lsass.exe -> r3.o.lencr.org

[PTC]

Deze melding van mijn firewall. Iemand bekend hiermee ? Zoekopdracht resulteert in mogelijk gehackte browser (firefox), maar de melding komt als browser niet open staat. Verder geen virussen of vreemde processen gaande. Browser ziet er goed uit, geen verdachte add ons ed. Ik geloof er niet zo in dat ik gevaar loop, maar helemaal vertrouwen doe ik het niet. Kan wel deze toegang permanent blokkeren, maar wil weten wat dit is. Dank.



Browser heb ik na verwijdering opnieuw geinstalleerd, melding blijft. Denk zelf niet dat het van mijn browser komt maar toch een legitiem iets is..maar zeker weten doe ik het nog niet. Maar ga deze verbinding niet accepteren. Bij blokkade verbinding blijft vooralsnog alles werken

[Ypsos]

Dit is bekend over R3.o.lencr.org

R3.o.lencr.org is een Windows-browser kaper, Browser Hijacking
http://www.combo-fix.com/threat-databas ... lencr-org/

Als je de website combo-fix .com doorbladert zie je

Download Removal Tool
to remove R3.o.lencr.org

NIET direct deze tool gaan downloaden. (WiperSoft)

eerst de stappen doorlezen o.a. :
"Step 2. Delete R3.o.lencr.org from browsers"

eventueel Malwarebytes draaien
https://www.malwarebytes.com/

[PTC]

Browser heb ik na verwijdering opnieuw geinstalleerd, melding blijft. Denk zelf niet dat het van mijn browser komt maar toch een legitiem iets is..maar zeker weten doe ik het nog niet. Maar ga deze verbinding niet accepteren. Bij blokkade verbinding blijft vooralsnog alles werken. Knappe kop die dit mysterie ontrafelt

[Harper]

Al gekeken of lsass.exe in orde is?

Because lsass.exe is a crucial system file, its name is often faked by malware. The lsass.exe file used by Windows is located in the directory %WINDIR%\System32. If it is running from any other location, that lsass.exe is most likely a virus, spyware, trojan or worm. Due to the way some systems display fonts, malicious developers may name the file something like Isass.exe (capital "i" instead of a lowercase "L") in efforts to trick users into installing or executing a malicious file instead of the trusted system file.[2] Sasser (computer worm) spreads by exploiting a buffer overflow in the LSASS on Windows XP and Windows 2000 operating systems.

https://en.wikipedia.org/wiki/Local_Sec ... em_Service

[PTC]

Kwaadaardige varianten van 'lsass.exe' zijn mij bekend. Na een scan kom ik 8 varianten tegen:



De onderste 4 incl. System32/ zijn van dezelfde aanmaakdatum 16-04-21. Blijkbaar is de variant in System32/ die je wel als het meest veilige kunt bestempelen vernieuwd/overschreven. Waarschijnlijk door een update met dezelfde instal. datum:



Mogelijk dan toch fout (spionage) gedrag door microsoft ?
De andere varianten behoren volgens mij bij een windows update pakket en lijken mij toch veilig en vragen geen verbinding. Wat me dan wel weer opvalt is de term 'amd64'. Heeft wellicht niets te maken met het soort CPU want ik draai Intel.
Een scan op alle 8 'lsass.exe' geeft geen virus/malware volgens Eset. Als test wilde ik alle updates verwijderen tot voor die datum en dan met een schone lei updaten om zo goed in de gaten te houden wat er nu gebeurt met die System lsass.exe. Maar deze bovenstaande update kan ik niet verwijderen op een beschaafde manier dan.