lsass.exe versucht aufs Inet zuzugreifen

Thema ist geschlossen!
Thema ist geschlossen!
#0
02.09.2003, 14:23
...neu hier

Beiträge: 2
#31 ja war es, aber jetzt hab ichs permanent geblockt und komms nicht mehr mit über. ich weiss ned wie ich die regel entferne, sonst könnt ich schauen obs immer von der ip kommt ;)
Seitenanfang Seitenende
07.09.2003, 04:54
...neu hier

Beiträge: 3
#32 hallo leute, bin seit eben bei euch und habe auch ein prob mit dieser lsass.exe

bei mir versucht ein programm von aussen eine verbindung herzustellen (hba ich bis jetzt geblockt)

OS: WinXP Home
NIS 2003
NAV 2003

vierenscan mit norton antivirus und neuestem update war erfolglos, auch habe ich keinen der von symantech beschriebenen einträge in meinem regedit gefunen, allerdings habe ich den von williwusel empfolenen tip befolgt und dieses hier gefunden:

HKEY_LOCAL_MACHINE\Software\Microsoft\Speech\AudioOutput\TokenEnums\MMAudiOut

hörst sich harmlos an, wollte aber trotzdem mal fragen ob mir einer was dazu sagen kann.

hat schon einer ne endgültige lösung für das problem mit dieser exe gefunden???
Dieser Beitrag wurde am 07.09.2003 um 04:55 Uhr von CraZy editiert.
Seitenanfang Seitenende
08.09.2003, 20:42
...neu hier

Beiträge: 1
#33 Hallo allerseits,
ich war gerade völlig abgenervt von lsass.exe und habe mich auf die Suche nach Infos darüber begeben.
Jetzt bin ich hier im Forum gelandet und habe die Beiträge gelesen - kommt mir sehr bekannt vor ;-)
Ich habe ebenfalls WinXP Pro und Norton IS und Norton AV laufen.
lsass.exe hat sich wie so oft bei "Norton" gemeldet und zwar so:
A program named lsass.exe is attempting to vconnect to a computer at 81.218.225.165:500 using port 500. This is a low risk based on the following information: Virus Detected - No Virus found
Digitally Signed - No
Trusted Company - Microsoft Corporation"


In den weiteren Informationen steht:
Lsass.exe is the local security authentication server. Lsass.exe genaerates the process that the Winlogon service uses to authenticate users. You may be alerted about lsass.exe when your computer logs on to a network or when the authentication server communicates with your computer.

Also doch alles ganz harmlos ???
Hm, habe lsass.exe aber nun trotzdem für immer geblockt ;-))

LG

Alexandra
Seitenanfang Seitenende
09.09.2003, 00:43
...neu hier

Beiträge: 3
#34 hm, aber blocken kann nich die lösung sein, es muss ja ne möglichkeit geben das ding wieder in die rehe zu bekommen, immerhin hat es sich die ganze zeit nich gemeldet und nu machts plötzlich probleme, liegt die warscheinlichkeit einer wurminfektion nahe auch wenn NAV nix findet.

bitte kann mal einer dazu helfen?
Seitenanfang Seitenende
09.09.2003, 11:03
Member
Avatar Ajax

Beiträge: 890
#35 @CraZy

Die untere Anleitung bezieht sich auf einen Einzelplatzrechner.

Anleitung

Anmerkung
Man kann Port 445 schließen auch ohne den NetBios-Treiber zu deaktivieren(falls eine Anwendung es brauchen würde)
Folgenden Eintrag in der Registry machen:
Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Name: SmbDeviceEnabled
DWORD-Wert (REG_DWORD)
Wert:0 (deaktiviert)
Nach einen Neustart wird Port 445 nich mehr vom NetBios-Treiber geöffnet.

Gruß
Ajax

P.S.
All dies hättest Du über die Suchfunktion des Boards auch finden können.
Dieser Beitrag wurde am 09.09.2003 um 11:04 Uhr von Ajax editiert.
Seitenanfang Seitenende
10.09.2003, 07:25
...neu hier

Beiträge: 3
#36 sorry aber ich kenne mich mit boards nicht aus, ich habe nur über googl dieses thema hier gefunden, aber danke für deine hilfe.
Seitenanfang Seitenende
21.09.2003, 16:49
...neu hier

Beiträge: 1
#37 Hallo an alle,

seit heute ist bei mir das gleiche Problem:

""Ein Remote System versucht, auf lsass.exe auf ihrem Computer zuzugreifen.


Protokoll: UDP ( Eingehend )

Remote Adresse: 80.238.29.48: isakmp (500)

Lokale Adresse: Alle lokalen Netzwerkadapter: isakmp (500)""

Ich benutze Win XP Home / Norton Personal Firewall und Norton Antivirus.

Außerdem habe ich Kazaa und Emule offen : Hängt es damit zusammen vielleicht.

Danke im vorraus.
Seitenanfang Seitenende
24.09.2003, 10:07
...neu hier

Beiträge: 1
#38 bei mir ists das selbe wie bei dir, cyborg, auch ich habe emule offen. ohne emule ist die meldung bisher noch nie gekommen, allerdings kam sie früher auch mit emule nicht.
also könnte da schon ein zusammenhang bestehen, komischerweise aber eindeutig erst seit neuerem.

benutze win2k und ebenfalls norton personal firewall...
Seitenanfang Seitenende
24.09.2003, 17:24
Moderator
Avatar joschi

Beiträge: 6466
#39 Ursächlich hat es nichts mit Emule oder Kazaa zu tun. Auch in der Funktion
haben diese Dienste nichts gemeinsam.
Möglich oder vorstellbar: Ein anderer Nutzer von P2P-Software scannt die zu seinem PC verbundenen IPs/ PCs.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
08.10.2003, 10:44
...neu hier

Beiträge: 1
#40 Hallo Leute!!
Ich bin auch neu hier und habe das gleiche Problem mit der lsass.exe! Leider kommt bei mir hinzu (XP prof, NAV, NPF, Anti Trojan 5.5), dass bei dauerhaftem blocken mein Rechner irgendwann neu startet und ich die nette Meldung: "das System wird nach einem schwerwiegenden Fehler wieder ausgeführt...." erhalte! Leider konnte ich das noch nie "live" beobachten!
Alle oben genannten Scanner finden nix, genau wie die hier empfohlenen online scans!
Auch hab ich in der Registry keine Einträge gefunden, die da nicht hingehören!
Emule läuft bei mir auch ständig.

Ich hoffe jemand hat ne Idee!!?? Dafür jetzt schonmal vielen Dank!!!!!
Seitenanfang Seitenende
08.10.2003, 11:34
Moderator
Avatar joschi

Beiträge: 6466
#41 Hast Du mal eine Seite vor dieser gelesen ? Da steht, wie man den Port 500 schließt, bzw. die Aktivitäten der Lsass.exe auf Systemebene deaktiviert.
Ich bezweifle, dass die Abstürze etwas mit dem Blocken zu tun haben.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
09.10.2003, 13:37
...neu hier

Beiträge: 1
#42 Hallo an alle.

Ich habe heute exact das selbe Problem mit der lssas.exe gehabt und bin daraufhin auf dieses Forum gestoßen.

Einige von den Tips werde ich mal ausprobieren, jedoch wollt ich noch was sagen.
Ich konnte es nicht unterlassen mal ne Routenverfolgung zu der IP zu machen die auf mein System zugreifen wollte
und nun schaut mal hier.

Routenverfolgung zu 200-193-228-093.bsace7015.dsl.brasiltelecom.net.br [200.193.228.93] über maximal 30 Abschnitte:

1 63 ms 62 ms 63 ms 217.5.98.159
2 47 ms 62 ms 47 ms 217.237.156.238
3 141 ms 156 ms 156 ms WAS-E4.WAS.US.NET.DTAG.DE [62.154.14.134]
4 140 ms 156 ms 157 ms washdc5lce1-pos5-0.wcg.net [64.200.95.153]
5 141 ms 156 ms 157 ms hrndva1wcx2-pos0-0.wcg.net [64.200.89.49]
6 141 ms 156 ms 156 ms nycmny2wcx2-oc48.wcg.net [64.200.240.45]
7 140 ms 157 ms 156 ms nycmny2wcx1-oc12.wcg.net [64.200.87.58]
8 282 ms 281 ms 297 ms nycmny2wcx1-brtservices-pos.wcg.net [64.200.60.58]
9 281 ms 281 ms 282 ms BrT-G3-2-bsacore01.brasiltelecom.net.br [200.199.193.42]
10 282 ms 281 ms 297 ms BrT-V2-bsacesw11.brasiltelecom.net.br [200.199.193.114]
11 281 ms 297 ms 296 ms BrT-F0-0-0-bsace7015.brasiltelecom.net.br [200.199.249.141]
12 1594 ms 1125 ms 719 ms 200-193-228-093.bsace7015.dsl.brasiltelecom.net.br [200.193.228.93]

Ablaufverfolgung beendet.


Da frag ich mich doch echt was ein Brasilianer auf meinem Rechner will.
Der Verdacht eines Angriffes liegt da doch verdammt nahe.
Ich gehe zwar nicht davon aus das dieser Brasilianer wirklich explizit mich auserwählt hat, aber eben eine Art Scan über IP-Bereiche durchgeführt hat um so an offene Ports auf Rechnern zu gelangen.
Also ähnlich wie es beispielsweise mit SubSeven damals war.
Man sendet ein Signal via Broadcast ins Netz und hofft auf Antwort eines "Server's".

Bekommt man schliesslich die Verbindung hat man den erwünschten Zugriff auf das System.

Nur eine Vermutung.

Vielleicht basteln da irgendwelche Hacker grade an einem neuen Wurm der sich eben der lsass.exe bedienen will.

Wäre ja auch logisch, denn kommt man über die lokalen Sicherheitsrichtlininen hinweg in das System hat man so ziemlich den kompletten Zugriff auf alles.
__________
Nur weil du dir sicher bist sicher zu sein, heisst das nicht das du sicher bist.
Seitenanfang Seitenende
14.10.2003, 17:11
...neu hier

Beiträge: 1
#43 Hallo,

auch hier im abgelegenen Bayernland is das Problem mit dieser Isass.exe bekannt.
Ich habe sie bei dem ersten versuch eine verbindung über internet herzustellen blockiert. Das ist gut ein halbes Jahr her und hat bis Dato keine negativen Auswirkungen gehabt.Ich glaube das problem trat auf seit ich die Emule immer laufen hatte.Kazaa würde ich ausschließen,habe ich noch nie installiert oder benutzt.
Seitenanfang Seitenende
21.10.2003, 22:21
...neu hier

Beiträge: 1
#44 hallo

hier ein paar infos:
**********************************************************
Dateiname: lsass.exe
abhängig von: Arbeitsstationsdienst
Standard Win2kServer: manuell
Standard Win2kPro: manuell
sichere Konfiguration: manuell
Gateway-Konfiguration: deaktiviert
Spiele-Konfiguration: deaktiviert

Anwendungsverwaltung (engl.: Application Management: Bietet Installations-Dienste an. Dieser Service wird benutzt um ein unternehmensweites Installationsmanagement zu realisieren. Es ermöglicht die Installation, Deinstallation und Inventarisierung von Software. Wenn man auf einem Computer, der einer Domän angehört, den Hinzufügen-Button in Software hinzufügen/entfernen drückt, wird dieser Service aufgerufen. Er wird ebenfalls von Installtions und Deinstallationsprogrammen anderer Hersteller benutzt.
Ist dieser Dienst deaktiviert, so sind die Nutzer nicht in der Lage im Active Directory (AD) durch IntelliMirror (r) veröffentlichte Software zu installieren.
**********************************************************
Die lsass.exe ist ebenfalls ein Systemdienst.
Damit sich ein Benutzer überhaupt anmelden darf, wird vom winlogon.exe Prozess eine Anfrage an die Local Security Authority, kurz lsass.exe, gestellt, ob dieser User mit dem eingegebenen Passwort überhaupt ein gültiger User für dieses System ist. Zusätzlich steuert lsass.exe die Zugriffsrechte für Dateien
**********************************************************

cya

banduro
Seitenanfang Seitenende
22.10.2003, 19:15
...neu hier

Beiträge: 1
#45 Hi zusammen,

hatte seit letztem Wochenende das gleiche Poblem mit lass.exe. Ich habe das Verdächtige Verzeichis zu Antivir XP geschickt . Seit heute kann Antivir dieses problem bei mir beseitigen.
Der Virusname ist BDS.IRC.Mirx-Based-Virus. Probiert es mal aus vieleicht hilft es euch.

Gruss

Geo
Seitenanfang Seitenende