ISASS.exe

[ss121]

Mi compare continuamente la finestra di norton internet security con su scritto:
- Rischio Basso
- Un sistema remoto sta cercando di accedere a Isass.exe sul computer
-Programma: C:\windows\system32\isass.exe
-Protocollo: UDP (in ingresso).

Mi sapete dire cosa debbo fare?
Devo consentire o bloccare per sempre questa azione?
Fino adesso ho solo bloccato momentaneamente l'azione non sapendo di cosa si tratta, ma mi continua ad apparire, perfavore aiutatemi!!!

[amvinfe]

devi verificare se è I sass o L sass

nel primo caso è un trojan (OPTIX PRO), nel secondo è un servizio Microsoft

Lsass =======> Process File: lsass or lsass.exe
Process Name: Local Security Authority Service
Description: Windows Local Security Authority Server Process handles Windows security mechanisms. It verifies the validity of user logons to your computer or server. Technically, the software generates the process that is responsible for authenticating users for the Winlogon service.
Company: Microsoft Corp.


Devi verificare se è presente in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run il valore è Services = Isass.exe
nel caso è il trojan.

[ss121]

sono andato nel percorso HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run ma non c'è nè Services nè Isass.exe, quindi alla prossima volta che mi compare quel messaggio devo mettere blocca per sempre l'azione?

[amvinfe]

Originariamente inviato da ss121
sono andato nel percorso HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run ma non c'è nè Services nè Isass.exe, quindi alla prossima volta che mi compare quel messaggio devo mettere blocca per sempre l'azione?

ripeto, verifica che sia LSASS e non ISASS, nel secondo caso, quello con la I devi fare una scansione in modalità provvisoria con l'antivirus aggiornato.
Nel primo caso, quello con la L accorda un permesso permanente, ma solo se sei sicuro di non avere virus, in pratica è un file che serve per convalidare psw d'accesso.

[ss121]

se blocco per sempre Lsass che problemi potrei avere?

[Delmak_O]

lsass.exe, se è tale, lascialo, è comunque un processo di sistema, penso che Amvinfe abbia visto giusto ma siccome non si capisce se è Isass o Lsass, guarda comunque qui:

http://www.microsoft.com/technet/sec.../MS04-007.mspx

devi installare la patch appropriata per la vulnerabilità scoperta a marzo riguardo all'overflow della libreria MSASN1.DLL . Veicolo dell'exploit sarebbe proprio il servizio lsass che, in ascolto sulle porte 139 e 445, all'invio di determinati pacchetti porterebbe ad un crash del sistema. Fai una scansione con Windows update e scarica gli ultimi aggiornamenti 'critici'.