lsass.exe

You've got Sasser

Nein, natürlich nicht betroffen, hatte aber das Vergnügen ihn bei einigen Kollegen zu killen

Mit gut konfigurierter Firewall und oder gepatchtem Windows hat er keine Chance.
-> Sorry to tell you, aber Du hast offenichtlich eine sch***. ..lecht konfigurierte dh nutzlose FW.

Kill procedure:
am besten:

"avserve.exe"= %WINDOWS%\avserve2.exe


Dannach mit irgendeinem removal tool ganz entfernen.
(Gibts von jedem AV Hersteller)

Und natürlcih auch die aktuellen Windows Patches einspie
len.

Ist eine Timing Sache, aber für den Registry Eintrag reicht die Zeit, beim nächsten Start ist er nicht mehr aktiv.

Normalerweise reicht die Zeit bis zum restart NICHT aus, um die removal tools zu starten.

Notfalls tuts ein Start im abgicherten Modus auch.

Viel Spaß ...

Mfg, LB

Zitat von Lord Binary

[...]

Ist eine Timing Sache, aber für den Registry Eintrag reicht die Zeit, beim nächsten Start ist er nicht mehr aktiv.

Normalerweise reicht die Zeit bis zum restart NICHT aus, um die removal tools zu starten.

Notfalls tuts ein Start im abgicherten Modus auch.

Alles anzeigen

da der prozess durch den registry-eintrag mit den rechten des aktiven benutzerkontos (und nicht 'system') ausgeführt wird, kann man ihn im task-manager beenden.. dann muss man sich nicht so beeilen und kann in ruhe alles entfernen... auch prozesse, die unter HKLM eingetragen sind, kann man normalerweise beenden...

lg michi

Michi: Jo, auf diese Idee bin ich eigentlich auch gekommen, steht überall, daß man das als erstes versuchen soll.

Den Virus-Task konnte ich aber nirgends beenden.
Vielleicht eine neue Variante :devil:

Ist auf jeden Fall ein guter Hinweis, falls das bei jemanden funktionieren sollte.

keine Ahnung genau, aber ist das nicht wieder so ein 1-Minuten-Countdown-Shutdown, den man mit
shutdown -a
abbrechen kann?

Zitat von Filz

keine Ahnung genau, aber ist das nicht wieder so ein 1-Minuten-Countdown-Shutdown, den man mit
shutdown -a
abbrechen kann?

nein, das ist der blaster

aber wer wie ich die neuesten patches hat, kennt diese ganzen wurmviecher nur aus schauermärchen die lücke, die der 'sasser' ausnützt, ist ja eigentlich schon vor ca. 2 monaten geschlossen worden..

lg michi

Zitat von Lord Binary

Michi: Jo, auf diese Idee bin ich eigentlich auch gekommen, steht überall, daß man das als erstes versuchen soll.

Den Virus-Task konnte ich aber nirgends beenden.
Vielleicht eine neue Variante :devil:

Ist auf jeden Fall ein guter Hinweis, falls das bei jemanden funktionieren sollte.

hast du administrator-rechte? so hartnäckig sind normalerweise nur prozesse, die mit der berechtigung 'system' laufen. wüsste gerne wie die das gemacht haben..

lg michi

@Tschebel:
Noe, das wär zu einfach/langweilig.
Da Ding braucht i.A viel länger zum scannen/removen als der reboot Countdown
Obendrein ist Sasser sehr CPU intensiv.
Sobald Sasser nicht mehr aktiv ist / und oder die Lücken im OS geschlossen sind, sollte/kann man die verwenden um ihn *vollständig* zu beseitigen.

Michi: Ja, Admin-Rechte hatte ich.
Den Patch für die lsass-vulnerability gibts erst seit 13.4, also eher 2 wochen, nicht 2 Monate. Wie lange MS schon davon weiß, ist eine andere Sache

Es ist ja eine Tatsache, dass Microsoft nicht immer genau sagt, welche (unbekannten) Loecher die Sicherheits-updates stopfen.
Es gibt dann Leute, die die Patches per reverse engineering untersuchen und dann mit dem Wissen Wuermer basteln.

Ja, absolut richtig.

In diesem Fall wurde das schön brav dokumentiert

Allerdings funktioniert security through obscurity ohnehin nicht.

Mfg, NG

Zitat

Michi: Ja, Admin-Rechte hatte ich.
Den Patch für die lsass-vulnerability gibts erst seit 13.4, also eher 2 wochen, nicht 2 Monate. Wie lange MS schon davon weiß, ist eine andere Sache

verzeiht.. hatte vergessen, dass ich die letzten patches ja erst vorige woche eingespielt habe..

das mit dem reverse-engineering ist ja auch die beste methode. wenn man nur an die ganzen raubkopierten windows-versionen denkt, die können ja ohne extra-aufwand gar keine patches installieren.. und die meisten die ich kenne, ignorieren diese windows-update-sprechblase.. dh monate nach erscheinen des patches haben die meisten pcs noch immer keinen schutz...

lg michi

Btw:

lies mich.

Echt krass, die Unfähigkeit dieser Sys-Admins ...

Mfg, LB

Zitat von Lord Binary

Btw:

lies mich.

Echt krass, die Unfähigkeit dieser Sys-Admins ...

Mfg, LB

Alles anzeigen

ich finde es arg, was alles mit windows läuft..

lg michi

Zitat von michi204

ich finde es arg, was alles mit windows läuft..

lg michi

Agree.
Ich finds einfach grauenhaft, daß man Windows nicht mal mehr für wenige Sekunden ohne Firewall ans Netz hängen kann...

Zitat von VanBasten

was komisch ist ist das jedoch noch immer lsass.exe auf meinem Task-Manager drauf steht...

Das ist gar nicht sonderbar; lsass.exe ist ein legitimer Windows-Task, der mit den Sicherheitsrichtlinien für User zu tun hat. Der Wurm Sasser nützt nur eine Sicherheitslücke in dem Dienst aus.

so - jetzt bin ich ganz verwirrt ...

ich hab meinen computer ein bisserl aufgeräumt (wie in planetopia-online vorgeschlagen) mit löschung der temporären daten und aufräumen der registry.

ich hab auch vorher mein system überprüfen lassen, ob ich den sasser hab und das war nicht der fall

seit ich aber "aufgeräumt" hab, will lsass.exe immer aufs internet zugreifen und meine firewall fragt mich immer brav, ob ich das zulassen will.

darf LSASS.exe aufs internet zugreifen oder nicht?

danke!
greetz
ulli
ps: betriebssystem: windows xp professional sp1

Haha das hat man wohl davon, wenn man bei technischen Fragen auf ein Wissenschaftsmagazin von SAT1 vertraut. Hoffentlich machst das später im Beruf nicht noch immer. Ich seh vor mir das verdutzte Gesicht eines Administrators, der gerade sein ganzes System kaputtkonfiguriert hat: "Aber SAT1 hat doch gesagt ..." :devil:

Zitat von uli

darf LSASS.exe aufs internet zugreifen oder nicht?

schau mal hier.. da diskutieren einige ziemlich ratlos darüber..

http://board.protecus.de/showtopic.php?…=5246&pagenum=3

lg michi