LSA Shell i Spooler... – co to jest?
`LSA Shell (Export Version)` i `Spooler SubSystem App` – do czego są potrzebne te aplikacje w komputerze, za co odpowiadają i czy zablokować im dostep do internetu na firewallu? Z góry, dzięki za kaźdą odpowiedź.
Odpowiedzi: 10
No widzisz. Jak chcesz to potrafisz, tylko co nam po informacjach ktore znamy ?acid–haze:
Na stronie microsoftu znalazłem informacje...
Posprawdzales inne sugestie ? Umiejscowienie, producenta plikow, itd ? Jesli jestes pewien, ze wszystko jest w porzadku, mozesz spac spokojnie :wink: .
Na stronie microsoftu znalazłem informacje na temat lsass.exe http://search.microsoft.com/search/results.aspx?st=b&na=88&View=pl–pl&qu=lsass.exe i spoolsv.exe http://search.microsoft.com/search/results.aspx?st=b&na=88&View=pl–pl&qu=spoolsv.exe
Proces Lsass.exe odpowiada za zarządzanie uwierzytelnianiem domeny urzędu zabezpieczeń lokalnych i zarządzanie usługą Active Directory. Proces ten obsługuje uwierzytelnianie zarówno klienta, jak i serwera, a takźe steruje aparatem usługi Active Directory. Proces Lsass.exe odpowiada za działanie następujących składników:
Urząd zabezpieczeń lokalnych
Usługa Logowanie do sieci
Usługa Menedźer kont zabezpieczeń
Usługa Serwer LSA
Protokół SSL (Secure Sockets Layer)
Protokół uwierzytelniania Kerberos v5
Protokół uwierzytelniania NTLM
Procesy bufora
Interfejs bufora działający po stronie klienta (Winspool.drv) tworzy wywołanie RPC i wysyła je do interfejsu serwera bufora (Spoolsv.exe).
Spoolsv.exe wywołuje router wydruku (Spoolss.dll).
Router (Spoolsv.dll) przesyła zadanie drukowania do lokalnego dostawcy drukowania (LPP) lub odległego serwera wydruku, jeźeli zadanie jest wysyłane do drukarki sieciowej.
LPP odpytuje procesory wydruku w celu znalezienia tego, który obsługuje typ danych przetwarzanego zadania.
LPP przesyła zadanie do procesora wydruku, który modyfikuje zadanie tak, aby mogło zostać poprawnie wydrukowane.
Procesor wydruku przesyła zadanie do separatora stron. W razie potrzeby dodawana jest strona rozdzielająca.
Zadanie jest przesyłane do odpowiedniego monitora portu. Jeźeli proces drukowania jest dwukierunkowy, to zadanie jest w pierwszej kolejności przesyłane do monitora języka, takiego jak monitor PJL (Printer Job Language), a dopiero później do monitora portu. Jeźeli zadanie jest jednokierunkowe, to jest wysyłane bezpośrednio do monitora portu.
Proces Lsass.exe odpowiada za zarządzanie uwierzytelnianiem domeny urzędu zabezpieczeń lokalnych i zarządzanie usługą Active Directory. Proces ten obsługuje uwierzytelnianie zarówno klienta, jak i serwera, a takźe steruje aparatem usługi Active Directory. Proces Lsass.exe odpowiada za działanie następujących składników:
Urząd zabezpieczeń lokalnych
Usługa Logowanie do sieci
Usługa Menedźer kont zabezpieczeń
Usługa Serwer LSA
Protokół SSL (Secure Sockets Layer)
Protokół uwierzytelniania Kerberos v5
Protokół uwierzytelniania NTLM
Procesy bufora
Interfejs bufora działający po stronie klienta (Winspool.drv) tworzy wywołanie RPC i wysyła je do interfejsu serwera bufora (Spoolsv.exe).
Spoolsv.exe wywołuje router wydruku (Spoolss.dll).
Router (Spoolsv.dll) przesyła zadanie drukowania do lokalnego dostawcy drukowania (LPP) lub odległego serwera wydruku, jeźeli zadanie jest wysyłane do drukarki sieciowej.
LPP odpytuje procesory wydruku w celu znalezienia tego, który obsługuje typ danych przetwarzanego zadania.
LPP przesyła zadanie do procesora wydruku, który modyfikuje zadanie tak, aby mogło zostać poprawnie wydrukowane.
Procesor wydruku przesyła zadanie do separatora stron. W razie potrzeby dodawana jest strona rozdzielająca.
Zadanie jest przesyłane do odpowiedniego monitora portu. Jeźeli proces drukowania jest dwukierunkowy, to zadanie jest w pierwszej kolejności przesyłane do monitora języka, takiego jak monitor PJL (Printer Job Language), a dopiero później do monitora portu. Jeźeli zadanie jest jednokierunkowe, to jest wysyłane bezpośrednio do monitora portu.
Właśnie sprawdzam log http://www.hijackthis.de/ i chyba będę miał jeszcze troche pracy :). Wielkie dzięki wszystkim.
Male sprostowanie – to wylacznie sugestia, duze prawdopodobienstwo. Wystarczy wstepnie sprawdzic/porownac wystepowanie w/w plikow jak i innych wystepujacych "przy okazji" a opisanych na stronie Symanteca. Systemowe, te "dobre" sa w folderze \system32, natomiast te podszywajace sie w \system.EL NINO juź napisał, źe masz nieproszonych gości.
HiJack This jest dobrym rozwiazaniem, a w dziale Bezpieczenstwo jest rowniez temat ktory pomaga zinterpretowac log z programu.
EL NINO juź napisał, źe masz nieproszonych gości. Więc zacznijmy od początku. Posiadać program antywirusowy to nie wszystko. potrzebny jest ci jeszcze dobry fire wall oraz jakiś program anty spyware. Jeśli masz pecha i świństwu udało się pokonać twoje szańce obronne jak w tym przypadku to jedynym sposobem by zaraz się pozbyć to skorzystać z HijackThis. Wkleić do posta.
HijackThis potrafi usuwać niepotrzebnie uruchamiające się oprogramowanie. Potrafi takźe usunąć usługę (service) pokaźe ew. dopisaną przez wroga zawartość w pliku Hosts i usunąć program teoretycznie nie dający się usunąć z dysku.
PS. Jeśli chodzi o programy których nie ma w autostarcie to są to programy zainstalowane jako usługi. Poza tym co rozumiesz przez autostart? Bowiem jest to pojęcie bardzo szerokie obejmuje miejsce zwane autostartem (katalog start\programy\autostart) kilka plików w katalogu windows oraz kilka miejsc w rejestrze.
HijackThis potrafi usuwać niepotrzebnie uruchamiające się oprogramowanie. Potrafi takźe usunąć usługę (service) pokaźe ew. dopisaną przez wroga zawartość w pliku Hosts i usunąć program teoretycznie nie dający się usunąć z dysku.
PS. Jeśli chodzi o programy których nie ma w autostarcie to są to programy zainstalowane jako usługi. Poza tym co rozumiesz przez autostart? Bowiem jest to pojęcie bardzo szerokie obejmuje miejsce zwane autostartem (katalog start\programy\autostart) kilka plików w katalogu windows oraz kilka miejsc w rejestrze.
Zapomniałem dodać, źe działają zaraz po uruchomienu komputera, choć nie ma lsass.exe, ani spoolsv.exe w autostarcie, stąd moje zaniepokojenie, co to i po co mnie to potrzebne...
Ps. dzięki za wszystko
Ps. dzięki za wszystko
Zaktualizowałem bazę wirusów, przeskanowałem go dwoma róźnymi programami i nic... zero wirusów. Komputer jest świeźo po formacie (72h), działa bez zarzutu, tylko te dwie aplikacje nie dają mi spokoju. Od 48h, kiedy się pojawiły, nie próbują się łączyć z netem, nie otwierają źadnych portów. Kiedy chce zablokować LSA Shell, firewall pokazuje mi komunikat: –Applying custom settings to System Programs could cause serious problems with your computer including crashes and internet connectivity problems. Firewall strongly recommends that you do not change these settings.
Are you sure would like to make this change? Yes/No. Spooler`a mogę zablokować bez takiego komunikatu. Mam jeszcze dwa pytanka. To nie są usługi microsoftu, tylko to coś podejrzanego, tak? I najwaźniejsze, blokować?
Are you sure would like to make this change? Yes/No. Spooler`a mogę zablokować bez takiego komunikatu. Mam jeszcze dwa pytanka. To nie są usługi microsoftu, tylko to coś podejrzanego, tak? I najwaźniejsze, blokować?
Spooler SubSystem App – to moze byc W32.LINKBOT.M Worm wg Symanteca. Zreszta moze to byc zwiazane rowniez z LSA Shell, poniewaz to exploit LSASS Buffer Overrun Vulnerability –> http://www.symantec.com/avcenter/venc/data/w32.linkbot.m.html`LSA Shell (Export Version)` i `Spooler SubSystem App`
hmm... a co z blokowaniem, zezwolić czy zablokować im dostęp do internetu? I raczej wolałbym po polsku, please.
LSA Shell (Export Version) == lsass.exe.
The LSA is the "Local Security Authority" on Windows; it supports account rights and privileges, and user profiles.
First, the Spooler Subsystem App is a legitimate process, and
is associated with printer processes.
SPOOLer SerVice – spoolsv.exe
What does it do?
spoolsv.exe – The spooler service is responsible for managing
spooled print/fax jobs"
The LSA is the "Local Security Authority" on Windows; it supports account rights and privileges, and user profiles.
First, the Spooler Subsystem App is a legitimate process, and
is associated with printer processes.
SPOOLer SerVice – spoolsv.exe
What does it do?
spoolsv.exe – The spooler service is responsible for managing
spooled print/fax jobs"
Strona 1 / 1