lsass.exe versucht aufs Inet zuzugreifen

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.07.2003, 07:56
Moderator
Avatar joschi

Beiträge: 6466
#16 @ddoering
Eine Firewall sollte in der Lage sein die Kommunikation auf dem Port 500/UDP
gänzlich zu unterbinden. wenn der Prozess auf deinem computer tatsächlich antworten möchte, müsste ja bereist eine Anfrage durchgedrungen sein !
Versuche mal bitte einen Portscan bei http://www.pcflank.com/scanner1.htm
Gib den Portrange selbst an. z.B von 1-501. Das genügt um zu sehen, in wie fern deine firewall tatsächlich nicht erwünschten Verkehr blockt, bzw, ob sie richtig eingestellt ist.

Zitat

Gefunden habe ich noch eine Datei: LSASS.EXE-20DB6D1B.pf die
Hier mal scannen lassen. scheint mir nicht sauber zu sein.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
26.07.2003, 08:35
Member

Beiträge: 647
#17 stelle den nt-lm-sicherheitsdienst enweder auf manuell oder auf deaktiviert in den diensten, und ruhe ist. allerdings kannst du danach die remoteunterstützung für wxp nicht mehr nutzen, aber die wird von den meisten eh nicht benötigt.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
28.07.2003, 10:22
...neu hier

Themenstarter

Beiträge: 7
#18 was ist denn die remoteunterstützung genau?
Seitenanfang Seitenende
28.07.2003, 18:54
Member

Beiträge: 647
#19

Zitat

JMotion postete
was ist denn die remoteunterstützung genau?


das ist genau das gleiche, was tools wie pcanywhere oder vlc machen, nur in xp fest eingebaut. damit lässt sich von einem anderen xp-pc dein rechner via netzwerk/internet übernehmen und aktionen darauf ausführen, genau so, als ob du selbst davorsitzen würdest.

der client kann sowohl deinen desktop sehen, alle dienste manipulieren, dateien löschen etc. bei der remoteunterstützung siehst du das aber, da dein bildschirm geschwärzt wird. bei terminaldienst (so ähnlich wie remoteunterstützung) läuft das aber im hintergrund ab und kann nur anhand des gestarteten dienstes bemerkt werden.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Dieser Beitrag wurde am 28.07.2003 um 18:54 Uhr von heptamer666 editiert.
Seitenanfang Seitenende
31.07.2003, 02:39
...neu hier

Themenstarter

Beiträge: 7
#20 danke schön für die gute erklärung :o)
Seitenanfang Seitenende
11.08.2003, 09:03
Moderator
Avatar joschi

Beiträge: 6466
#21 Mit der Deaktivierung des IPsec-Richtlinienagenten schließt sich auch Port 500.
Sehr kompakte Darstellung der Dienste: http://www.winguide.ch/win2000_allgemein_04.htm
Noch besser und ausführlicher ;) : http://www.different-thinking.de/windows_2000_dienste.php
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.08.2003, 17:06
...neu hier

Beiträge: 4
#22 Servus,
generell handelt es sich bei der LSASS.EXE um eine Original Datei
von W2k - WinXP
aber...sollte da noch eine Datei auf dem PC mit der Endung lass*.pl
sein, ist es mit Sicherheit NICHT die Originaldatei.
es gibt da ein Virus mit Namen W32/Simali
Alias: Backdoor.Simali
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.simali.html
noch ein Hinweis:
Check the following in the windows registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run "LASS"="C:\\WINDOWS\\JAVA\\TRUSTLIB\\COM\\LASS.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices

If they exist....delete them.
Seitenanfang Seitenende
14.08.2003, 13:56
...neu hier

Beiträge: 2
#23 nachdem ich die letzten 2 tage probleme mit der svchost.exe hatte un festgestellt habe, dass ich mir wohl irgendeine form des msblast-wurms eingefangen habe, woraufhin ich mir das service packet 4 installiert habe, versucht die lsass.exe bei mir nun auch online zu gehn (mit sygate verhindert). vielleicht fällts mir ja auch erst jetzt auf. habe weder mit antivir, spybot, ants noch ad-aware etwas finden können.

bei welchen windows-dateien ist es denn "normal", dass sie versuchen zugriff aufs internet zu erlangen?
(btw: habe win2000)
Seitenanfang Seitenende
14.08.2003, 17:56
Moderator
Avatar joschi

Beiträge: 6466
#24 Das erforderliche Patch bezüglich des "Buffer Overrun In RPC Interface" ist nicht Bestandteil des SP4 !
Hier findest Du die erforderlichen Links un dein System ggf. zu patchen.
http://board.protecus.de/t5696.htm

Kann es sein, dass die lsass.exe im Zusammenhang mit dem automatisierten Windows-Update, das man sich mit den SP3+4 aufspielt, zu tun hat ?
Ggf. mal in der Systemsteuerung alle automatisierten Updates abschalten .
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
15.08.2003, 12:57
...neu hier

Beiträge: 2
#25 den patch hab ich schon, nur dafür war halt mind. sp2 erforderlich um den installieren zu können.

hm, also habe der lsass.exe keinen zugriff aufs internet erlaubt und eben meldete sich trotzdem der assistent fürs automatisierte windows-update.
Seitenanfang Seitenende
19.08.2003, 12:56
...neu hier

Beiträge: 1
#26 hi joschi

was führ negative effekte hat das, wenn ich den IPSEC- Richtlinienagenten deaktiviere ? die lasass lauscht ja nich mehr aber hat das irgendwelche negativen auswirkungen auf das system ?

thx

thomaz
Seitenanfang Seitenende
19.08.2003, 13:35
Moderator
Avatar joschi

Beiträge: 6466
#27 IPsec ermöglicht den Aufbau von sicheren IP-Verbindungen, wie z.B VPN.
Mit deaktiviertem IPsec-Dienst sind solche Verbindungen und alles was damit essentiell zusammenhängt (wie z.B der schlüsselaustausch), nicht mehr möglich.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
24.08.2003, 12:17
...neu hier

Beiträge: 1
#28 hi.
ich habe ein ganz neues problem mit der lsass.exe.
bei mir (win xp pro) kommt eine fehlermeldung beim hochfahren, das die lsass.exe nicht richtig initialisiert werden konnte und geschlossen wird, wenn man auf OK klickt bleibt der bildschirm schwarz und es passiert gar nichts und der pc reagiert nicht.
was ich bis jetzt über diese datei weis is das sie die benutzerrechte ordnet,ich aber keine zweit benutzer oder so.
auch beim abgesichertenmodus kommt die gleiche meldung.
es wäre super wenn ihr mir helfen könntet ich hab nähmlich keine ahnung was ich machen soll.danke schonmal.max
Seitenanfang Seitenende
01.09.2003, 10:40
...neu hier

Beiträge: 2
#29 bei mir meldet ebenfalls norton personal firewall inbound traffic auf lsass.exe, das aber seltsamerweise nur, wenn ich per remote connection auf den PC verbunden bin. als remote IP erscheint aber nicht die IP von dem PC von dem ich auf den Home PC zugreiffe, sondern folgende: 82.64.0.133
diese gehört zu www.ripe.net! ein tracert führt zum franz. provider http://www.proxad.net/
ich hab den traffic jedenfalls geblockt, bin aber weiterhin verbunden per remote connection.
wer hat noch ideen ?
Seitenanfang Seitenende
01.09.2003, 11:38
Moderator
Avatar joschi

Beiträge: 6466
#30 Die Anfrage der 82.64.0.133 erfolgt tatsähclich n u r , wenn Du on remote mit deinem PC verbunden bist !?
Ist diese "Phänomen" tatsächlich jederzeit reproduzierbar ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende