Versuchter Zugriff auf Isass.exe

Plötzlich bekomme ich dauernd die Meldung, daß ein Remote-System versucht, auf Isass.exe zuzugreifen.
Alle Virendefinitionen sind auf neuestem Stand sowie die Firewall, es wurde nichts installiert oder deinstalliert oder gedownloadet. Erst heute Mittag hatte ich kompletten System-Scan durchgeführt.

Programm: C.\Windows\system32\Isass.exe
Protokoll: UDP (Eingehend)
Remote-Adresse: 217.110.0.146 : isakmp (500)

Ich habe Zugriff bisher immer verweigert, aber die Meldung kommt alle 10 Sekunden.

Da diese Meldung neu ist und mir nicht geheuer...weiß jemand von Euch etwas dazu? Wie sollte ich mich verhalten?

Ist bei mir komplett geblockt die Datei, die heißt allerdings lsass (also kleines L), nicht großes i
Wenn sie bei dir anders heißt, dann ist es nicht die Windows-Datei, sondern gehört zu irgendwelchem Mist.
Der Sasser bringt diese Datei zum Absturz, wenn das entsprechende Update nicht installiert ist.

Was mich stutzig macht ist die Port-Angabe: Sasser greift auf Port 445 an, nicht auf 500 - der ist eigentlich für IPSEC reserviert, deswegen steht da auch isakmp. Allem Anschein nach versucht da wer, mit deinem Rechner einen IPSEC-Tunnel aufzubauen...

Cheers,
Joshua

Alle Updates waren aktuell.
Das Problem war beseitigt, nachdem ich die Verbindung getrennt und neu verbunden habe.
Was mich jedoch sehr stört, ist, daß als ich hier ins Forum schrieb und gerade am tippen war die Meldung kam und gleichzeitig wieder verschwunden war, weil ich in diesem Moment eine Taste drückte. Ob dies nun den Zugriff zugelassen hat oder nur das Fenster geschlossen hat, weiß ich jetzt nicht :-\

Naja, wie gesagt - es handelt sich hier nicht um Sasser, sondern um einen Verbindungsversuch via IPSEC. lsass.exe ist der Local Security Authentication Subsystem Service, also der Teil des Systems, der für Authentifizierung zuständig ist; somit ist auch nicht verwunderlich, das eine eingehende IPSEC-Anfrag (isakmp) auf diesen Dienst zugreifen will.

Wenn du keine eingehenden Verbindungen im System eingerichtet hast, brauchst du dir prinzipiell keine Gedanken zu machen. Ist die IP-Adresse denn immer gleich, die da ne Verbindung aufbauen will ?!?

Cheers,
Joshua

Hi moosbrötchen,

wenn Du kein VPN benötigst, kannst Du unter Dienste den IPSEC-Richtlinienagent auf manuell stellen.
M.E. dürftes Du dann von diesen Meldungen verschont bleiben, den wo kein Dienst läuft versucht auch niemand zu antworten.
Port geschlossen.

Edit: Zum Thema Dienste kannst Du dir ja auch mal den folgenden Link anschauen.
Windows Dienste konfigurieren

Danke für Eure Mühen

Es scheint wohl ein einmaliges Phänomen gewesen zu sein. Seither kam das nicht wieder.

Dafür hatte ich heute im Zeitraum von 2 1/2 Minuten über 40 !! Warnmeldungen von Norton bezüglich Trojaner Deep Throat. Sowas hatte ich noch nie. Es wollte gar nicht mehr aufhören, eine Meldung hat buchstäblich die Andere gejagt.

Nachdem ich die Internetverbindung getrennt und neu verbunden habe, war Ende mit dem Spuk.

Seltsam, irgendjemand ist da neugierig.....

p.s.: was die Konfiguration der Dienste betrifft, da gibt es hier eine feine Anleitung, die habe ich auch schon vor längerer Zeit befolgt. Aber irgendetwas Neues muss ja immer sein, sonst wird es ja auch langweilig.
Wäre doch auch nicht so schön, wenn alles sauber und rund laufen würde. Was wäre dann mit WinTotal?? ;D ;D