Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

LSASS.EXE verursacht dauerhaften Netzwerktraffic

Mitglied: Fr4nki

Fr4nki (Level 1) - Jetzt verbinden

14.10.2016 um 18:57 Uhr, 2445 Aufrufe, 2 Kommentare

Hallo Zusammen,

mein Windows Server 2012 R2 verursacht seit dieser Nacht dauerhaft ca. 6,5Mbit/s Netzwerktraffic.
Ich habe herausfinden können, dass mehrere Prozesse mit dem namen LSASS.EXE im Resourcenmonitor aufgelistet werden und diese sich mit komischen Adressen verbinden.
lsass - Klicke auf das Bild, um es zu vergrößern

Ich vermute, dass ich mir dummerweise etwas eingefangen habe, dass ich nun auch wieder los werden möchte.
Ich habe mein Virenscanner F-Secure schon mal drüber laufen lassen, aber der hat nichts gefunden.
Ich habe gelesen, dass sich manche Schadprogramme als Plugin in den Systemprozess einklinken und deswegen vom AV nicht gefunden werden können.

Ich hoffe, dass mit jemand sagen kann, wie ich den Schädling weg bekomme.
Ich würde das System nur sehr sehr ungern formatieren.

Gruß
Franki
Mitglied: Pjordorf
14.10.2016 um 19:28 Uhr
Hallo,

Zitat von Fr4nki:
diese sich mit komischen Adressen verbinden.
Nix Komisch. das geht nach http://www.lookip.net/website/ip-51-254-114.eu und OVH ist https://www.ovh.de/. Ein Hoster.

Ich vermute, dass ich mir dummerweise etwas eingefangen habe
Joa. Der Server hängt direkt am Inet oder gibt es noch Firewall oder UTMs oder sonstwas was den Zugriff regelt?

dass ich nun auch wieder los werden möchte.
Auch klar

Ich habe gelesen, dass sich manche Schadprogramme als Plugin in den Systemprozess einklinken
Dann dürfte er noch gefunden werden, aber es gibt durchaus böse Buben welche sich tatsächlich gut tarnen können, da hilft dann oft (nicht immer) ein Offline Virus Scanner uber ein Live OS. z.B. Linux. Auch hier soll es welche geben die auch dieses unerkannt überstehen. z.B. böse jungs welche Kernkraftwerke oder regierungen angehn. In welcher geheimnisstufe bist du etabliert?

Ich hoffe, dass mit jemand sagen kann, wie ich den Schädling weg bekomme.
Das sicherste? Rechner Offline nehmen, Alle Festplatten gegen Fabrikneue tauschen und das OS neu Installieren. Wenn du meinst ein sauberes Image zu haben, dieses auf neue Platten. Daten ebenfalls nur von sauberen Sicherungen....

Ich würde das System nur sehr sehr ungern formatieren.
Auch das Formatieren sollen manche Böse Buben schadlos überstehen - es hängt davon ab wer oder was dort Werkelt...
Rechner schon mal neu gestartet?
Mal mit Wireshark geschaut wie der datenstrom so aussieht bzw. welche Zielports genutzt werden? Vielleicht hört ja nur einer Radio... Was sagt denn die vorgeschaltete Firewall (keine Fritte) dazu?
Den Dienst LSASS nicht beenden, dein OS und evtl weitere Dienste und somit Clients und Nutzer in den Netzwerk bekommen sonst grosse Probleme.
Mal den LAN Stecker gezogen, etwas gewartet und dann wieder verbunden?
Welcher Zielport wird denn angesprochen? Netstat -abo oder Netstat -ano usw.

Gruß,
Peter
Bitte warten ..
Mitglied: DopeEx1991
14.10.2016 um 23:05 Uhr
Hi,
Nimm die Maschine am besten sofort vom Netz, LSASS ist eigentlich der Local Security Authority Subsystem Service und der sollte definitiv nicht nach draußen telefonieren!

Als erstes mal mit nem Alternativen AV Scanner a la desinfect booten und mal drüber laufen lassen.
Aber auf jeden Fall den Server so bald wie möglich vom Netz trennen.

LG
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Netzwerktraffic
gelöst Frage von superhoshiNetzwerkmanagement7 Kommentare

Hallo liebe Admins, folgende Frage: wie würdet Ihr Euere Clients im Netzwerk einbinden. Dazu folgender hintergrund. Wir haben eine ...

Windows Netzwerk
Netzwerktraffic Filtern
Frage von tomi93Windows Netzwerk9 Kommentare

Guten Morgen, wir haben zurzeit bei uns im Netzwerk das Problem das unsere Firewall ständig Netzwerktraffic von unserem DC ...

Router & Routing

Verständnisfrage Netzwerktraffic WAN-Speed

Frage von funroliRouter & Routing8 Kommentare

Hallo Leute, Ich habe da betreffend meinem Gateway mit neuster PFsense 2.4.4-RELEASE-p3 (amd64) eine Frage betreffend WAN Traffic (DNS) ...

Netzwerke

Netzwerktraffic von Gerät abfangen

gelöst Frage von Sparx82Netzwerke11 Kommentare

Hallo zusammen Ich habe bei mir folgende Netzwerkkonfiguration (nur ein Auszug der relevanten Geräte): Die Fritzbox ist der Zugang ...

Neue Wissensbeiträge
Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 1 StundeInformationsdienste1 Kommentar

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Viren und Trojaner

Trendmicro Treiber erkennt Treibertestumgebung und verhält sich dann anders

Information von DerWoWusste vor 3 StundenViren und Trojaner

Wenn das stimmen sollte, haben wir einen dem Abgasskandal ähnlichen Fall.

Webbrowser
Mozilla Firefox 77 verfügbar
Information von Frank vor 19 StundenWebbrowser

Mozilla hat Firefox Version 77 freigegeben. Neben Verbesserungen an "Pocket", einigen Sicherheitsupdates, einer bessere Übersicht für TLS-Zertifikate, wurde der ...

Informationsdienste

Beendet: Timo Wölken und Julia Reda reden jetzt live auf Twitch über Uploadfilter, Rezo, Trump und Twitter

Information von Frank vor 20 StundenInformationsdienste

Wer Interesse zum kommenden Uploadfilter, Rezo, Trump und Twitter hat, kann nun unter twitch.tv der Diskussion beitreten: 03.06.2020 ab ...

Heiß diskutierte Inhalte
Microsoft Office
Exchange Kennwort geändert
gelöst Frage von jensgebkenMicrosoft Office20 Kommentare

Hallo Gemeinschaft, habe mein Exchange Kennwort geändert - wo kann ich diese Kennwortänderung bei Outlook eintragen - bei Kontoeinstellungen ...

Netzwerkgrundlagen
Um welches Kabel handelt es sich?
gelöst Frage von Frodo.FFNetzwerkgrundlagen20 Kommentare

Hallo liebe Gemeinde, im neu erworbenen Haus, knapp 20 Jahre alt, sind im Heizungskeller als auch in den Räumen ...

SAN, NAS, DAS
QNAP NAS - CIFS - Berechtigungen
Frage von emeriksSAN, NAS, DAS17 Kommentare

Hi, ich habe hier ein QNAP NAS bei welchem beim Zugriff mit Windows auf die Freigaben "Jeder - Vollzugriff" ...

LAN, WAN, Wireless
Mehrere SSIDs auf einem AP
gelöst Frage von yamaha0815LAN, WAN, Wireless16 Kommentare

Hallo zusammen, ich stoße im Moment mit den APs von Unifi/Ubiquity an Grenzen. Es geht um folgendes: In einem ...