lsass.exe versucht aufs Inet zuzugreifen

#1 Hinweis: (Moderator)

Zitat

Thema vorrübergehend geschlossen mehr Infos:
Wurm Sasser dringt über Windows-Sicherheitslücke ein
lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung
W32.Sasser Removal Tool - (lsass Problem)

Hallo,

seid neustem (!!!) erst versucht die datei lsass.exe aufs Internet bei mir zu zugreifen. Ich weiß, dass es sich bei der Datei um Local Security Authority handelt und diese sozusagen eine systeminterne Sicherheitsschaltstelle ist, die alle sicherheitsrelevanten Vorgänge steuert. Aber ich wusste bis heute nicht, dass sie in regelmäßigen Abständen versucht aufs Internet zu zugreifen. Es gibt Würmer/Trojaner, wie z.B. LOVGATE, die diesen Prozess sozusagen für ihre Zwecke in Anspruch nehmen. Da meine Firewall (NortonPF) regelmäßig die Warnung erteilt, dass sich diese Datei Zugang ins www verschaffen will, ist jetzt meine Frage, ob das normal ist oder ob es sich evt hier um einen Trojaner handelt, der diesen Prozess für sich nutzt.
Ich habe WIN XP, und als Sicherheitsprogramme nutze ich NortonPF, Norton AntiVirus und als Trojaner Scanner: Anti-Trojaner...

#2 Hast du pro ?
Ich hab auch WINXP prO und NortonPF, Norton Antivirus, und bei mir macht diese Datei, falls ich die überhaupt habe, keine probs !

Schneide sie mal aus und stecke sie in einen anderen Ordner, guck mal was dann passiert !! Oder lösche sie einfach mal.......

#3 Bist Du Dir sicher, dass es es "Outgoing" Alert ist, und wenn ja, zu welcher IP-Adresse ? Löschen, ausschneiden oder dergleichen würde ich unterlassen !!
@Domi2k ....ist das eine erprobte Methode, die Du da vorschlägst ?
Es klingt für mich eher nach "System unbrauchbar machen"
Nicht auszuschliessen, dass es sich um einen Wurm (z.B WORM_MOFEI.B) handelt. Evlt Explorer.exe und lsass.exe online scannen lassen.
z.B hier : http://www.kaspersky.com/remoteviruschk.html (schnell und unkompliziert, noch dazu zuverlässig)
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Nein, ich habe kein pro, und das mit dem Löschen halte ich auch für keine gute Idee ;o).
Ja, ich bin mir sicher, dass es ein outgoing ist. Habe den Pc neu gestartet. Sei d dem ist Stille. Habe die besagten Files aber auch mal online checken lassen aber nix gefunden.

Was könnte es denn noch sein. Danke schonmal Euch beiden...

#5 Interessant ist vor allem Joschi's Frage, zu welcher IP Adresse sich der Prozess verbinden wollte...
Es könnte vielleicht auch ein Trojaner sein, der sich in den lsass-Prozess injiziert, und damit "hijacked". Dann wäre die Datei lsass.exe _nicht_ infiziert, und der Trojaner wäre woanders zu suchen...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#6 Local address,service is (0.0.0.0,isakmp(500))
Remote address,service is (81.51.101.229,isakmp(500))
Process name is "C:\WINDOWS\system32\lsass.exe"

#7 Hi,

das die Datei eien Verbindung aufbaut ist mir nicht bekannt.

ich habe aber ein anderes Problem mit dieser Datei.
Sie hängt an folgendem Dienst " PIsec-Dienst"
und ist unter der Dienstliste in der Verwaltung zu finden.
Ist bei mir dieser Dienst aktiviert, dann kann ich mein
LAN nicht nutzen, ist es deaktiviert funktiniert es wunderbar.
An anderen Rechnern in meinem Netzwerk ist dieser Dienst
aktiviert und diese können ohne Probleme das LAN nutzen

Danke

#8 IPsec ist nicht das Thema hier.
Sofern Dein PC keine gesicherten Verbindungen zu anderen Rechnern aufbauen muss, kannst Du den Dienst getrost deaktiviert lassen. Eröffne für weitere Fragen bitte einen neuen Thread.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 Hallo,
bin seit heute neu dabei und das Problem mit lsass.exe ist mir bekannt:

Der lokale Sicherheitsdienst lsass.exe (Local Security Authority Subsystem) steuert die Richtlinien für User. Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.

Lovegate ist einer der Viren der sich für diese Datei interessiert. Einen Zugang zum Rechner offen zu haben, nennt man “Backdoor.”

Wer der Meinung ist, jemand verschafft sich von Aussen Zugang zum System, sollte Hier vorbei schauen :

http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.hllw.lovgate.c@mm.html

Ich hoffe das Hilft Ihnen (Euch) weiter.

Logan

#10 Danke schön. Jetzt weiß ich wenigstens, dass es nicht Lovegate ist. :o) Ich habe mir mal Symantecs Beschreibung durchgelesen und geguckt ob irgednwas davon zu trifft. Ich habe keiner dieser Einträge in meinen regedit gefunden .

Schon strange das ganze. Ich habe ja auch Norton Antivirus laufen und auch Antitrojaner scannt bei mir regelmäßig alles. Aber kein Programm von beiden findet etwas.

#11 sagt mal leute, könntet ihr euch vorstellen, dass das was mit den diensten zur remote-administration zu tun haben könnte? ich habe zwar keine ahnung, aber wundern würde es mich nicht, wenn diese auch die isass benutzen. in diesem fall sollte es reichen entsprechende dienste zu deaktivieren. obs wirklich hilft, kann vielleicht ein anderer sagen ...

#12 weiß ich nicht. aber könnte ich mir auch gut vorstellen...

#13 Hmm bei mir ist das seit kurzem auch so, aber mit Inbound TCP/IP Verbindung. Und nur wenn ich ein FTP-Programm starte

Irgendjemand dazu ne Idee?

Nach Trojaner und Viren habe ich mit Symantec Antivirus gescannt, kein Erfolg.

Ich probiere nachher noch mal die Tips von oben aus.

#14 Hier: http://www.different-thinking.de/windows_2000_dienste.php findest du eine Liste von Diensten. Einige davon laufen über isass.exe. vieleicht suchst du dir mal die entsprechenden dienste raus und experimentierst etwas mit ihnen.

#15 Hallo ! Ich bin seit heute dabei!

Ich habe seit ca. 1 Woche ähnliche Probleme. IE 6 (u.a.) ist nach ca. 1/2 Stunde abgestürzt. Und der Rechner läuft mit 100 % Last. Grund ist eine LSASS.EXE

Die Firewall zeigt seit dem immer kurz nach der Einwahl ins Netz:

"...Someone from fw1.borrmann.de [145.253.138.42], port 500 wants to send UDP datagram to port 500 owned by 'LSA Shell (Export Version)' on your computer.."

und umgekehrt will 'meine' lsass.exe auch immer zurückantworten...

AntiVir XP und AdAware finden nichts.

Ich kann auch den Rechner nicht mehr "unbeaufsichtigt" laufen lassen, weil nach 30 Min. es passieren kann das er unter Vollast läuft .....für Stunden und ohne Grund, d.h Grund ist lsass.exe, aber eben nutzlos.

Gefunden habe ich noch eine Datei: LSASS.EXE-20DB6D1B.pf die ich nicht identifizieren kann.