.titleBar { margin-bottom: 5px!important; }

FRITZ!DSL Startcenter meldet "LSASS"

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von Verfritzt, 24 Sep. 2006.

  1. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo (und Hilfe!),

    die AVM SW Startcenter meldet manchmal
    LSASS Port 500 (oder 4500) möchte auf das Internet zugreifen.

    Was soll ich tun? Zulassen??
    Hat das evtl mit AntVir zu tun?

    Grüße und Dank schon mal...
     
  2. gandalf94305

    gandalf94305 Guest

    LSASS ist ein Dienst, der mit dem Security-Subsystem zu tun hat... warum der allerdings auf Port 500/4500 zugreifen möchte, ist mir rätselhaft. Das sieht aus, als würde versucht, ein VPN aufzubauen.

    Meine Empfehlung: blockieren.

    --gandalf.
     
  3. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #3 Verfritzt, 24 Sep. 2006
    Zuletzt bearbeitet: 24 Sep. 2006
    Vielleicht habe ich mich vorhin geirrt, aber jetzt sehe ich die Meldung mit

    LSA EXE und SERVER DLL

    sorry für die vermutlich erste Falschmeldung

    ne idee??
     
  4. gandalf94305

    gandalf94305 Guest

    Bei den Ports geht es um IPSEC, d.h. VPN. Verwendest Du kein VPN, sollte dieser Verkehr nicht auf das Internet gelangen... also sperren, egal wer den nun verursacht ;-)

    Siehe auch diesen Artikel bei Microsoft.

    --gandalf.
     
  5. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Zeitnah, wenn Windows Update gestartet wird, dann meldet sich
    "LSA EXE und SERVER DLL"

    Bisher drücke ich "NEIN" im Protect-Window.

    Ergebnis: der windows updater funktioniert nicht !!!

    Kann jemand etwas dazu sagen?
    Für mich sieht es tendenziell so aus, als ob windows update diesen service braucht.
    Ich habe aber noch so gewisse Ängste auf "Ja" zu klicken.
     
  6. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    #6 doc456, 25 Sep. 2006
    Zuletzt bearbeitet: 25 Sep. 2006
    Sorry, aber du hast ein kleines böses Tierchen auf dem PC. Alle Angaben deuten darauf hin. Google mal danach! EDIT: Schau mal nach solchen Dateien: c:\windows\system32\12345_up.exe
    c:\windows\system32\27583_up.exe

    oder:
    Die CD von Windows zur Hand, die betroffenen Dateien in einen Ordner kopieren, im "Abgesicherten Modus" starten und die Dateien drüberkopieren!

    EDIT1: und vorher die Systemwiederherstellung abschalten!
     
  7. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    solche Dateien sind dort nicht vorhanden.
    AntiVir hat auch nichts gefunden (ausser einen nicht-installierten Virus)

    noch ne idee??
    Vielleicht können ja user, die diesen Beitrag lesen, mal in ihrer eigenen Protect Liste nachschauen?
     
  8. gandalf94305

    gandalf94305 Guest

    Hast Du auch mal Spybot S&D von http://www.spybot.info versucht?

    Es kann jedoch eine ganz gewöhnliche Funktion sein, die hier aufgerufen wird... Microsoft hat ab und zu lustige Überraschungen auf Lager. Auf welche IP-Adresse erfolgt denn der Zugriffsversuch?

    --gandalf.
     
  9. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    LSASS (LSA) - LASSER wurde nicht immer unbedingt zuverlässig gefunden! Goggle doch mal nach Lasser, da gibts auch Entfernungs-Tools für.

    @gandalf
    ja, ja unser aller ge(be)liebter Freund Bill Gates! Überraschung, Überraschung! :D

    EDIT: schau mal nach der Dateigröße - suchen ls*.*!
     
  10. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich muss mal warten,wenn es wieder passiert. Wo kann man dann die IP sehen?
     
  11. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hab ich gemacht...da liegt so einiges rum.

    WINNT/
    (lsass.exe in pack ordnern) und LSASS.exe
    LSASRV.DLL

    PDFFREE/
    LSSec.DLL
     
  12. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Wie groß ist den die LSASS.exe?
     
  13. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    LSASS.exe 39kb
    LSASRV.dll 529kb
     
  14. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Ist i.O., so haben wir das mal ausgeschlossen!
     
  15. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Kann es sein, dass eine der AVM Applikationen das startet?
    z.B.bei AVM nach updates anklingelt?
     
  16. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Geb dir die Beschreibung mal auf Neu-Deutsch. :)

    Description:
    lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. This program is important for the stable and secure running of your computer and should not be terminated.
     
  17. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe es aber jetzt mal abgeschossen (TaskManager).
    Der Laptop gibt eine Nachricht, dass die Kiste runtergefahren wird.Man hat dann noch 60 Sekunden Zeit dem Ereignis hilflos beizuwohnen.

    Fazit: LSASS laufen lassen.

    In der AVM Protect Firewall sperre ich diese Teile aber jetzt endgültig.

    Eine Beobachtung habe ich hierzu aber noch gemacht:
    Durch WLAN gibt es oft Verbindungsunterbrechungen, die aber meistens schnell wieder hergestellt sind. Zeitnah dazu meldet sich der LSASS.
    Eine Idee von EUCH?
     
  18. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Hol die mal die Entfernungssoftware für LASSER bei Symatec/McAffe und lass die trotzdem mal drüberlaufen.
     
  19. KuniGunther

    KuniGunther Aktives Mitglied

    Registriert seit:
    8 Juni 2005
    Beiträge:
    2,187
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    FritzProtect meldet das auch bei mir. Schau mal unter Systemsteuerung->Verwaltung->Dienste nach, ob die IPSEC-Dienste gestartet sind. Normalerweise ist dieser Dienst bei einer Standard-Installation wohl erstmal nicht aktiv, wenn man irgendwas grob in der Richtung VPN oder IPSEC macht (oder auch nur Port 500 nutzt, wie ich irgendwo gelesen habe), schaltet der sich an.
    LSA will auch keine Verbindung ins Internet herstellen. Die FritzProtect Meldung sagt, dass er auf den Ports 500 und 4500 UDP Verbindungen annehmen möchte. Wenn man 'ja' sagt und UPnP aktiviert hat, macht FP dann eine Portweiterleitung in der FB auf (und schaltet sie wieder aus, wenn der Port zugemacht wird). Sagt man nein, passiert eigentlich nichts. Ohne Portweiterleitung kommt ja keine eingehende Verbindung aus dem Internet zum Rechner. Der Port wird aber auch nicht für das lokale Netz gesperrt. Sollte man das wollen, muss das in der Windows-Firewall (oder was immer benutzt wird) geschehen.
     
  20. Verfritzt

    Verfritzt Neuer User

    Registriert seit:
    30 Aug. 2006
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also,
    der IPSEC-Richtlinienagent wurde automatisch gestartet, localsystem.

    Was aber passiert, wenn man "JA" sagt?