---

Hej i gruppen.

Min software firewall (Outpost) kommer frem med en boks, hvor den spørger om
jeg vil blokere for "LSASS.EXE LSA Shell (Export Version)" Lokal port
UDP:500, og så står der "Application is requesting an inbound connection. Er
der nogen der kan sige om jeg skal blokere for den? Jeg køre med Windows
Media Center, hvis det har nogen betydning.

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.

---

"Jørgen Nielsen" <longhorn_1969nomorespam@hotmail.com> posting:

>Min software firewall (Outpost) kommer frem med en boks, hvor den spørger om
>jeg vil blokere for "LSASS.EXE LSA Shell (Export Version)" Lokal port
>UDP:500, og så står der "Application is requesting an inbound connection. Er
>der nogen der kan sige om jeg skal blokere for den? Jeg køre med Windows

Se
http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/

--
What is life, except excuse for death,
or death, but an escape from life. -Ukendt

Fly Opera - http://opera.softwolves.dk

---

"Christian Bohr-Halling" <nospam@cbh.softwolves.dk> skrev i en meddelelse
news:r0rq63tdhg7ikq6s7946ovh74sj737j017@dtext.news.tele.dk...
> "Jørgen Nielsen" <longhorn_1969nomorespam@hotmail.com> posting:
>
>>Min software firewall (Outpost) kommer frem med en boks, hvor den spørger
>>om
>>jeg vil blokere for "LSASS.EXE LSA Shell (Export Version)" Lokal port
>>UDP:500, og så står der "Application is requesting an inbound connection.
>>Er
>>der nogen der kan sige om jeg skal blokere for den? Jeg køre med Windows
>
> Se
> http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/

Hej Christian.

Den side har jeg været inde på. Men mit engelske er ikke helt på toppen
øverst står der noget med at det er en vigtig Windows proces, og længere
nede står der noget med at det er registret som en downloader, og trojan, og
det der er værre. Kan du give mig et praj ?

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.

---

"Jørgen Nielsen" <longhorn_1969nomorespam@hotmail.com> posting:

>> http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/
>Den side har jeg været inde på. Men mit engelske er ikke helt på toppen
>øverst står der noget med at det er en vigtig Windows proces, og længere
>nede står der noget med at det er registret som en downloader, og trojan, og
>det der er værre. Kan du give mig et praj ?

Den kan enten være
- et vigtigt Window-element, der har at gøre med sikkerhed,
- en såkaldt trojans hest, der giver andre adgang direkte til din
computer.
- et downloaderprogram til støtte for virus/spyware


Prøv at køre et antivirus-program på din computer, fx
http://free.grisoft.com/freeweb.php/doc/1/lng/us/tpl/v5 og se, om
det brokker sig over det.

--
What is life, except excuse for death,
or death, but an escape from life. -Ukendt

Fly Opera - http://opera.softwolves.dk

---

"Christian Bohr-Halling" <nospam@cbh.softwolves.dk> skrev i en meddelelse
news:ftsq639ugt64o3lfbgr39ikdl5jhb12pdr@dtext.news.tele.dk...
> Prøv at køre et antivirus-program på din computer, fx
> http://free.grisoft.com/freeweb.php/doc/1/lng/us/tpl/v5 og se, om
> det brokker sig over det.

Jeg har scannet med mit antivirus program (NOD32) den fandt ikke noget. Så
der sker nok ikke noget ved at give den adgang til nettet. Tak for svar.

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.

---

On Tue, 2007-06-12 at 16:53 +0200, Jørgen Nielsen wrote:
> Jeg har scannet med mit antivirus program (NOD32) den fandt ikke noget. Så

Er det ikke nemmere at slå IPSec fra.

> der sker nok ikke noget ved at give den adgang til nettet. Tak for svar.

Spurgte den ikke om nettet måtte få adgang til applikationen.

En virus scanner vil ikke fortælle dig om din IPSec implementation er
sårbar eller ej.

---

"Christian E. Lysel" <christian@examples.net> skrev i en meddelelse
news:1181660400.6110.1.camel@bigfoot.lan.spindelnet.dk...

Hej Christian.

Er det ikke nemmere at slå IPSec fra.

Hvad er IPSec?

Spurgte den ikke om nettet måtte få adgang til applikationen.

Jo, du har ret. Men nu kan jeg slet ikke se den i min firewall settings,
hvilken programmer der må hvad.

En virus scanner vil ikke fortælle dig om din IPSec implementation er
sårbar eller ej.

Du må lige forklare hvad IPSec er for noget

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.

---

On Fri, 2007-06-15 at 17:37 +0200, Jørgen Nielsen wrote:
> "Christian E. Lysel" <christian@examples.net> skrev i en meddelelse
> news:1181660400.6110.1.camel@bigfoot.lan.spindelnet.dk...
>
> Hej Christian.
>
> Er det ikke nemmere at slå IPSec fra.
>
> Hvad er IPSec?

Din windows maskiner er født med muligheden for køre protokollen IPSec via servicen IPSec.

IPSec er en række protokoller til at autentificere og/eller kryptere
netværkspakker (IP).

Under services kan du slå den og mange andre services fra du ikke
bruger.

Ditte kan gøres manuelt
http://home18.inet.tele.dk/madsen/windows/tjenester/ eller automatisk
http://sikkerhed-faq.dk/auto/


Læs evt. også disse gode råd: http://sikkerhed-faq.dk/pcraad

> Spurgte den ikke om nettet måtte få adgang til applikationen.
>
> Jo, du har ret. Men nu kan jeg slet ikke se den i min firewall settings,
> hvilken programmer der må hvad.

IPSec køre fra LSASS.EXE...

> En virus scanner vil ikke fortælle dig om din IPSec implementation er
> sårbar eller ej.
>
> Du må lige forklare hvad IPSec er for noget

Min pointe er blot du bruger det forkerte værktøj.

En virus scanner er blot en en database over hvordan kende vira kan
genkendelse. Fejl i Windows bliver ikke betragtet som virus.

---

"Christian E. Lysel" <christian@examples.net> posting:

>Min pointe er blot du bruger det forkerte værktøj.
>En virus scanner er blot en en database over hvordan kende vira kan
>genkendelse. Fejl i Windows bliver ikke betragtet som virus.

LSASS kan, tilsyneladende, også være en virus,
http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/
og derfor vil det være relevant at undersøge, om det faktisk er den,
der er på spil og ønsker netadgang.

--
What is life, except excuse for death,
or death, but an escape from life. -Ukendt

Fly Opera - http://opera.softwolves.dk

---

"Christian E. Lysel" <christian@examples.net> skrev i en meddelelse
news:1181927493.8566.13.camel@bigfoot.lan.spindelnet.dk...

Under services kan du slå den og mange andre services fra du ikke
bruger.
[klip]

Det er mærkeligt, når jeg går ind under services så er den deaktiveret, men
outpost kommer stadig frem med en melding om en inbound connection.

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.

---

On Sun, 17 Jun 2007 14:50:09 +0200, "Jørgen Nielsen"
<longhorn_1969nomorespam@hotmail.com> wrote:

> Det er mærkeligt, når jeg går ind under services så er den deaktiveret,
> men outpost kommer stadig frem med en melding om en inbound connection.

At servicen ikke er startet, betyder jo ikke, at eksterne ikke kan
sende data til dig. Dit firewall-program er nok bare små-defekt og
giver dig en ligegyldig besked. Det ville ikke være første gang.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:f7ha73tt0vec1unsvdfbj6jp2f9jcqksub@hojmark.net...
>
> At servicen ikke er startet, betyder jo ikke, at eksterne ikke kan
> sende data til dig. Dit firewall-program er nok bare små-defekt og
> giver dig en ligegyldig besked. Det ville ikke være første gang.

Ja, måske, men heller én for meget end én for lidt, hehe.

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.

---

On Fri, 2007-06-15 at 19:18 +0200, Christian Bohr-Halling wrote:
> LSASS kan, tilsyneladende, også være en virus,
> http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/
> og derfor vil det være relevant at undersøge, om det faktisk er den,
> der er på spil og ønsker netadgang.

Det var omvendt, Internet ønskede adgang til IPSec.

Er det ikke nemmere at sammenligne LSASS.exe's checksum med den
version man sidst hentede hos Microsoft, for at være sikker på om man
har den rigtige version?

Jeg forstår ikke hvorfor problemstillingen skal vendes om og istedet
sammenligne med en kæmpe signatur database.

---

"Christian E. Lysel" <christian@examples.net> skrev i en meddelelse
news:1181930331.12895.7.camel@bigfoot.lan.spindelnet.dk...
[klip]
Er det ikke nemmere at sammenligne LSASS.exe's checksum med den
version man sidst hentede hos Microsoft, for at være sikker på om man
har den rigtige version?

Hvor finder jeg den hos Microsoft? Og hvordan laver jeg en checksum?

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.

---

On Sun, 2007-06-17 at 14:50 +0200, Jørgen Nielsen wrote:
> Det er mærkeligt, når jeg går ind under services så er den deaktiveret, men
> outpost kommer stadig frem med en melding om en inbound connection.

Output blokere blot noget der ikke køre.

Det mest sikre er at sørge for det du ikke bruger, ikke køre...hvilket
også er tilfældet....alt ok.

---

"Christian E. Lysel" <christian@examples.net> skrev i en meddelelse
news:1182091564.22956.1.camel@bigfoot.lan.spindelnet.dk...

Output blokere blot noget der ikke køre.

Det mest sikre er at sørge for det du ikke bruger, ikke køre...hvilket
også er tilfældet....alt ok.

Fint nok.

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.

---

On Sun, 2007-06-17 at 16:46 +0200, Christian E. Lysel wrote:
> On Sun, 2007-06-17 at 14:50 +0200, Jørgen Nielsen wrote:
> > Det er mærkeligt, når jeg går ind under services så er den deaktiveret, men
> > outpost kommer stadig frem med en melding om en inbound connection.
>
> Output blokere blot noget der ikke køre.
>
> Det mest sikre er at sørge for det du ikke bruger, ikke køre...hvilket
> også er tilfældet....alt ok.

Kom i tanke om en lille ting.

Hvad siger følgende kommando?

"netstat -nao"

Er der to liniere der ligner følgende?

UDP 0.0.0.0:500 *:* <et tal>
UDP 0.0.0.0:4500 *:* <et tal>

Tallet referere til process id, som kan findes i windows task manageren
(dog skal du tilføje denne kolonne i "processes", "view"->"select
columns"..., her kan du vælge "PID (Process Identifier)".

Er det LSASS.EXE?

---

On Sun, 17 Jun 2007 17:05:31 +0200, "Christian E. Lysel"
<christian@examples.net> wrote:

>Hvad siger følgende kommando?
>
>"netstat -nao"

Med XP kan man også bruge -b for at se processen og evt. tilknyttede
DLL'er:

netstat -nab

--
- Peter Brodersen
Kendt fra Internet

---

"Christian E. Lysel" <christian@examples.net> skrev i en meddelelse
news:1182092731.22956.15.camel@bigfoot.lan.spindelnet.dk...

Kom i tanke om en lille ting.

Hvad siger følgende kommando?

"netstat -nao"

Er der to liniere der ligner følgende?

UDP 0.0.0.0:500 *:* <et tal>
UDP 0.0.0.0:4500 *:* <et tal>

Tallet referere til process id, som kan findes i windows task manageren
(dog skal du tilføje denne kolonne i "processes", "view"->"select
columns"..., her kan du vælge "PID (Process Identifier)".

Er det LSASS.EXE?

Ud for LSASS.EXE står der 1312 Windows task, kigger jeg i kommando står 1312
ud for de 2 tal du skriver oppe over. Er det i orden?

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.

---

On Sun, 2007-06-17 at 14:53 +0200, Jørgen Nielsen wrote:
> Hvor finder jeg den hos Microsoft? Og hvordan laver jeg en checksum?

Microsoft har et værktøj til formålet. Det hedder "Microsoft Baseline
Security Analyzer".

http://www.microsoft.com/technet/security/tools/mbsahome.mspx



Vil du lave det mere manuelt, kan følgende bruges:
http://support.microsoft.com/kb/841290/

---

"Christian E. Lysel" <christian@examples.net> skrev i en meddelelse
news:1182095148.22956.20.camel@bigfoot.lan.spindelnet.dk...

Microsoft har et værktøj til formålet. Det hedder "Microsoft Baseline
Security Analyzer".

http://www.microsoft.com/technet/security/tools/mbsahome.mspx



Vil du lave det mere manuelt, kan følgende bruges:
http://support.microsoft.com/kb/841290/

Ok, jeg kigger lige på det.

--
Mvh. Jørgen Nielsen.
Fjern nomorespam ved svar på E-mail.