FRITZ!DSL Startcenter meldet "LSASS"

[Verfritzt]

Hallo (und Hilfe!),

die AVM SW Startcenter meldet manchmal
LSASS Port 500 (oder 4500) möchte auf das Internet zugreifen.

Was soll ich tun? Zulassen??
Hat das evtl mit AntVir zu tun?

Grüße und Dank schon mal...

 

[gandalf94305]

LSASS ist ein Dienst, der mit dem Security-Subsystem zu tun hat... warum der allerdings auf Port 500/4500 zugreifen möchte, ist mir rätselhaft. Das sieht aus, als würde versucht, ein VPN aufzubauen.

Meine Empfehlung: blockieren.

--gandalf.

 

[Verfritzt]

Vielleicht habe ich mich vorhin geirrt, aber jetzt sehe ich die Meldung mit

LSA EXE und SERVER DLL

sorry für die vermutlich erste Falschmeldung

ne idee??

 

[gandalf94305]

Bei den Ports geht es um IPSEC, d.h. VPN. Verwendest Du kein VPN, sollte dieser Verkehr nicht auf das Internet gelangen... also sperren, egal wer den nun verursacht ;-)

Siehe auch diesen Artikel bei Microsoft.

--gandalf.

 

[Verfritzt]

Zeitnah, wenn Windows Update gestartet wird, dann meldet sich
"LSA EXE und SERVER DLL"

Bisher drücke ich "NEIN" im Protect-Window.

Ergebnis: der windows updater funktioniert nicht !!!

Kann jemand etwas dazu sagen?
Für mich sieht es tendenziell so aus, als ob windows update diesen service braucht.
Ich habe aber noch so gewisse Ängste auf "Ja" zu klicken.

 

[doc456]

Sorry, aber du hast ein kleines böses Tierchen auf dem PC. Alle Angaben deuten darauf hin. Google mal danach! EDIT: Schau mal nach solchen Dateien: c:\windows\system32\12345_up.exe
c:\windows\system32\27583_up.exe

oder:
Die CD von Windows zur Hand, die betroffenen Dateien in einen Ordner kopieren, im "Abgesicherten Modus" starten und die Dateien drüberkopieren!

EDIT1: und vorher die Systemwiederherstellung abschalten!

 

[Verfritzt]

solche Dateien sind dort nicht vorhanden.
AntiVir hat auch nichts gefunden (ausser einen nicht-installierten Virus)

noch ne idee??
Vielleicht können ja user, die diesen Beitrag lesen, mal in ihrer eigenen Protect Liste nachschauen?

 

[gandalf94305]

Hast Du auch mal Spybot S&D von http://www.spybot.info versucht?

Es kann jedoch eine ganz gewöhnliche Funktion sein, die hier aufgerufen wird... Microsoft hat ab und zu lustige Überraschungen auf Lager. Auf welche IP-Adresse erfolgt denn der Zugriffsversuch?

--gandalf.

 

[doc456]

LSASS (LSA) - LASSER wurde nicht immer unbedingt zuverlässig gefunden! Goggle doch mal nach Lasser, da gibts auch Entfernungs-Tools für.

@gandalf
ja, ja unser aller ge(be)liebter Freund Bill Gates! Überraschung, Überraschung!

EDIT: schau mal nach der Dateigröße - suchen ls*.*!

 

[Verfritzt]

Es kann jedoch eine ganz gewöhnliche Funktion sein, die hier aufgerufen wird... Microsoft hat ab und zu lustige Überraschungen auf Lager. Auf welche IP-Adresse erfolgt denn der Zugriffsversuch?.

Ich muss mal warten,wenn es wieder passiert. Wo kann man dann die IP sehen?

 

[Verfritzt]

EDIT: schau mal nach der Dateigröße - suchen ls*.*!

Hab ich gemacht...da liegt so einiges rum.

WINNT/
(lsass.exe in pack ordnern) und LSASS.exe
LSASRV.DLL

PDFFREE/
LSSec.DLL

 

[doc456]

Wie groß ist den die LSASS.exe?

 

[Verfritzt]

LSASS.exe 39kb
LSASRV.dll 529kb

 

[doc456]

Ist i.O., so haben wir das mal ausgeschlossen!

 

[Verfritzt]

Kann es sein, dass eine der AVM Applikationen das startet?
z.B.bei AVM nach updates anklingelt?

 

[doc456]

Geb dir die Beschreibung mal auf Neu-Deutsch.

Description:
lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. This program is important for the stable and secure running of your computer and should not be terminated.

 

[Verfritzt]

Geb dir die Beschreibung mal auf Neu-Deutsch.

Description:
lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. This program is important for the stable and secure running of your computer and should not be terminated.

Ich habe es aber jetzt mal abgeschossen (TaskManager).
Der Laptop gibt eine Nachricht, dass die Kiste runtergefahren wird.Man hat dann noch 60 Sekunden Zeit dem Ereignis hilflos beizuwohnen.

Fazit: LSASS laufen lassen.

In der AVM Protect Firewall sperre ich diese Teile aber jetzt endgültig.

Eine Beobachtung habe ich hierzu aber noch gemacht:
Durch WLAN gibt es oft Verbindungsunterbrechungen, die aber meistens schnell wieder hergestellt sind. Zeitnah dazu meldet sich der LSASS.
Eine Idee von EUCH?

 

[doc456]

Hol die mal die Entfernungssoftware für LASSER bei Symatec/McAffe und lass die trotzdem mal drüberlaufen.

 

[KuniGunther]

FritzProtect meldet das auch bei mir. Schau mal unter Systemsteuerung->Verwaltung->Dienste nach, ob die IPSEC-Dienste gestartet sind. Normalerweise ist dieser Dienst bei einer Standard-Installation wohl erstmal nicht aktiv, wenn man irgendwas grob in der Richtung VPN oder IPSEC macht (oder auch nur Port 500 nutzt, wie ich irgendwo gelesen habe), schaltet der sich an.
LSA will auch keine Verbindung ins Internet herstellen. Die FritzProtect Meldung sagt, dass er auf den Ports 500 und 4500 UDP Verbindungen annehmen möchte. Wenn man 'ja' sagt und UPnP aktiviert hat, macht FP dann eine Portweiterleitung in der FB auf (und schaltet sie wieder aus, wenn der Port zugemacht wird). Sagt man nein, passiert eigentlich nichts. Ohne Portweiterleitung kommt ja keine eingehende Verbindung aus dem Internet zum Rechner. Der Port wird aber auch nicht für das lokale Netz gesperrt. Sollte man das wollen, muss das in der Windows-Firewall (oder was immer benutzt wird) geschehen.

 

[Verfritzt]

Also,
der IPSEC-Richtlinienagent wurde automatisch gestartet, localsystem.

Was aber passiert, wenn man "JA" sagt?