Worm die niet te verwijderen is

  • Onderwerp starter Onderwerp starter Fraha
  • Startdatum Startdatum
Status
Niet open voor verdere reacties.
F

Fraha

Gebruiker
Lid geworden
21 jan 2004
Berichten
72
Register entry blijft terug komen. Ik scan dit met een prg met de fraaie naam Trojan Defence system (TDS-3)

Weet iemand hoe ik dit kan verwijderen want hij komt steeds terug.

Hier is de tekst:

Scan Control Dumped @ 21:49:54 03-07-04
RegVal Trace: Worm.Colevo: HKEY_CURRENT_USER
File: Software\Microsoft\Windows\CurrentVersion\Run [System=lsas.exe]

Heeft dit iets met Sasser te maken of is dit toeval?
De Hijackthis log file is clean verklaard!

Benieuwd naar de reacties!

Frans
:eek:
 
Hardnekkig

Als de reg entry blijft terug komen dan hernoem je toch gewoon de naam van de file.
Zoek even in veilige modus naar die file en vernoem hem ewoon *.tmp of zo.
Als ik echt iets niet weg krijg bij iemand wil ik het nog wel eens zo oplossen.
Het hoort niet helemaal maar ach als het werkt.

grtjs jjw
 
het blijft rot

NIEUW BERICHT, OUDE REEDS VERWIJDERD.
IK WAS WEER TE SNEL MET REAGEREN.


het blijft rot om een worm te verwijderen? Soms gaat het heel makkelijk en soms moet je echt knoeien, probeer toch maar eens dat hernoemen, mischien da thij de worm niet meer opstart als hij de file ook niet meer kan opstarten.

grtjs jjw
 
Laatst bewerkt:
Geplaatst door Fraha
De Hijackthis log file is clean verklaard!
Klik om te vergroten...

Ten onrechte! Dat log is niet schoon! Deze moet je zeker fixen:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
O4 - HKCU\..\Run: [SYSTEM] lsas.exe
Klik om te vergroten...

Kijk eens:
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ao.html


(en jjw, goed kijken! Het verschil tussen een normale entry en een foute bestaat soms maar uit één lettertje...)
 
bericht al aangepast

Voorgaande bericht is reeds aangepast.

grtjs jjw
 
Toch

Toch lijkt het hier ook wel op, ze lijken allemaal op mekaar?
Een LINK met een removal tool.

grtjs jjw
 
Re: Toch

Geplaatst door jjw
Toch lijkt het hier ook wel op, ze lijken allemaal op mekaar?
Een LINK met een removal tool.

grtjs jjw
Klik om te vergroten...

Nee, dat is hem niet. Daar staat lsas.exe ook niet tussen.
 
Geplaatst door buffy


Ten onrechte! Dat log is niet schoon! Deze moet je zeker fixen:



Kijk eens:
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ao.html


(en jjw, goed kijken! Het verschil tussen een normale entry en een foute bestaat soms maar uit één lettertje...)
Klik om te vergroten...

De link is niet goed en lsas is volgens mij een normaal windows prg. Het wordt alleen niet vaak gebruikt. En het heeft slechte pers gekregen vanwege sasser maar is op zichzelf nodig voor Windows zelf.
Dat heb ik laatst nog ergens gelezen!

Heb je een niwue link voor me/ Dan kan ik morgen even kijken!

Frans
 
klopt

Klopt helemaal maar als je gewoon gaat zoeken onder worm colevo dan kom je wel dergelijk info tegen die er een eind aan zou moeten maken.
De lin van jozo staat ook geen lsas.exe in het lijstje, in de jouw wel maar heet de worm weer anders boven aan de pagina?

ZO heet de worm officieel als ik zoek, een worm uit juni 2003 met de naam W32.colevo@mm maar goed.
het gaat erom dat Fraha wordt geholpen.
grtjs jjw
 
Geplaatst door Fraha


De link is niet goed en lsas is volgens mij een normaal windows prg. Het wordt alleen niet vaak gebruikt. En het heeft slechte pers gekregen vanwege sasser maar is op zichzelf nodig voor Windows zelf.
Dat heb ik laatst nog ergens gelezen!

Heb je een niwue link voor me/ Dan kan ik morgen even kijken!

Frans
Klik om te vergroten...

Wat is er niet goed aan die link? (Laat je niet van de wijs brengen door de naam die Symantec deze worm geeft. Er zijn vaak meerdere namen voor één en hetzelfde virus.)

Je zit er helemaal naast met je verwijzing naar Sasser. Sasser had betrekking op lsass.exe, met twee s'en aan het eind, dat inderdaad een normaal Windows-proces is (waar echter een kwetsbaarheid in zat die door de Sasser-worm werd misbruikt). Op jouw pc draait echter lsas.exe, met één s aan het eind. Dit hoort absoluut niet op je pc thuis.

Fix de twee items uit je HijackThis-log die ik in een eerder bericht citeerde!

Zoals ik vanavond al eerder aangaf, zit het verschil tussen de naam van een normaal onderdeel van Windows en een virus/worm vaak in een klein hoekje (één lettertje verschil, in dit geval).


@jjw, bij het zoeken naar informatie moet je niet uitgaan van de naam die een scanner een virus geeft. Verschillende bedrijven geven dezelfde virussen vaak verschillende namen. Zoek op het foute proces.
 
Laatst bewerkt:
oke, morgen ga ik hiermee aan de slag ik ga nu de luiken sluiten!
Het is een lange dag geweest.

Morgen om 0900 uur zit ik hier weer.

Allemaal bedankt en tot later!

Frans
 
Ik weet niet om welke virus het gaat en ik vind dat ook niet zo belangrijk.
Als je windows op start dan ga je in de log om je virus bekijken of er iets vreemd, zoniet dan houdt log wat er gebeurd in de gaten, want het is soms moeilijk om te zien ondat de virusscan dat det virus automatisch afhandeld, en dus niet ziet..
 
Geplaatst door humpe
Ik weet niet om welke virus het gaat en ik vind dat ook niet zo belangrijk.
Als je windows op start dan ga je in de log om je virus bekijken of er iets vreemd, zoniet dan houdt log wat er gebeurd in de gaten, want het is soms moeilijk om te zien ondat de virusscan dat det virus automatisch afhandeld, en dus niet ziet..
Klik om te vergroten...

Ik begrijp niet veel van dit bericht, maar wil toch proberen iets uit te leggen.

Beste Humpe, uit het HijackThis-log van de vraagsteller blijkt dat lsas.exe (niet te verwarren met lsass.exe) actief is op zijn systeem. Dat moet eraf, want dat is een heel fout proces dat allerlei schade kan veroorzaken. Het wordt klaarblijkelijk niet automatisch verwijderd door de virusscanner en ook niet door de trojanscanner. Van dat 'automatische afhandelen' waar jij over schrijft is dus geen sprake; dat werkt lang niet altijd. Dan is het wel degelijk belangrijk te weten welk virus of welke trojan dit is, omdat die informatie noodzakelijk is voor het vinden van een removaltooltje of instructies voor handmatige verwijdering. In dit geval zorgt het uitvinken van die twee items in HijackThis (zie mijn eerdere bericht) er waarschijnlijk wel voor dat lass.exe niet langer actief is in het systeem van de vraagsteller.
 
Excuseer mij Frans, ik had die lsas over het hoofd gezien. gelukkig merkte buffy het juist op :thumb:

Waar zouden we zijn zonder Buffy :)
 
Geplaatst door Fraha
Register entry blijft terug komen. Ik scan dit met een prg met de fraaie naam Trojan Defence system (TDS-3)

Weet iemand hoe ik dit kan verwijderen want hij komt steeds terug.

Hier is de tekst:

Scan Control Dumped @ 21:49:54 03-07-04
RegVal Trace: Worm.Colevo: HKEY_CURRENT_USER
File: Software\Microsoft\Windows\CurrentVersion\Run [System=lsas.exe]

Heeft dit iets met Sasser te maken of is dit toeval?
De Hijackthis log file is clean verklaard!

Benieuwd naar de reacties!

Frans
:eek:
Klik om te vergroten...

Hoi Frans,

Als TDS-3 die melding geeft, dan is er echt iets aan de hand (of er zou een false positive moeten zijn).
Ik neem aan dat je een full system scan met TDS-3 gedaan hebt, met alle andere scanners (zoals je AV) even uit?
Geeft dat nog andere meldingen?
Heb je TDS-3 ook een Process Memory Space Scan laten doen?

Ik zou ook even in het TDS forum op Wilders posten, dan hoor je zo wel van Gavin of er iets mee aan de hand is.

Sterkte !
Groetjes, Jan.
 
En toch als je DIT leest mag je er van uitgaan dat de meest recente updates voor elke virusscanner dit toch wel moet kunnen verwijderen.
Oke, als je het handmatig doet.....

De volgende stappen moet je uiteraard doen als je hebt opgestard in een veilige modus en van te voren de restore utility uitgezet hebt van Windows.
Deze[/url[ site verteld hoe je de restore uitzet.

De volgende sleutels moet verwijderd worden,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "Windows Explorer" = LSAS.exe

En,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices "Windows Explorer" = LSAS.exe
Daarna uiteraard het bestand ook, deze moet je even zoeken maar ik denk dat hij vlak naast de originele fle staat, C:\windows\system32\

Ik mag toch aanemen dat het dan voorbij is.
Ik zie niet ergens vermeld worden dat er files worden geinfecteerd, alleen maar dat er processen worden afgesloten, tenminste dat is de bedoeling van het vrus.
Succes.
grtjs jjw
 
Mocht dat niet lukken, HIER staat ook een stuk uitleg over het verwidjeren van dit virus, ik vindt het wel een vage tekst maar ach, het is te proberen.
Onthou dat je alles wel moet doen met goede verstan.
 
Hoi,
Als ik nog even wat aan Frans mag vragen:
Weet je zeker dat je TDS-3 gedraaid heb zonder je AV (anti-virus) op de achtergrond (resident) draaiend?
Dat is echt wel belangrijk: het kan wel eens gebeuren dat TDS-3 zo'n soort mededeling geeft als een AV ook aan staat.
Dus: alsjeblieft doe een full system scan met TDS-3 terwijl er geen andere scanner resident aan staat (sluit voor de veiligheid je internet verbinding).

Zou je die file lsas.exe naar Gavin willen sturen:
submit@diamondcs.com.au

Liefst gezipt.

OK, je kan nu als de melding er weer staat rechts klikken op het alarm onder aan je console; dan heb je de optie hem te verwijderen.

Komt de melding daarna weer terug?
Zoals anderen ook postten: wellicht inderdaad restore point verwijderen.
Wat zegt TDS daarna?

Groetjes, Jan.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan