fr4nki
Goto Top

LSASS.EXE verursacht dauerhaften Netzwerktraffic

Hallo Zusammen,

mein Windows Server 2012 R2 verursacht seit dieser Nacht dauerhaft ca. 6,5Mbit/s Netzwerktraffic.
Ich habe herausfinden können, dass mehrere Prozesse mit dem namen LSASS.EXE im Resourcenmonitor aufgelistet werden und diese sich mit komischen Adressen verbinden.
lsass

Ich vermute, dass ich mir dummerweise etwas eingefangen habe, dass ich nun auch wieder los werden möchte.
Ich habe mein Virenscanner F-Secure schon mal drüber laufen lassen, aber der hat nichts gefunden.
Ich habe gelesen, dass sich manche Schadprogramme als Plugin in den Systemprozess einklinken und deswegen vom AV nicht gefunden werden können.

Ich hoffe, dass mit jemand sagen kann, wie ich den Schädling weg bekomme.
Ich würde das System nur sehr sehr ungern formatieren.

Gruß
Franki

Content-Key: 317888

Url: https://administrator.de/contentid/317888

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: Pjordorf
Pjordorf 14.10.2016 um 19:28:56 Uhr
Goto Top
Hallo,

Zitat von @Fr4nki:
diese sich mit komischen Adressen verbinden.
Nix Komisch. das geht nach http://www.lookip.net/website/ip-51-254-114.eu und OVH ist https://www.ovh.de/. Ein Hoster.

Ich vermute, dass ich mir dummerweise etwas eingefangen habe
Joa. Der Server hängt direkt am Inet oder gibt es noch Firewall oder UTMs oder sonstwas was den Zugriff regelt?

dass ich nun auch wieder los werden möchte.
Auch klar

Ich habe gelesen, dass sich manche Schadprogramme als Plugin in den Systemprozess einklinken
Dann dürfte er noch gefunden werden, aber es gibt durchaus böse Buben welche sich tatsächlich gut tarnen können, da hilft dann oft (nicht immer) ein Offline Virus Scanner uber ein Live OS. z.B. Linux. Auch hier soll es welche geben die auch dieses unerkannt überstehen. z.B. böse jungs welche Kernkraftwerke oder regierungen angehn. In welcher geheimnisstufe bist du etabliert?

Ich hoffe, dass mit jemand sagen kann, wie ich den Schädling weg bekomme.
Das sicherste? Rechner Offline nehmen, Alle Festplatten gegen Fabrikneue tauschen und das OS neu Installieren. Wenn du meinst ein sauberes Image zu haben, dieses auf neue Platten. Daten ebenfalls nur von sauberen Sicherungen....

Ich würde das System nur sehr sehr ungern formatieren.
Auch das Formatieren sollen manche Böse Buben schadlos überstehen - es hängt davon ab wer oder was dort Werkelt...
Rechner schon mal neu gestartet?
Mal mit Wireshark geschaut wie der datenstrom so aussieht bzw. welche Zielports genutzt werden? Vielleicht hört ja nur einer Radio... Was sagt denn die vorgeschaltete Firewall (keine Fritte) dazu?
Den Dienst LSASS nicht beenden, dein OS und evtl weitere Dienste und somit Clients und Nutzer in den Netzwerk bekommen sonst grosse Probleme.
Mal den LAN Stecker gezogen, etwas gewartet und dann wieder verbunden?
Welcher Zielport wird denn angesprochen? Netstat -abo oder Netstat -ano usw.

Gruß,
Peter
Mitglied: DopeEx1991
DopeEx1991 14.10.2016 um 23:05:48 Uhr
Goto Top
Hi,
Nimm die Maschine am besten sofort vom Netz, LSASS ist eigentlich der Local Security Authority Subsystem Service und der sollte definitiv nicht nach draußen telefonieren!

Als erstes mal mit nem Alternativen AV Scanner a la desinfect booten und mal drüber laufen lassen.
Aber auf jeden Fall den Server so bald wie möglich vom Netz trennen.

LG