PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Hardware Foren: (https://www.pc-experience.de/wbb2/board.php?boardid=1)
-- Netzwerk, DFÜ und DSL : (https://www.pc-experience.de/wbb2/board.php?boardid=7)
--- Firewall Probleme?! (https://www.pc-experience.de/wbb2/thread.php?threadid=9147)
Geschrieben von hannesbannes am 12.06.2004 um 16:30:
Firewall Probleme?!
hi ich hab die firewall + spamkiller + virus scan professional von mcafee. Und jdes mal wenn er mich fragt ob ich lsass.exe acces zum internet gewähre und ich "block access" drücke fängt mein pc immer an zu zucken wenn er online ist, sobald ich offline gehe ist wieder alles normal.
hab schon alle möglichen updates von windows installiert :(
Geschrieben von hannesbannes am 12.06.2004 um 21:43:
ne, wenn ich das sasser removal tool durchlaufen lasse findet er nix und ich hab nach dem formatieren direkt vor der ersten interneteinwahl das windows update installiert das den blockt...
Geschrieben von surviver am 13.06.2004 um 00:18:
Hi,
Also ich frage mich was die lsass.exe im inet überhaupt will.
Diese datei ist eigentlich für die LOKALEN benutzerrechte zuständig und das sie versucht ins net zu kommen könnte ich mir nur durch einen trojaner erklären (da du einen virenscan ja schon gemacht hast?!)
Würde empfehlen mal mit Anti Trojan scannen und evtl. nochmal mit nem virenscanner der eine hohe erkennungrate hat drüber.
z.b. Kaspersky oder anti viren kit
Falls das alles nix bringt die lsass mal woanders hin ausschneiden (sofern auf deinem Pc keine anderen benutzerkonten aktiv sind) und gucken ob`s dann immernoch is.
Ansonsten....keine ahnung sry
Geschrieben von Worf am 13.06.2004 um 00:19:
das muß nicht unbedingt der Sasser Wurm sein, das kann auch ein Hijacker sein, dazu gibts ja auch einen Workshop
wichtig ist das du alle Updates und das Servicepack 1 installiert hast, dann den Hijacker-Workshop durcharbeiten
Geschrieben von hannesbannes am 13.06.2004 um 10:59:
Ein Hijacker scheints nich zu sein da ich diesen workshop befolgt hab und nix bei rausgekommen ist. Wenn ich aber im Taskmanager nachschau steht da : lsass.exe bei Prozesse.
Geschrieben von Trinity am 13.06.2004 um 14:10:
Hello hannesbannes,
nochmal zur Verdeutlichung:
Der Prozess "lsass.exe" (Local Security Authority Subsystem) ist der lokale Sicherheitsdienst und steuert die
Richtlinien für die Benutzeranmeldung. Das dieser Prozess bei bestehender Verbindung ins Internet will, ist normal. Jede Firewall überprüft bei der Eingangskonfiguration, welche internetfähigen Programme sich auf dem System befinden, dazu gehören natürlich auch internetfähige Systemdateien wie die lsass.exe.
Da aber dieser Prozess von der Schreibweise
i oder
l schwer zu unterscheiden ist, sollte man auf Verdacht einen kompletten Malware Check durchführen.
Auch McAfee Security hat ab und dann seine Mankos, von daher würde ich zur Sicherheit auch ein anderes Anti-Virenprogramm zur Überprüfung heranziehen. Eine Auswahl davon gibts in unserem Sicherheitsworkshop.
Der Verdacht auf den Sasser Worm läge nahe, da gerade dieser eine Schwachstelle im lsass ausnutzt. Jedoch hast du nichts davon geschrieben, dass dein Rechner unerwartet runterfährt, was also verstehst du konkret unter:
| Zitat: |
| ...fängt mein pc immer an zu zucken wenn er online ist... |
|
? Genaue Symptome, Fehlermeldungen ?
cu Trinity
Geschrieben von hannesbannes am 14.06.2004 um 11:54:
d.h. also ich kann lsass.exe zugriff zum internet gewähren ?! und Fehlermeldungen gibts keine, er fängt einfach nur an zu zucken, d.h. das wenn ich z.B. musik abspiele das er ab und zu kurz musik für 1 sek stoppt dann wieder weiter läuft und immer so weiter, in dieser 1 sekunde zuckt dann aber auch komplett alles, ich kann also den mauszeiger nicht bewegen nix geht dann.
Geschrieben von juppiefreakk am 14.06.2004 um 12:19:
kommt mir ein wenig (aber auch wirklich nur ein wenig) bekannt vor.
bei mir ist es so, das er nach der anmeldung einen fehler in der lsass.exe ausgibt und das der prozess beendet wird. zucken tut da zwar nichts und auch sont hab ich keine probs, nur eben diese fehlermeldung (es ist auch eine speicheradresse angegeben, habe diese aber nicht im kopf)
würde min 2 antivirenprogs durchlaufen lassen, adaware+spybot und ein antitrojjanerprog drüber laufen lassen.
Geschrieben von Katsche am 14.06.2004 um 13:12:
hast du in der Ereignisanzeige nach Fehlermeldungen gefahndet?
hier
wird beschrieben wie was und warum
Geschrieben von Trinity am 14.06.2004 um 13:15:
@hannesbannes
Arbeiten wir Step by Step weiter, denn die lsass-Sache kann ganz schön verstrickt sein.
1. hast du, wie ich dir geraten habe, dein System mit einem anderen aktuellen Antivirenprogramm durchsucht, hast du gewissenhaft unseren Sicherheitsworkshop speziell zur Malware Analyse durchgearbeitet?
2. suche auf der Festplatte nach der Datei
lsass.exe, du solltest diese Originaldatei von Microsoft im Verzeichnis
\Windows\System32 finden, eventuell erscheint sie auch noch in einem Archiv des Servicepack Verzeichnisses, insofern bei dir vorhanden, aber ansonsten hat diese Datei
nirgendwo aufzutauchen.
Die gefundene lsass.exe checkst du nun mit einem Onlinescan auf Viren, z.Bsp. über
Trend Micro
.
3. nein, gewähre der Datei noch keinen Zugriff auf das Internet, wir sollten erst sichergehen, dass sich kein Trojaner oder andere Konsorten auf deinem System eingenistet haben.
4. wirf bitte einen Blick in die Ereignisanzeige und teile uns auffällige Fehlermeldungen mit. Wie du mit der Ereignisanzeige umgehst,
hier
haben wir den Workshop dazu.
So, einiges an Arbeit für dich, bis dann
cu Trinity
Forensoftware: Burning Board , entwickelt von WoltLab GmbH