[winXP, sp1]Lsass.exe probleem, statuscode 128

ik zit met hetvolgende probleem:

ik kreeg net een melding van winXP dat mijn computer gereboot word (zo'n zelfde melding als de RPC-bug) met de melding:

The system is shutting down. Please save all work in progress and log off.
The system process c:\winnt\system32\lsass.exe terminated
unexpectedly with status code 128. The system will now shut down and restart

nou heb ik op de search gekeken, en op MS site, maar alle meldingen die ik over dit probleem tegenkom gaan over win2000, zo ook dit oude topic.

maar ik heb dus XP, voorzien van alle (recente) updates en ik draai Norton Internet Security 2003 (up-to-date).

nou vroeg ik me af of dit een eenmalige gebeurtenis is (gewoon een normale 'crash'), of dat dit te maken heeft met een nieuw lek/virus voor winXP?

ga er toch vanuit dat mijn systeem redelijk afgesloten is voor dit soort dingen


nou heb ik een kwartier (ongeveer) daarvoor wel een melding gekregen van Norton of ik een programma toegang wou geven om verbinding te maken met internet, norton gaf aan dat er low-risk was, en beveelde aan om de verbinding toe te staan
gaat om de volgende verbinding:

Inbound UDP packet
Local address,service is (0.0.0.0,1026)
Remote address,service is (64.156.39.12,doom(666))
Process name is "C:\WINDOWS\System32\svchost.exe

zou dit er misschien iets mee te maken kunnen hebben, ik dacht namelijk altijd dat win programma's die een verbinding moesten hebben, hier automatisch toestemming voor kregen van Norton?

ik hoop dat iemand mij hiermee kan helpen

Ryceck schreef op 31 oktober 2003 @ 07:58:
Ten eerste, als er een programma (svchost.exe) toegang wil hebben naar buiten, tot daar aan toe maar gezien het een zeer teder-bestandje is sinds blaster zou ik daar s goed naar kijken voor je hem toegang geeft. Zeker als dit loopt over poort 666

svchost.exe is naar zover ik weet toch een vertrouwd winXP bestand, en verwacht ik niet dat die iets fout doet, daarbij ook dat de Norton firewall 'permit(recommended)' aangaf bij dit verzoek

Bij de RPC_bug gaat het trouwens over svchost.exe die wordt getreminate en niet lsass.exe.

dat weet ik, maar ik bedoelde dat het zo'n zelfde venster is die mijn computer na 60 seconden uitschakeld, alleen dan met de melding van Lsass.exe foutcode 128


ik ga er eigenlijk vanuit dat dit een eenmalige fout is geweest, en het niet echt iets met gehackt te maken heeft, hoewel ik de laatste tijd wel regelmatig melding van Norton krijg, dat er iemand probeert in te breken, en norton dit tegenhoud

Rule "Default Block Backdoor/SubSeven Trojan horse" blocked (24.114.178.41,27374)
Inbound TCP connection
Local address,service is (athlonxp(80.57.**.***),27374)
Remote address,service is (24.114.178.41,3729)
Process name is "N/A"

maar ook hier ga ik ervanuit dat dit er eigenlijk niets mee te maken heeft


[toevoeging]
letterlijk terwijl ik dit bericht zit te typen, krijg ik weer de melding van norton dat svchost.exe toegang wil

log van norton :

This one time, the user has chosen to "block" communications
Inbound UDP packet
Local address,service is (0.0.0.0,1026)
Remote address,service is (64.156.39.12,doom(666))
Process name is "C:\WINDOWS\System32\svchost.exe

alsof ie het er om doet, en nu heb ik maar een keer block gedaan, kijken of er dan iets niet meer (goed) werkt ofzo
[/toevoeging]

online virusscan => geen virussen
online trojan scan => geen trojans
online security check => geen lekken in beveiliging
portscan trojans = > alle poorten zitten potdicht


volgens mij is alles veilig, heb toch niet voor nix alles up-to-date werken.

Zou het een beetje onlogisch vinden als ik overal netjes licenties voor heb, netjes alles update en geen gekke dingen doe online, dat ik dan nog niet (relatief) veilig ben maarja...

[ Voor 4% gewijzigd door DoingK op 31-10-2003 23:01 ]

ff update:

het gaat dus om deze melding van Norton Firewall:




nou weet ik dus niet of ik deze melding altijd automatisch toegang moet geven, of hem altijd blokkeren? Maakt niet uit welke keuze ik maak tot nog toe, want ik merk nix anders op de computer of ik nou toesta of blokkeer

de melding van Lsass.exe heb ik niet meer gehad (tot nog toe) alleen vind ik het nou wel vervelend dat ik meerdere keren per dag deze melding van norton krijg, en ik liever een vaste voorkeur opgeef voor dit programma, zodat het scherm niet meer komt

niemand een idee?