Hva er LSASS?

En del brukere har hørt om filen lsass.exe eller opplever feilmeldinger i forbindelse med filen, eller at PC-en blir slås av automatisk. Hvorfor skjer dette og hva kan gjøres?

Normal systemfil
Lsass.exe (Local Securoty Authority Subsystem) er en normal systemfil i Windows, som validerer innlogging av en bruker på en PC eller en server.

Problemer eller feilmeldinger i denne forbindelse kommer sannsynligvis av at PCen din er infisert av Sasser-ormen. Ormen misbruker et hull i Windows på de PC-er som ikke er oppdaterte med KB835732. Oppdateringen er lett tilgjengelig på windowsupdate.microsoft.com eller du kan slå på automatisk oppdatering.

PC-en slås av automatisk
Hvis det kommer et varsel om at PC-en din slås av etter 60 sekunder, kan du være rask og utføre følgende kommando via Start-knappen og Kjør... vinduet

shutdown -a

Parameteren -a betyr at PC-en blir ikke slått av automatisk, og dermed kan du ta dine forholdsregler mot ormen, det vil si å installere nødvendig oppdatering eventuelt å slå av ormen som kjører i bakgrunnen. Kommandoen virker kun med Windows XP

Windows 2000
Bruker du Windows 2000, kan du avbryte prosessen ved ta ut nettverkskabelen fra PC-en. Deretter kan du prøve ette eller flere av følgende alternativer:

  1. Lag filen %systemroot%debugdcpromo.log og gjør filen kun lesbar (read-only). Du kan lage filen med følgende kommando via Start, Programmer, Tilbehør, Ledetekst:

    echo dcpromo >%systemroot%debugdcpromo.log & attrib +r %systemroot%debugdcpromo.log

  2. Slå på avansert TCP/IP filtrering i alle nettverkskort for å blokkere alle usikre TCP-pakker.

    Høyreklikk på nettverkskortet i Kontrollpanel, Nettverk og den aktuelle nettverksforbindelsen, og velg Egenskaper. Dobbelklikk på Internet Protocol (TCP/IP) og klikk på Avansert, Options, og TCP/IP-filtrering. Slå på TCP/IP-filtrering. Klikk på OK hele veien for å bekrefte valget.

  3. Slå av server-tjeneste ved å utføre følgende kommando i kommendolinjen (ledetekst):

    net stop server /y

Windows Update virker ikke
Hvis PC-en din er allerede infisert med Sasser-ormen, kan det være umulig å laste ned oppdateringer for sårbarheten som ormen misbruker. Du kan eventuelt slå av ormen i Oppgavebehandling (via hurtigtasten CTRL+ALT+DEL eller høyreklikk på oppgavelingen nederst på skjermen):

  • Avslutt alle prosesser som starter med en rekke tall og som avsluttes med _up.ex, for eksempel 12345_up.exe)

  • Avslutt alle prosesser som starter med avserve, for eksempel avserve.exe og avserve2.exe.

  • Avslutt prosessene skynetave.exe, hkey.exe, msiwin84.exe og wmiprvsw.exe

  • Ikke avslutt prosessen wmiprvse.exe, den er normal prosess i Windows.

Når du har avsluttet alle prosessene som ormen har satt i gang, kan du oppdatere Windows via windowsupdate.microsoft.com

Mer informasjon
denne nettsiden finner du mer informasjon om Sasser-ormer og du kan bruke samme nettside for å sjekke (Check my PC for infection) om PC-en din er eventuelt infisert av Sasser-ormen.

Les også denne artikkelen hvis du sliter med å bli kvitt Sasser-ormen.

(Kilder: microsoft.com, microsoft.com/technet)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen