[win2K] firewall gilt; lsass.exe probleem - Windows clients

donderdag 17 juli 2003 16:56

Acties:

Topicstarter

we hebben hier een servertje met windows 2000 proffesional sp4, daar draait op guildFTPd, sambar server, een teamspeak servertje, kerio firewall en emule.

nou zegt kerio ineens

Afbeeldingslocatie: http://130.161.82.10/gladiool/wtf.jpg

Afbeeldingslocatie: http://130.161.82.10/gladiool/wtf.jpg

(dus kerio vraagt of ik het goed vind dat lsass.exe vervangen is)

ik vraag me af hoe dat inneens kan, ik deed nix, alleen 2 weken geleden service pack 4 er op gezet.

zou dit iets "EVIL" kunnen zijn, of is er een andere verklaring, toch een beetje raar dat een bestand zo maar vervangen wordt....

[ Voor 9% gewijzigd door maratropa op 17-07-2003 17:27 ]

specs

donderdag 17 juli 2003 17:01

Acties:

Redje

LSASS.EXE is gewoon een Windows 2000 Server bestand, lijkt me dus gewoon door SP4 tekomen...
Had je zelf ook wel kunnen raden.

donderdag 17 juli 2003 17:05

Acties:

VERINGTENTJE

BtC Hodler since '15

Mijn suggestie: Doe eens gek en gebruik google; 99 % kans dat je daar de oplossing wel kan vinden ( en dan hoef je geeneens te raden ook )

Dit komt nooit meer goed. Kale macaroni for life. ®Jaapio Verwijderd69

donderdag 17 juli 2003 17:09

Acties:

maratropa

Topicstarter

jaja ik begrijp waar jullie op doelen, maar ik weet ook wel WAARVOOR dit bestand is, maar het feit dat ie NU, INEENS vervangen wordt, dat vind ik raar.

tenzij je zegt, "jaoh das normaal dat pas 3 weken na het instaleren van een service pack er bestanden wordenvervangen"

[ Voor 34% gewijzigd door maratropa op 17-07-2003 17:27 ]

specs

donderdag 17 juli 2003 17:12

Acties:

Banshee

gladiool schreef op 17 juli 2003 @ 16:56:
we hebben hier een servertje met windows 2000 proffesional sp4, daar draait op guildFTPd, sambar server, een teamspeak servertje, kerio firewall en emule.

nou zegt kerio ineens

[afbeelding]

ik vraag me af hoe dat inneens kan, ik deed nix, alleen 2 weken geleden service pack 4 er op gezet.

zou dit iets "EVIL" kunnen zijn, of is er een andere verklaring, toch een beetje raar dat een bestand zo maar vervangen wordt....

Draai ff 2 virusscanners (1 van je zelf, en eentje online) dan heb je een onpartijdige reactie, en gebruik adaware even, misschien dat je zo iets kan vinden.

donderdag 17 juli 2003 19:40

Acties:

Fish

How much is the fish

haalt dat ding automatich windows updates op ?

Iperf

donderdag 17 juli 2003 19:47

Acties:

wouterve

Swinger of States

Waarschijnlijk heeft Lsass.exe de afgelopen twee weken gewoon geen contact met internet hoeven maken - daarom heb je, toen je 't SP installeerde, niet meteen je firewall horen gillen. Nu Lsass.exe wel contact moet maken met internet (misschien heeft het, zoals fish oppert inderdaad wel wat te maken met updates voor Windows?), geeft je firewall inderdaad die melding. Weinig om je zorgen over te maken dus, denk ik

.

donderdag 17 juli 2003 19:50

Acties:

alt-92

ye olde farte

Check anders fileversion, bytesize, details enzo eens tegen een uit SP4 extracted exemplaar, dan weet je het zeker.

[ Voor 10% gewijzigd door alt-92 op 17-07-2003 19:50 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 18 juli 2003 01:56

Acties:

Hellhound

ik kreeg ook een melding over lsass.exe , (van zonealarm)of die als server mocht draaien of zoiets , idd nadat ik daarvoor sp4 geinstalled had (Win2k). Ik heb m iig niet door de firewall laten gaan, vond dit er nog over

"Lsass is the Local Security Authentication Server. It is uesed to verifie the validity of user logins to your computer or the server."

het schijnt dat die lsass.exe ook gebruikt kan worden om met een trojan op je systeem te komen, zeker als in jouw geval die exe replaced wil worden lijkt me dit niet aan te bevelen.

Geloof maakt meer kapot dan je lief is | I rock [H]ard! |

vrijdag 18 juli 2003 02:16

Acties:

blackd

24-Jan-2003 11:41 5.0.2195.6659 33,552 Lsass.exe

Dit lijkt me de meest recente die ik zo even kan vinden.
Dit kun je dus ook checken, naast de methode die BackSlash32 noemt.

Hellhound schreef op 18 July 2003 @ 01:56:
het schijnt dat die lsass.exe ook gebruikt kan worden om met een trojan op je systeem te komen, zeker als in jouw geval die exe replaced wil worden lijkt me dit niet aan te bevelen.

Ik zie eigenlijk niet in waarom dit verschilt met een willekeurige ander Windows systeembestand?

Wel las ik op de MS Support site het volgende:

quote: http://support.microsoft.com/?kbid=308356
The Lsass.exe process is responsible for management of local security authority domain authentication and Active Directory management. This process handles authentication for both the client and the server, and it also governs the Active Directory engine. The Lsass.exe process is responsible for the following components:

* Local Security Authority
* Net Logon service
* Security Accounts Manager service
* LSA Server service
* Secure Sockets Layer (SSL)
* Kerberos v5 authentication protocol
* NTLM authentication protocol

mocht je nog willen weten wat lsass.exe doet.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023