lsass.exe was ist das und warum will er verbindung zum Internet? Help

[Florian26]

Hallo ich habe seit 10 Tagen mein System neu gemacht und heute meldet meine Firewall das lsass.exe versucht sich zugang zum Internet zu verschaffen

lsass.exe befinded sich in diesen pfaden

c:\Windows\system32
und
c:\Windows\Servicepackfiles\i386

ich habe gegoggelt und es soll irgendwas mit den usernamen und anmeldung zu tuen haben, eigentlich mir egal, aber wieso will diese exe zugang zum Internet. Vielleicht ein Worm (backdoor)?

Ich habe das Betriebsystem Winxp Sp2


Danke schonmal Gruss Flo

 

[HaveFun]

Forensuche, "nur im titel suchen":
Ergibt z.B.:
https://www.computerbase.de/forum/threads/was-ist-svchost-exe-und-lsass-exe.19144/

Ansonsten könnte auch noch diese Site interessant sein (gefunden über Google):
http://www.frankn.com/html/lsass_exe.html

 

[Florian26]

ok verstehe wofür die datei ist, aber ich verstehe immer noch nicht warum lsass.exe sich mit dem internet verbinden will


danke dir schonmal

 

[FineMaltPain]

Lade die Datei doch mal bei virustotal und/oder jotti hoch, ggf. ist diese ja tatsächlich infiziert.

 

[werkam]

Die Datei ist auch dafür zuständig, das andere im Inet nicht auf Deinen Rechner/Freigaben zugreifen können, die keine Berechtigung haben. Du kannst Dich an Deinem Rechner nicht mehr anmelden, wenn die Datei an der Ausführung gehindert wird, ins Inet um Mails abzurufen, kannst Du dann wohl auch nicht mehr.

 

[Florian26]

@ Werkam, also ist das ganz normal das die datei zugriff aufs Internet will?

Habe die datei checken lassen mit virustotal und das andere beides ist negativ ausgefallen = keine auffälligkeiten

 

[FineMaltPain]

also ist das ganz normal das die datei zugriff aufs Internet will?

Gute Frage, ich würde sagen: Nein! Auf meinem Rechner läuft die lsass.exe zwar im Hintergrund, mit dem Internet verbinden, so dass die FW meckert, will sie sich allerdings nicht. Der Prozess ist in den FW-Einstellungen auch nicht freigegeben, o. ä.

Meine Vermutung ist daher, dass etwas anderes auf Deinem PC ins Web will und lsass quasi nur "vorschiebt". Ich würde den PC mal von vorne bis hinten durchscannen lassen.

 

[werkam]

Kannst ja mal die beiden Dateien, lsass.exe und svchost.exe, von der Firewall blockieren lassen und dann versuchen ins Internet zu gehen oder Mails abzurufen, dann merkst Du schon ob sie benötigt werden oder auch nicht.
@FineMaltPain
Das sind Windows Systemdateien, die nicht von einer Firewall blockiert werden, wenn man sie richtig einstellt.

Ladet Euch den Processexplorer runter und seht nach was alles benötigt wird, könnt ja mal die beiden Dateien blockieren oder beenden mit dem Processexploerer, dann wisst Ihr es ganz genau.
Die beiden Dateien werden natürlich sehr oft bei Angriffen verändert oder umbenannt, sollte es sich aber um die original Dateien handeln, werden sie zwingend benötigt, sonst läuft nichts mehr richtig.

http://technet.microsoft.com/de-de/sysinternals/default(en-us).aspx

 

[FineMaltPain]

@FineMaltPain
Das sind Windows Systemdateien, die nicht von einer Firewall blockiert werden, wenn man sie richtig einstellt.

Ähh....ja sicher sind das Systemdateien. Und wenn alles in Ordnung ist, dann hat eine Firewall auch gar nichts damit am Hut (so wie bei mir). Im Falle von Florian aber eben schon! Und darum geht es doch u. a. hier?!

 

[werkam]

lsass.exe was ist das und warum will er verbindung zum Internet?

Das ist die ursprüngliche Frage, lsass.exe ist ein "Local Security Authority Subsystem" und stellt dem Rechner Sicherheiten zur Verfügung, ohne diesen Dienst kannst Du den Rechner nicht mal dazu bringen Windows zu starten. Dieser Dienst wird aber sehr oft (Sicherheitslücke) dazu benutzt um den Rechner zu manipulieren, das wurde aber bereits im SP behoben (Beispiel:Sasser), die Windows eigene Firewall sendet auch keine Nachrichten, wenn sich dieser Dienst ins Netz verbinden möchte, da es ja eine Datei ist, die zum System gehört. Nun gibt es aber Firewalls von anderen Herstellern, die es erst mal warnen und eine Entscheidung vom Nutzer möchten, ob der Dienst auch mit dem Netzwerk verbunden werden darf, die Adresse mit der er sich verbindet wird mit Sicherheit 127.0.0.1 <-> 0.0.0.0 sein, also der lokale Host, sprich Dein Rechner und dieses soll ja wohl erlaubt werden/sein.

 

[Kingfisher OK]

Viren nennen sich deswegen oft Isass.exe, da man den unterschied zum kleinem l und dem großen I im Task-Manager nicht erkennt
LG

 

[GreyPrinceZote]

Dazu ne Frage... kann man mitm Process Explorer oder nem andren Task Manager Tool die Schriftart verändern? So das man den Unterschied zwischen groß "i" und klein "L" sieht?

 

[werkam]

Ja beim Procex kann man unter Optionen Font einstellen, mit dem Procex kannst Du Dir aber auch anzeigen lassen, ob es sich um die Original Datei handelt.

 

[GreyPrinceZote]

Ach da ist das... oh Gott wo hab ich denn da Vorgestern nur gesucht?^^
Und womit lasse ich mir jetzt sagen ob es die Originaldatei ist?

 

[werkam]

Rechte Maustaste auf den Prozess, dann Properties, kannst mal schauen bei Image und dort den Button "verify" benutzen oder bei den anderen Reitern, da stehen doch wohl Infos genug.
Es wird dann bei M$ auf der Seite nachgesehn ob es eine original Datei ist.

 

[GreyPrinceZote]

Okay, danke ; )

 

[NotCompatible]

Goldener Spaten, dankend entgegen genommen.

Wenn c:\windows\system32\lsass.exe aufs Internet (cs9.wac.phicdn.net) zugreift, dann zur Überprüfung auf Zertifikatssperrungen.

---

Man kann die Datei zur Sicherheit per Eingabeaufforderung (cmd.exe) auf Veränderungen untersuchen:
sfc /verifyfile=C:\Windows\System32\lsass.exe

Sollte sie verändert worden sein, kann man sie reparieren:
sfc /scanfile=C:\Windows\System32\lsass.exe

Mehr dazu:

• https://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol
• https://docs.microsoft.com/en-us/pr...ows-server-2008-R2-and-2008/ee619730(v=ws.10)

 

[Myron]

Das ist toll, aber warum holst du dafür einen 12 Jahre alten Thread aus der Versenkung?

 

[NotCompatible]

1. Weil niemand die Frage beantwortet hat.
2. Danach oft in Foren gefragt wird.
3. Ich selbst heute damit konfrontiert wurde.

 

[Markchen]

Ich mache dann mal zu, bevor die Totenstille noch mehr gestört wird.