lsass.exe crasht

[krnl386.exe 10]

Hallo!

 

Seit die EU größer geworden ist, crasht bei mir andauernd, wenn ich eine Zeit lang ohne Firewall im Internet bin, der Service lsass.exe.

(Also ähnliche Symptome wie damals bei W32Blaster.)

 

Ich kann jedoch keinen Prozess finden, der da nicht hingehört, und der Hotfix gegen den Blaster ist ebenfalls installiert.

 

Ich bin gerade dabei, die letzten 8 Hotfixes zu installieren, hoffe es geht dann, ansonsten habe ich ein Problem, da ich mich natürlich nicht mit einer Firewall rumquälen will.

 

Ist da also seit gestern wieder eine neue Welle losgebrochen, bzw. ein neuer Exploit bekannt, mit dem man fremder Leute lsass.exe crashen lassen kann?

[laurasan 10]

Hallo,

 

solltest mal hier schauen und dich beeilen mit dem herunterladen lange genug wurde gewarnt.

W32.Sasser.Worm

 

http://www.bsi.de/

 

 

MfG

[krnl386.exe 10]

Hmm, die dort angegebene Datei "avserve.exe" gibt es bei mir nicht, es kann daher wohl kaum der Sasser sein, eine "?????_up.exe", die wurde aber nicht ausgeführt, und ist inzwischen gelöscht.

 

Weder in HKLM/Run noch in HKCU/Run oder in einer sonstigen Autostartmöglichkeit ist ein neues Programm.

 

Was könnte es denn noch sein?

[krnl386.exe 10]

Wie ich gerade sehe, ist der Hotfix, auf den verwiesen wird (KB835732) bereits bei mir installiert gewesen, die angebotenen Fixing-Utilities haben auch nichts gefunden.

 

Kann es sein, dass der Service durch die Angriffe der infizierten Rechner zwar abstürzt, aber sich eben nicht selbst infiziert?

[Necron 71]

Original geschrieben von krnl386.exe

Kann es sein, dass der Service durch die Angriffe der infizierten Rechner zwar abstürzt, aber sich eben nicht selbst infiziert?

Guck mal hier: http://www.heise.de/security/news/meldung/47037

[krnl386.exe 10]

Hmm, bei Heise wird mein Problem doch gar nicht angesprochen!

 

"Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt"

 

Das trifft doch nur auf infizierte Rechner zu, so wie ich das gelesen hab. Beim Blaster stürzen doch auch nur die infizierten Rechner auf diese Weise ab, aber das ist meiner ja nicht, und war es auch noch nie.

[laurasan 10]

Hallo,

 

über das Prob wird hier auch heiß diskutiert.

 

http://board.protecus.de/showtopic.php?threadid=7346

 

MfG

[blub 115]

Hi krnl386,

solche Viren/ Würmer treten immer in mehreren Versionen oder Unterarten auf. Am Prozessnamen "averse.exe" würd ich mal nicht festmachen, ob der Wurm dich erwischt hat, oder nicht. Der Code eines Virus/ Wurms ist ja nicht unbedingt geheim, so dass schnell ein neuer Code mit etwas anderen Merkmalen entsteht.

 

Und wie schon gesagt: bei XP reichts, die "Internet Connection Firewall" in den Netzwerkeinstellungen zu aktivieren und der Mist bleibt draussen.

 

cu

blub

[krnl386.exe 10]

Die Sache ist ja die, dass der entsprechende Hotfix bei mir schon länger installiert war, und dass auch sonst kein ungewöhnlicher Prozess läuft.

 

Und mein Ziel ist es ja eben OHNE Firewall zu surfen, was jetzt, nach Installation der letzten Hotfixes (die mit diesem Exploit ja eigentlich nichts zu tun haben) auch wieder problemlos funktioniert.

[blub 115]

krnl, dann kannst du auch ohne FW surfen. Solche Attacken passieren ja nicht allzu oft. (zwei/drei im Jahr??)

 

cu

blub