LSASS

[bom]

Mein Firewall meldet dauern dass LSASS.exe aus system32 ein udp ankommend port 500 kriegt, von ner 212 ip, ist das normal? hab kein viri/trojaner gefunden....

[Melodic]

Sieh mal hier nach...
http://www.windows2000helpline.de/cg...&f=13&t=004027
Falls noch Fragen sind, einfach fragen...

[Elminster]

Lsass.exe ist nen System-Service (frag mich mal nicht welcher das nu war), aber ich denke da mußt du dir keine Sorgen machen. Ist die IP evtl. deine eigenen?
Geh mal Start->ausführen->cmd und gib dann "ipconfig /all" ein...

[Melodic]

@ Elminster
Die Frage, welcher Systemservice wird doch in meinem Link oben beantwortet.....

[bom]

werde aus dem link nicht schlau...
ne meine eigene ists nicht

[Elminster]

@Melodic:
Guck mal auf die Posting-Zeit - war wohl noch friedlich am tippen, als du deinen Beitrag abgeschickt hast

@Bom:
Welche IP isses denn genau?

[Melodic]

@ Elminster
Stimmt...

[Elminster]

Hehe - so früh schon am abreisen (von wegen Zeit)?
Na auf jeden Fall viel Spaß

[bom]

das kam:
Für dieses Mal hat der Benutzer folgendes gewählt: Kommunikation "blockieren". Details:
Ankommendes UDP-Paket
Lokale Adresse, Dienst ist (217.0.35.192,isakmp)
Remote-Adresse, Dienst ist (212.152.169.172,51088)
Prozessname ist "C:\WINNT\system32\LSASS.EXE"

[Elminster]

pd90023c0.dip.t-dialin.net (217.0.35.192) dürftest ja ziemlich sicher du und dein T-Online Zugang sein

Zur anderen Adresse findet sich folgendes (ist übrigens in Wien)
<BLOCKQUOTE><font size="1" face="Tahoma">Zitat:</font><hr color="#003366" size="1">Node Data
Node Net Who IP Address Location Node Name
9 1 - 212.152.169.172 WIEN

inetnum: 212.152.169.168 - 212.152.169.175
netname: GARTNER
descr: Gartner KG Internationale Transporte
descr: Linzer Strasse 20
descr: 4650 Lambach
country: AT
admin-c: UIO1-RIPE
tech-c: UIO1-RIPE
status: ASSIGNED PA
notify: internetworking@uta.at
mnt-by: AS8437-MNT
changed: internetworking@uta.at 20010227
source: RIPE

route: 212.152.128.0/17
descr: UTA-AT, Provider Local Registry Block
origin: AS8437
mnt-by: AS8437-MNT
changed: markus.hofmann@uta.at 20000524
source: RIPE

role: UTA Internet Operations
address: UTA Telekom AG
address: Alserstrasse 4
address: A-1090 Wien
phone: +43 1 9009 - 0
e-mail: net-admin@uta.at
admin-c: MH508-RIPE
tech-c: MH508-RIPE
tech-c: IL7-RIPE
tech-c: AG1345-RIPE
nic-hdl: UIO1-RIPE
notify: markus.hofmann@uta.at
mnt-by: AS8437-MNT
changed: markus.hofmann@uta.at 19981113<hr color="#003366" size="1"></BLOCKQUOTE>

Ist also eine IP des östereicher Telekom-Providers, wenn ich mich nicht irre (www.uta.at).

Der Port 51088 ist auf jeden Fall kein Well-Kown-Port - logisch Pakete komen bei dir an, also wahrscheinlich dynamisch.
Für einen Trojaner würde ich aber davon ausgehen, daß zuerst Daten <u>gesendet</u> werden - ist das passiert?