Confuso - LSASS?

dA_PhReAk

dA_PhReAk

Power Member
Boas, no meu pc antigo quando instalei a nova versao do kaspersky (nao tenho a certeza se foi assim que instalei ou se demorou um tempo) comecou me a aparecer este tipo de mensagens (tenho um pc novo e continuam a aparecer) :



Pensei que fosse mais um worm manhoso por isso fiz um scan de virus (kaspersky, trend online.. etc) Nada... Scan de Spyware.. Nada... E isto continuava a aprecer, depois de uma pesquisa no google:
http://www.neuber.com/taskmanager/process/lsass.exe.html
http://ask-leo.com/what_are_lsass_lsassexe_and_sasser_and_how_do_i_know_if_im_infected_what_do_i_do_if_i_am.html
Percebi que o ficheiro faz parte do windows, mas que tambem pode ser um worm, o sasser (o famoso wormzeco que chateou muita gente, aparece uma caixa de dialogo e desliga o pc em 60s) o problema e que isso nunca me aconteceu.. nem nas raras vezes que desligo o anti virus.

Ja agora, nao sei se isto interessa ou nao .. mas as duas primeiras partes do ip que supostamente me esta a atacar sao iguais as duas primeiras partes do meu.

Entao pergunto-vos... O que é isto afinal? O kaspersky ta a confundir? Tenho aqui uma porcaria qq?

PS: Tambem uso a Kerio Firewall.

Obrigado.

EDIT: Tenho as mesma imagem duas vezes? bahh devo ter tirado mal o screenshot.. a de baixo era suposto ser ligeiramente diferente, mas tb tinha lsassexploit nao sei o que.
 
Última edição:
Ele até já respondeu á própria pergunta, só não sabe é disso.

dA_PhReAk, se tivesses mesmo uma firewall decente e bem configurada, não vias isso, pq tinhas o port em stealth e não uma "network protection" imbecil do av a despejar avisos inutéis...

Muito sinceramente, só quero ver o dia em que os gajos do Kaspersky larguam o negocio das "network protections". AV's sabem eles fazer sem duvida, o resto é sem duvida duvidoso :D Mas prontos, é "segurança" á MS. Umas alert boxes a assustar o user e tal, e nada de resolver o problema a sério.
 
Epa a kerio e uma firewall bem decente, e ja fiz aqueles testes das ports em sites, e deu que tavam todas escondidas (Stealth mode. Certo?). desculpa la mas ainda n percebi mesmo o que se passa, e o kaspersky a atrofiar? a reconhecer tudo o que passe atraves daquela porta como ataque(mesmo quando nao e nada)? a mensagem "your computer is beeing attacked from the internet" e um pouco vaga e so com isso nao percebo o que se passa, e como remediar.

---

@DavidJamez: pensa um bocado, se postei aqui foi porque nao percebi sosinho... e nao é um "volta a ler o que escreveste" que vai resolver o problema. O que torna a tua mensagem um pouco inutil. Da proxima vez que te sentires tentado a postar resposta semelhante, reconsidera... E poupas uns segundos de leitura inutil a alguem. alias, podes mesmo aproveitar para ajudar caso saibas.
 
Última edição:
Da phreak, em tempos talvez tenha sido, agora é só um front end bonito para estatisticas semi-inuteis e alertas semi-parvos.

Quanto aos testes online, desde que vi o teste da simantec dar ports abertos enquanto testava um router por HW que minutos antes tinha dado 0 ports vs Nessus, já tou por tudo quanto a esses testes...

Quanto á questão em mãos, a verdade é que se instalares x productos de segurança de rede (ex, WPF+Kaspersky network protection+Kerio Firewall) não podes dizer sem ir investigar a fundo na config do OS quem apanha o que primeiro. Eles são stacked, e, como tal, apanham as coisas, passam ao próximo, até chegar á aplicação. O problema é que, não tens muitos meios nem para ver a ordem nem para mudá-la.

Imagina por exemplo que o KNP decide instalar-se mais abaixo que a KPF. Nesse cenário, o KNP apanha tudo antes da KPF (que pode estar como dizes conf para "stealthar" os ports), e, a ser assim, levas com avisos do KNP, apesar de a KPF logo a seguir dropar os pacotes.

E sinceramente, no teu caso é o unico cenário que posso imaginar. Se o IP do aviso fosse o teu ou o 127.0.0.1, eras tu a atacar-te a ti próprio. Como não é o teu, só te resta dois cenários.

1: A KPF está a deixar passar os pacotes e o KNP apanha-os
2: O KNP está abaixo da KPF, apanha os pacotes e dá avisos, plenamente desnecessários pq a FW provavelmente iria dropar os pacotes.

Take ur pick...

Conselho, se vais mesmo levar a cena de segurança a sério, arranja uma box velha com Linux para servir de router. A fw vem á borla, é melhor de configurar, tens toda a flexibilidade que quiseres. Com o netfilter controlas rigorosamente o que entra e sai, como quando e onde.
 
thx =) nah, nao sou nenhum maniaco com seguranca, nem nunca apanhei nenhum susto.. mas tava a achar estranhos os avisos.. Bem, vou experimentar entao a outpost firewall da qual tenho ouvido muito bem.

Btw quando falas ai no 127.0.0.1, nao se aplica a mim acho eu ja que uso router (nao sei se muda alguma coisa...mas de qq maneira o ip nao e o do default gateway)
 
dA_PhReAk disse:
@DavidJamez: pensa um bocado, se postei aqui foi porque nao percebi sosinho... e nao é um "volta a ler o que escreveste" que vai resolver o problema. O que torna a tua mensagem um pouco inutil. Da proxima vez que te sentires tentado a postar resposta semelhante, reconsidera... E poupas uns segundos de leitura inutil a alguem. alias, podes mesmo aproveitar para ajudar caso saibas.
Clicar para expandir...


eu tentei ajudar, tu é que levaste a mal pk nao era a resposta que querias
 
DavidJamez disse:
eu tentei ajudar, tu é que levaste a mal pk nao era a resposta que querias
Clicar para expandir...

Tentaste ajudar ao escrever "e leres a mensagem com atençao ficas a perceber o que é" ?

Se todas as ajudas no mundo fossem tão prestáveis quanto a tua, era tudo perfeito.
 
dA_PhReAk disse:
thx =) nah, nao sou nenhum maniaco com seguranca, nem nunca apanhei nenhum susto.. mas tava a achar estranhos os avisos.. Bem, vou experimentar entao a outpost firewall da qual tenho ouvido muito bem.

Btw quando falas ai no 127.0.0.1, nao se aplica a mim acho eu ja que uso router (nao sei se muda alguma coisa...mas de qq maneira o ip nao e o do default gateway)
Clicar para expandir...

127.0.0.1 aplica-se a toda a gente, é o endereço do localhost, ie, a própria máquina.
 
Inicie sessão ou registe-se para poder participar.
Back
Topo