54

Acties:

Pendaco

Vogon Poetry FTW!

Wildhagen hij bedoelt waarschijnlijk de website, hijackthis.de (zie ook mn sig), waarin je je logje kunt deponeren

zie ook

TweakingPro schreef op 29 oktober 2004 @ 12:38:

Ik heb gescand met HijackThis en deze geeft idd aan dat dit een worm virus is en dat verwachtte ik ook al. Ik zie echter geen lsass.exe staan in HijackThis maar als ik de log copieeer naar hun site dan word deze wel vermeld. Zeer vreemd dus.

@Tweakingpro

en dan was er nog t verhaal dat de hoofdletter I en kleine l in arial hetzelfde zijn, en daarom vaak door elkaar gehaald worden.
-Kijk dus even hoe vaak ie draait
-en wat de locatie is waar die vanaf draait (zoals eerder gezegd)

[ Voor 90% gewijzigd door Pendaco op 29-10-2004 13:10 ]

vrijdag 29 oktober 2004 12:57

Acties:

wildhagen

Blablabla

Pendaco schreef op 29 oktober 2004 @ 12:54:
Wildhagen hij bedoelt waarschijnlijk de website, hijackthis.de (zie ook mn sig), waarin je je logje kunt deponeren

O, die site. Ja, maar da's geen HijackThis, maar een simpele analyzer voor HJT-logs.

Zo werd ik dus op het verkeerde been gezet.

Virussen? Scan ze hier!

vrijdag 29 oktober 2004 12:57

Acties:

Verwijderd

Dit is dus niet per definitie een virus.

Gebruik stinger om te kijken of je een virus hebt, of housecall.

Zorg dat je een firewall en antivirus programma hebt, dan ben je tegen zulke zaken beschermd.

Klinkt misschien beetje als waardeloos reply, maar wij kunnen ook niet zien of het een legitieme services is of niet. Je zult je systeem moeten scannen en beveiligen.

vrijdag 29 oktober 2004 13:08

Acties:

TommyGun

Stik er maar in!

Topicstarter

Hij draait altijd met de kleine letter l dus geen L. Hij zit overigens in Windows\System32 volgens HijackThis. Heb alleen een firewall draaien in m'n router maar deze geeft in de logs geen hack pogingen oid aan.

“In a world without walls and fences, who needs Windows and Gates".

vrijdag 29 oktober 2004 13:11

Acties:

Verwijderd

TweakingPro schreef op 29 oktober 2004 @ 13:08:
Hij draait altijd met de kleine letter l dus geen L. Hij zit overigens in Windows\System32 volgens HijackThis. Heb alleen een firewall draaien in m'n router maar deze geeft in de logs geen hack pogingen oid aan.

Ik zou je aanraden om op je systeem sygate personal firewall te draaien.

Is een gratis firewall die erg transparant te werk gaat.

Deze herkent trojans etc in je netwerk verkeer, en zal dus aangeven of het hier om een trojan gaat of niet.

vrijdag 29 oktober 2004 13:14

Acties:

wildhagen

Blablabla

TweakingPro schreef op 29 oktober 2004 @ 13:08:
Hij draait altijd met de kleine letter l dus geen L. Hij zit overigens in Windows\System32 volgens HijackThis. Heb alleen een firewall draaien in m'n router maar deze geeft in de logs geen hack pogingen oid aan.

Haal die file anders eens door de Jotti-scan of door VirusTotal? Dan weet je met redelijke mate van zekerheid of het fout is of niet.

Virussen? Scan ze hier!

vrijdag 29 oktober 2004 13:15

Acties:

Pendaco

Vogon Poetry FTW!

Zeer vreemd.
Net als jij, heb ook ik en de rest (waarschijnlijk) gewoon lsass.exe draaien vanuit de sytem32 folder, kun je je log niet even posten (miss weinig kans maar altijd t proberen waard

)

vrijdag 29 oktober 2004 13:24

Acties:

Verwijderd

Pendaco schreef op 29 oktober 2004 @ 12:54:
Wildhagen hij bedoelt waarschijnlijk de website, hijackthis.de (zie ook mn sig), waarin je je logje kunt deponeren

Topics zoals deze geven weer eens aan waarom er dus _niet_ op naam geflagd mag worden, want als ik dit zo hoor allemaal is er geen reden om aan te nemen dat het om iets malicious gaat.

Het is sowieso al bijzonder onverstandig om een ServerOS als desktop te draaien, maar dat je hier niet zelfstandig uit kan komen geeft imho nog meer reden 2k3 niet (zo) te gebruiken.

Verwijderd schreef op 29 oktober 2004 @ 13:11:
[...]

Ik zou je aanraden om op je systeem sygate personal firewall te draaien.

Is een gratis firewall die erg transparant te werk gaat.

Deze herkent trojans etc in je netwerk verkeer, en zal dus aangeven of het hier om een trojan gaat of niet.

Daar ben ik niet bepaald van overtuigd, dat Sygate een positive detection op zoiets kan geven geloof ik nog wel, maar als Sygate een negative geeft, hoeft dat bepaald niet te betekenen dat het systeem clean is.

vrijdag 29 oktober 2004 14:08

Acties:

TommyGun

Stik er maar in!

Topicstarter

wildhagen schreef op 29 oktober 2004 @ 13:14:
[...]

Haal die file anders eens door de Jotti-scan of door VirusTotal? Dan weet je met redelijke mate van zekerheid of het fout is of niet.

Jotti-scan:

Afbeeldingslocatie: http://members.lycos.nl/mickentommy/virus1.png

VirusTotal:

Afbeeldingslocatie: http://members.lycos.nl/mickentommy/virus2.png

Clean dus imo

“In a world without walls and fences, who needs Windows and Gates".