Er mogen op dit forum GEEN verzoekjes of requests gevraagd worden, dit staat ook in de regels die je accepteert bij het registreren op dit forum, hiervoor krijg je direct een permanente ban.

lsass.exe -> r3.o.lencr.org

Vragen over Windows, Linux, Apple enz enz, kan je hier stellen.

Moderator: Moderator Team


Topicstarter
PTC
Berichten: 17
Lid geworden op: 12 nov 2011, 09:56
Reputation: 0

lsass.exe -> r3.o.lencr.org

#1

Bericht door PTC »

Deze melding van mijn firewall. Iemand bekend hiermee ? Zoekopdracht resulteert in mogelijk gehackte browser (firefox), maar de melding komt als browser niet open staat. Verder geen virussen of vreemde processen gaande. Browser ziet er goed uit, geen verdachte add ons ed. Ik geloof er niet zo in dat ik gevaar loop, maar helemaal vertrouwen doe ik het niet. Kan wel deze toegang permanent blokkeren, maar wil weten wat dit is. Dank.

Afbeelding

Browser heb ik na verwijdering opnieuw geinstalleerd, melding blijft. Denk zelf niet dat het van mijn browser komt maar toch een legitiem iets is..maar zeker weten doe ik het nog niet. Maar ga deze verbinding niet accepteren. Bij blokkade verbinding blijft vooralsnog alles werken
Laatst gewijzigd door PTC op 11 jul 2021, 14:12, 1 keer totaal gewijzigd.
Neem je online privacy serieus en gebruik een VPN verbinding!

Met een VPN verbinding van IPVanish wordt uw gehele internet verbinding versleuteld

U kunt dus veilig browsen, Torrents downloaden, Usenet downloaden en onderling versleutelde verbindingen opzetten.



Ypsos
Moderator Team Lid
Berichten: 1383
Lid geworden op: 28 feb 2011, 08:06
Topics answered: 9
Reputation: 13

Re: lsass.exe -> r3.o.lencr.org

#2

Bericht door Ypsos »

Dit is bekend over R3.o.lencr.org

R3.o.lencr.org is een Windows-browser kaper, Browser Hijacking
http://www.combo-fix.com/threat-databas ... lencr-org/

Als je de website combo-fix .com doorbladert zie je
Download Removal Tool
to remove R3.o.lencr.org
NIET direct deze tool gaan downloaden. (WiperSoft) :!:

eerst de stappen doorlezen o.a. :
"Step 2. Delete R3.o.lencr.org from browsers"

eventueel Malwarebytes draaien
https://www.malwarebytes.com/

Topicstarter
PTC
Berichten: 17
Lid geworden op: 12 nov 2011, 09:56
Reputation: 0

Re: lsass.exe -> r3.o.lencr.org

#3

Bericht door PTC »

Browser heb ik na verwijdering opnieuw geinstalleerd, melding blijft. Denk zelf niet dat het van mijn browser komt maar toch een legitiem iets is..maar zeker weten doe ik het nog niet. Maar ga deze verbinding niet accepteren. Bij blokkade verbinding blijft vooralsnog alles werken. Knappe kop die dit mysterie ontrafelt :)
Gebruikersavatar

Harper
Moderator Team Lid
Berichten: 370
Lid geworden op: 16 dec 2011, 10:18
Topics answered: 4
Reputation: 25

Re: lsass.exe -> r3.o.lencr.org

#4

Bericht door Harper »

Al gekeken of lsass.exe in orde is?
Because lsass.exe is a crucial system file, its name is often faked by malware. The lsass.exe file used by Windows is located in the directory %WINDIR%\System32. If it is running from any other location, that lsass.exe is most likely a virus, spyware, trojan or worm. Due to the way some systems display fonts, malicious developers may name the file something like Isass.exe (capital "i" instead of a lowercase "L") in efforts to trick users into installing or executing a malicious file instead of the trusted system file.[2] Sasser (computer worm) spreads by exploiting a buffer overflow in the LSASS on Windows XP and Windows 2000 operating systems.
https://en.wikipedia.org/wiki/Local_Sec ... em_Service
Spotnet Classic 1.9.0.8 traag met opstarten?
Als je bij Bewerken => Instellingen => Externe black/whitelist onderstaande url's ingeeft werkt het weer goed!

http://spotlist.tk/spotnet/whitelist.xml
http://spotlist.tk/spotnet/blacklist.xml

Topicstarter
PTC
Berichten: 17
Lid geworden op: 12 nov 2011, 09:56
Reputation: 0

Re: lsass.exe -> r3.o.lencr.org

#5

Bericht door PTC »

Kwaadaardige varianten van 'lsass.exe' zijn mij bekend. Na een scan kom ik 8 varianten tegen:

Afbeelding

De onderste 4 incl. System32/ zijn van dezelfde aanmaakdatum 16-04-21. Blijkbaar is de variant in System32/ die je wel als het meest veilige kunt bestempelen vernieuwd/overschreven. Waarschijnlijk door een update met dezelfde instal. datum:

Afbeelding

Mogelijk dan toch fout (spionage) gedrag door microsoft ?
De andere varianten behoren volgens mij bij een windows update pakket en lijken mij toch veilig en vragen geen verbinding. Wat me dan wel weer opvalt is de term 'amd64'. Heeft wellicht niets te maken met het soort CPU want ik draai Intel.
Een scan op alle 8 'lsass.exe' geeft geen virus/malware volgens Eset. Als test wilde ik alle updates verwijderen tot voor die datum en dan met een schone lei updaten om zo goed in de gaten te houden wat er nu gebeurt met die System lsass.exe. Maar deze bovenstaande update kan ik niet verwijderen op een beschaafde manier dan. :D
Plaats reactie Vorig onderwerpVolgend onderwerp
Spot-net.nl Forums : Disclaimer