|
| Hvorfor ringer denne fil op? Fra : Rex |
Dato : 20-10-01 10:21 |
|
Hejsa, pludselig kommer min firewall (norton) op med at denne fil
(lsass.exe) fra mit winnt/system32 bibliotek prøver at kontakte ip:
217.82.205.251 som ifølge viatuel route er:
inetnum: 217.80.0.0 - 217.89.31.255
netname: DTAG-DIAL14
descr: Deutsche Telekom AG
country: DE
admin-c: RH2086-RIPE
tech-c: ST5359-RIPE
status: ASSIGNED PA
remarks: ************************************************************
remarks: * ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: ************************************************************
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20010920
source: RIPE
Altså et tysk telefon selvskab...
Problemet er at filen jo er en microsoft windows fil...
Jeg har selvfølgelig blokeret opkaldet..
Men hvordan undgår jeg det sker igen???
| |
Christian Andersen (20-10-2001)
| Kommentar Fra : Christian Andersen |
Dato : 20-10-01 11:44 |
|
Rex wrote:
>Hejsa, pludselig kommer min firewall (norton) op med at denne fil
>(lsass.exe) fra mit winnt/system32 bibliotek prøver at kontakte ip:
>217.82.205.251 som ifølge viatuel route er:
<snip>
>Altså et tysk telefon selvskab...
Navnet resolver til: <pD952CDFB.dip.t-dialin.net>, altså tilsyneladende en
dial-up bruger (modem-bruger).
>Problemet er at filen jo er en microsoft windows fil...
Nej, det kan du ikke konkludere. Filen ligger bare i
WINNT/system32-folderen. Muligvis for at skjule eksistensen af den.
>Jeg har selvfølgelig blokeret opkaldet..
>Men hvordan undgår jeg det sker igen???
Du kan prøve at omdøbe filen til f.eks. lsass.ex_ (det er en underscore
(Alt Gr + tasten til venstre for den højre shift-taste) til sidst) og se
om dit system stadig kører fint efter en genstart. Hvis det gør det, kan
du sikkert godt slette den.
Alternativt kan du blokere den i din firewall, som du også har gjort.
Men det virker godt nok mystisk.
--
"...personality goes a long way."
| |
Rex (20-10-2001)
| Kommentar Fra : Rex |
Dato : 20-10-01 11:55 |
|
Det bliver værre..
Jeg har flyttet filen til mit skrivebord..
Ingen problemer..
filen kom igen..
efter ca. 30 sek. er filen tilbage i winnt system32 biblioteket...
Jeg prøvede at slette den :nægtet adgang filen er i brug..
Win2k -> jobliste -> afslut fil. Adgang nægtet Windows har ikke mulighed for
at lukke filen.
"Christian Andersen" <igqgfq001@sneakemail.com> skrev i en meddelelse
news:3bd15585$0$3783$edfadb0f@dspool01.news.tele.dk...
> Rex wrote:
>
> >Hejsa, pludselig kommer min firewall (norton) op med at denne fil
> >(lsass.exe) fra mit winnt/system32 bibliotek prøver at kontakte ip:
> >217.82.205.251 som ifølge viatuel route er:
>
> <snip>
>
> >Altså et tysk telefon selvskab...
>
> Navnet resolver til: <pD952CDFB.dip.t-dialin.net>, altså tilsyneladende en
> dial-up bruger (modem-bruger).
>
> >Problemet er at filen jo er en microsoft windows fil...
>
> Nej, det kan du ikke konkludere. Filen ligger bare i
> WINNT/system32-folderen. Muligvis for at skjule eksistensen af den.
>
> >Jeg har selvfølgelig blokeret opkaldet..
> >Men hvordan undgår jeg det sker igen???
>
> Du kan prøve at omdøbe filen til f.eks. lsass.ex_ (det er en underscore
> (Alt Gr + tasten til venstre for den højre shift-taste) til sidst) og se
> om dit system stadig kører fint efter en genstart. Hvis det gør det, kan
> du sikkert godt slette den.
>
> Alternativt kan du blokere den i din firewall, som du også har gjort.
>
> Men det virker godt nok mystisk.
>
> --
> "...personality goes a long way."
>
| |
Christian Andersen (20-10-2001)
| Kommentar Fra : Christian Andersen |
Dato : 20-10-01 12:01 |
|
Rex wrote:
>Det bliver værre..
>Jeg har flyttet filen til mit skrivebord..
>Ingen problemer..
>filen kom igen..
>efter ca. 30 sek. er filen tilbage i winnt system32 biblioteket...
Kør en virusscan.
--
"...personality goes a long way."
| |
Rex (20-10-2001)
| Kommentar Fra : Rex |
Dato : 20-10-01 12:17 |
|
er lige afsluttet..
ingen vira...
"Christian Andersen" <igqgfq001@sneakemail.com> skrev i en meddelelse
news:3bd1594e$0$3783$edfadb0f@dspool01.news.tele.dk...
> Rex wrote:
>
> >Det bliver værre..
> >Jeg har flyttet filen til mit skrivebord..
> >Ingen problemer..
> >filen kom igen..
> >efter ca. 30 sek. er filen tilbage i winnt system32 biblioteket...
>
> Kør en virusscan.
>
> --
> "...personality goes a long way."
>
| |
Christian Andersen (20-10-2001)
| Kommentar Fra : Christian Andersen |
Dato : 20-10-01 12:30 |
| | |
Allan Olesen (21-10-2001)
| Kommentar Fra : Allan Olesen |
Dato : 21-10-01 10:58 |
|
Christian Andersen <igqgfq001@sneakemail.com> wrote:
>Der er links til Microsoft Support.
....som allerede i den tråd, du refererer til, blev dømt irrelevante.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Christian Andersen (21-10-2001)
| Kommentar Fra : Christian Andersen |
Dato : 21-10-01 11:43 |
|
Allan Olesen wrote:
>>Der er links til Microsoft Support.
>...som allerede i den tråd, du refererer til, blev dømt irrelevante.
Jep.
--
"...personality goes a long way."
| |
Christian Andersen (20-10-2001)
| Kommentar Fra : Christian Andersen |
Dato : 20-10-01 12:36 |
|
Rex wrote:
>er lige afsluttet..
>ingen vira...
En anden ting.
Det ser ud til at der er store problemer med lsass.exe. Prøv at søge på
groups.google.com efter det.
Den generelle stemning lader til at være at du skal blokere den i din
firewall.
--
"...personality goes a long way."
| |
H. P. Holm (20-10-2001)
| Kommentar Fra : H. P. Holm |
Dato : 20-10-01 22:37 |
|
Rex skrev:
> er lige afsluttet..
> ingen vira...
lsass.exe er bundet sammen med MSMQ og dermed en af Windows2000's
egne systemfiler. Søg på MSMQ i Windows hjælpen og læs om der er
brug for tjenesten. Den kan stoppes i kontrolpanel - Administration
- Tjenester. Find 'NT LM security support provider' og dobbeltklik
på den for at ændre egenskaberne for den. Windows2000 er klar over
hvilke services den er bundet sammen med og stopper også dem.
Hold øje med hvad der bliver stoppet, og start det igen hvis der
er noget som holder op med at virke.
De sidste par gange jeg har været omkring "underlige" computere,
der kørte langsomt og forsøgte at kalde op til alt muligt, har der
været en hacket dnet klient på maskinen. Læs eventuelt mere om
den på http://www1.distributed.net/trojans.html - det er en skummel
ting, eftersom antivirus programmer normalt ikke giver alarm på den.
--
Hans
| |
Leif Sørensen (20-10-2001)
| Kommentar Fra : Leif Sørensen |
Dato : 20-10-01 20:56 |
|
Hvad med at slette filen i dosmode? Eller start pc i fejlsikker tilstand og
indlæs drivere enkeltvis?
Vh. Leif
"Rex" <rex03@hotmail.com> skrev i en meddelelse
news:3bd158bf$0$779$edfadb0f@dspool01.news.tele.dk...
> Det bliver værre..
> Jeg har flyttet filen til mit skrivebord..
> Ingen problemer..
> filen kom igen..
> efter ca. 30 sek. er filen tilbage i winnt system32 biblioteket...
> Jeg prøvede at slette den :nægtet adgang filen er i brug..
> Win2k -> jobliste -> afslut fil. Adgang nægtet Windows har ikke mulighed
for
> at lukke filen.
| |
Lars Kim Lund (20-10-2001)
| Kommentar Fra : Lars Kim Lund |
Dato : 20-10-01 22:38 |
|
Hej "Leif Sørensen" <lsoerensen@post.tele.dk>
>Hvad med at slette filen i dosmode?
Det lyder smart - måske lige bortset fra at computeren ikke vil
fungere længere.
>Eller start pc i fejlsikker tilstand og
>indlæs drivere enkeltvis?
lsass er ingen driver. Det er NT's sikkerhedssystem.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Leif Sørensen (21-10-2001)
| Kommentar Fra : Leif Sørensen |
Dato : 21-10-01 09:57 |
|
> Hej "Leif Sørensen" <lsoerensen@post.tele.dk>
>
> >Hvad med at slette filen i dosmode?
>
> Det lyder smart - måske lige bortset fra at computeren ikke vil
> fungere længere.
>
Det meldte historien ikke noget om!!
> >Eller start pc i fejlsikker tilstand og
> >indlæs drivere enkeltvis?
>
> lsass er ingen driver. Det er NT's sikkerhedssystem.
>
Ups - det var jeg ikke klar over - sorry!!
vh. leif
| |
|
|