alexxxss Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вообщем залил на машинку с двумя сетевухами  windows XP, сетку настроил походу установки  - фактически минуты через полторы комп ушёл в ребут (даже ещё не залогинился). Повторялось несколько раз - думал железо - поменял память, потом видюху, сетевухи правда не пробовал - итог такой же. Грузанулся в защищённом режиме - через некоторое время лазания по инету, вылетела табличка вида как с sassera про lsass.exe и NT авторизацию, пошёл обратный отсчёт и комп ушёл в ребут. Странно , что вот такая табличка вылетает не всегда http://losena.ru/xakep/cherv.jpg  . А иногда просто ребутится и всё, вообще без всяких табличек. Особо если попробовать по локалке полазить. Поставил заплатку, нортон - обновил - всё проверил - нету вируса. Утилитка от каспия и мелкософта уверенно говорят, что нема родимого. Файрвол (поставил правда Аутпост - выяснил что он транзиты не пущает - может посоветуете файрвол под винду для сервака - а то я в них как свинья в апельсинах) отмечает факты атаки по соответсвующим для бластеров портам. В реестре обычных для sassera записей не обнаружил. С файлами в win32 тоже не густо.  После установки патча и проверки перезагрузил и минут через 5 комп снова улетел в ребут. без всяких надписей. В логах пусто. Правда вечером перестал вываливаться. есть мысль что это связано с тем, что много народу по ночам спят и их заражённые компутеры тоже Вообщем сиё скорее железо или мне посчастливилось столкнуться с какой-то новой разновидностью этого долбаного червя?   P3/256/maxtor60(распечатал утром)/мамка asus на VIA(модель утром гляну - сейчас арендаторы уже свалили). /nvidia vanta + две сетевухи 3com (кажется 3c905 обе) Всего записей: 583 | Зарегистр. 19-09-2002 | Отправлено: 23:43 18-08-2004 | Исправлено: alexxxss, 23:44 18-08-2004

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexxxss http://securityresponse.symantec.com/avcenter/FxSasser.exe Цитата: Файрвол (поставил правда Аутпост - выяснил что он транзиты не пущает - может посоветуете файрвол под винду для сервака - а то я в них как свинья в апельсинах http://forum.ru-board.com/topic.cgi?forum=8&topic=0352#1 можно еще попробовать так Цитата: 1.from your computer > Run > type "services.msc" 2.dbl click on RPC call 3.change all the failure settings to "restart the service"   но очень похоже, что это Sasser Цитата: What You Should Know About the Sasser Worm and Its Variants: http://www.microsoft.com/security/incident/sasser.asp Apply MS Security Bulletin: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx Use One of the Following Removal Tools to Delete the Virus: ====================================== 1) Sasser (A-F) Worm Removal Tool (KB841720) >> http://www.microsoft.com/downloads/details.aspx?familyid=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en 2) FxSasser.exe.from Symantec >> http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html 3) Stinger from McAfee >> http://vil.nai.com/vil/stinger/ 4) SysClean PACKAGE from TrendMicro >> http://www.trendmicro.com/download/dcs.asp 5) SASSGUI\SASSSFX from Sophos >> http://www.sophos.com/support/disinfection/sasser.html 6) ClnSasser from Computer Associates >> http://www3.ca.com/Files/VirusInformationAndPrevention/clnsasser.zip 7) F-Sasser from F-Secure >> http://www.f-secure.com/tools/f-sasser.zip   8) SasserFix2 from Norman >> http://www.norman.com/Virus/Virus_removal_tools/14938 9) QuickRemover from Panda >> http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=sol&idvirus=46865 --------------------------------------------------------- NOTE: plzz see the Relevant Sites for FULL Instructions on Removal in the First Link Before using the Tools ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 23:52 18-08-2004

alexxxss Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Cheery Спасибо. Всё же червяк - я его правда так и не нашёл, но проделав всё с симантека - проблема перестала беспокоить. Всё таки симантек рулит Всего записей: 583 | Зарегистр. 19-09-2002 | Отправлено: 12:54 19-08-2004

RedMac Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Честно говоря не знаю относится ли это к поднятой теме, но всё же - по фильтр нашёл тока это.   При лазании по инету с помощью Opera вываливается окошечко   lsass.exe - Application Error ....  The memory couldn't be "read"   Две кнопкм   Нажимаешь OK - появляется count down The system is shutting down ... NT AUTHORITY\SYSTEM ну и благополучно перезагружаемся   Нажимаешь Debug - ну примерно тот же эффект тока он открывает состояние ассемблерной проги в дебагере по умолчанию. Нижимаешь break появляется count down   Если ничего не нажимать - работает так же само, что я уже второй день и делаю   Кроме того AVP монитор находит в ...\system32\TFTP1376 Worm.LoveSan Эт действительно вирус или просто сигнатуры совпадают   И что делать с lsass.exe - Application Error     Добавлено Сорри, вопрос снят - если у кого-то что-то   http://dialup.mtu.ru/intel_users/worm.shtml Всего записей: 418 | Зарегистр. 06-08-2003 | Отправлено: 17:15 26-08-2004

alexei111 Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Cheery Цитата:  Sasser (A-F) Worm Removal Tool (KB841720) >> http://www.microsoft.com/downloads/details.aspx?familyid=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en   Подскажите прямые ссылки на хотфикс KB841720 под русские и английские версии Windows XP и Windows 2000 . ---------- Чемпион РБП 2007, 2009, КХЛ 08/09, 09/10, NHL 08/09, призер многих других турниров. Всего записей: 5013 | Зарегистр. 22-07-2002 | Отправлено: 04:52 19-11-2004

Brik Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Windows XP   Появляется окно NT AUTHORITY\SYSTEM идет отчет потом система перезагружается после перезагрузки появляется LSA Shell (Export Version) вызвало проблему и требует завершения  lsass.exe происходит несколько раз в день антивирусники не находят вирус, проверял каспером и нодом Переустановка системы не помогает комп на работе подключенный к локальной сети админ не знает в чем проблема происходит только на моем компе Помогите разобратся Всего записей: 77 | Зарегистр. 04-10-2005 | Отправлено: 10:14 07-03-2007

Brik Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору стоит SP2, обновления автоматически Да, комп подключен к сети во время установки   Значит, ничего нельзя сделать? Как определить какой комп заражен? Админ проверял компы  в сети на наличие вирусов Сказал, что все чисто Всего записей: 77 | Зарегистр. 04-10-2005 | Отправлено: 06:02 12-03-2007

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Да, комп подключен к сети во время установки   вообще-то лучше делать это с отключенным сетевым кабелем. Вплоть до окончания установки последних фиксов/антивиря/стенки (короче, пока защита не будет полной) Цитата: Значит, ничего нельзя сделать? Как определить какой комп заражен?   у касперыча на сайте мелкий утиль для убийства вирей есть. Там, по идее, и для данного было.   http://www.kaspersky.ru/removaltools   Да, насчет стенки - помнится мне, какие-то сплойты позволяли через 445 порт ребутить в локалке комп. То есть, есть смысл закрыть его стеной.   Равно как и 139й (надеюсь, шариться нет необходимости?) Всего записей: 16307 | Зарегистр. 13-02-2003 | Отправлено: 10:54 12-03-2007

Brik Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Установил стенку, заблокировал порты. Оказалось, что идут атаки с компьютера моего начальника отдела, примерно через каждые 10 минут. У него стоит нод32, плюс  проверили каспером и утилитками Вирусов у него не нашли Атаки не прекращаются, хорошо хоть сейчас у меня outpost стоит и блокирует их Всего записей: 77 | Зарегистр. 04-10-2005 | Отправлено: 09:44 22-03-2007

Brik Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Переустановили систему  на компьютере с которого идут атаки   Атаки не прекращаются. А могут быть атаки из-за общего принтера идти?   У него локально принтер установлен, а у меня доступ по сетке к нему настроен. атаки идут на порты 139, 445 и 2048 Всего записей: 77 | Зарегистр. 04-10-2005 | Отправлено: 08:38 06-04-2007

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: атаки идут на порты 139, 445 и 2048 139 -  NETBIOS Session Service - доступ к файлошарам, довольно часто юзается как потенциальная дыра всяким зверьем. 445 - Microsoft-DS - на винНТ/2к/ХР (и по ТСР и по УДП) - тож очень популярный порт для атак, рекомендуется вообще его закрывать во избежание проблем с атакуемой RemoteProcedureCall (RPC) службой dls-monitor    2048/tcp/udp (не знаю, кто таков) Цитата: А могут быть атаки из-за общего принтера идти?   Вообще-то   много всяких портов на принтеры завязано, но в стандартном случае таки да - порты 137,138,139 и 445 предлагают открытыми держать ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16307 | Зарегистр. 13-02-2003 | Отправлено: 05:17 15-04-2007

Eric Lazzy Главный мент Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору люди, а как с этой же дрянью бороться под 2003 сервер? симантик Цитата:  http://securityresponse.symantec.com/avcenter/FixBlast.exe   http://securityresponse.symantec.com/avcenter/FxSasser.exe     ни один ничего не нашёл ---------- лень - двигатель прогресса © Всего записей: 7970 | Зарегистр. 01-11-2003 | Отправлено: 16:54 24-05-2007

sshr Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Меня попросили помочь с подобной бедой, но так и не могу ничего сделать: комп просто не доходит до рабочего состояния, пишал что-то естесственно с lsass.exe (более точным - C:|WINDOWS\system32\lsass.exe) и уходил в ребут. Прошелся с загрузочного диска разными антивирями - чисто. Разные утилитки из-под ДОСа позапускал проверить регистри (только один основной юзер и четыре системных какие мелкософт запускает при установке, юзер без пароля, кстати, загрузить рековери консоль не дает) - нет вопросов. После всего пробовал перезагрузиться - вообще зависает даже в безопасном режиме: черный экран (в безопасном режиме по сторонам надписи "безопасный режим" и "ВиндовзXP-SP2 с цифирями") и курсор от мышки (елозит, правда)... И все! Переставлять систему - крайний вариант, потому что куча всего там понаставлено и много вариантов убить вообще всю инфу на диске (люди - чайники, понапихано там всего до кучи). Кроме того, у них похоже HOME версия, лицензионная купленная вместе с компом (а уменя только сидюк с корпоративной ПРО)... Кто чего подскажет - куда рыть, где искать? Добавлю - "предыдущий" режим при запуске не отрабатывает. Возможно, убита совсем служба lsass, но как ее восстановить тогда? Другой системы нет. Всего записей: 62 | Зарегистр. 04-10-2002 | Отправлено: 21:28 02-06-2007 | Исправлено: sshr, 21:54 02-06-2007

Eric Lazzy Главный мент Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sshr я со своей проблемой справился установкой стенки теперь на серваке фаер переодически пищит про сетевые атаки, сканирование портов и т.п. зато до лсасса дело не доходит уже неделю пашет без нареканий (раньше больше 7 часов без перегрузок не работало)   попробуй выдернуть сетевой кабель и посмотреть, сколько машина проработает   может дело конечно и не в сети, но "попытка - не пытка"   удачи ---------- лень - двигатель прогресса © Всего записей: 7970 | Зарегистр. 01-11-2003 | Отправлено: 09:13 04-06-2007

sshr Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Так работала бы - поставлю стенку! Хотя мелкософтовский стоял, SP2 стоит... Не запускается система! Будем искать русский Хоум с SP2 инсталлятор - накатывать поверх. Кажись, других вариантов никто не предлагает. Английского им не надо Всего записей: 62 | Зарегистр. 04-10-2002 | Отправлено: 11:51 04-06-2007

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows XP и lsass.exe

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование