Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Периодическая перезагрузка WinXP

Автор: Paukkk
Дата сообщения: 02.07.2006 13:17
Переустановил ОС, примерно ч/з 5-10 минут после включения компа появляется сообщение "LSA Shell - обнаружена ошибка. Оправить отчет?" Далее появляется окно "Завершение работы системы. Отключение вызвано NT AUTHORITY\SYSTEM Неожиданно завершен системный процесс c:\windows\system32\lsass.exe"
Отменить перезагрузку нельзя, происходит через минуту после появления этого сообщения.
Думал, может криво винду поставил, отформатировал жесткий диск, поставил все с нуля - проблема осталась. Может кто-то сталкивался с подобным?

ОС - Windows XP Pro, никаких сервиспаков, антивирусников, вообще ничего, кроме ОС.
Автор: krukoff
Дата сообщения: 02.07.2006 13:25
Paukkk

Цитата:
Завершение работы системы. Отключение вызвано NT AUTHORITY\SYSTEM Неожиданно завершен системный процесс c:\windows\system32\lsass.exe

В сети работал? Был такой вирус, Blaster. Ставь SP-2, антивирусную программу.
Автор: Paukkk
Дата сообщения: 02.07.2006 13:40
krukoff
Спасибо

Добавлено:
Интересно ведет себя этот вирус...
Поставил DrWeb - тот 1 инфицированный файл нашел, удалил, говорит, остальное все в порядке. При перезагрузке ситуация повторилась, явно вирус не удалился.

Поставил Касперского, тот много чего нашел, удалил, вылечил, чего-то даже в реестре подправил, написал, что все теперь ОК.
Около часа все действительно было ОК, а затем опять эта системка об ошибке и опять перезагрузка

Может посоветуете, чем полечить можно?
Автор: ShriEkeR
Дата сообщения: 02.07.2006 16:10
Paukkk
поставь symantec и проверяй в безопасном режиме. Почитай информацию по поводу своих вирусов и как их лечить.
Автор: krukoff
Дата сообщения: 03.07.2006 09:14
Paukkk

Цитата:
Может посоветуете, чем полечить можно?

Переустановкой ОС с предшествующим форматированием HDD.
Автор: AlexPC2
Дата сообщения: 03.07.2006 13:16
Тот вирус Дрвеб не берет там спец прожка идет на проверку
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
Автор: Mardrok
Дата сообщения: 03.07.2006 16:28
Paukkk
поставь себе SP2 и не мучайся. или заплатку от конкретного вируса.
з.ы. google решает ;)
Автор: Diabolik
Дата сообщения: 27.07.2006 09:03
Народ, срочно нужна помошь иначе меня...
У меня примерно та же проблема, но возникает не только в любое время, но и во время включения, причем завершает поочередно все процессы. На машинах стоит NOD32 - молчит! Проверил с помощью McAfee AVERT Stinger v2.6.0 и Kaspersky Clrav - тоже тишина!
Автор: Bezzz
Дата сообщения: 27.07.2006 12:37

Цитата:
Проверил с помощью

В safe mode?
Автор: XenoZ
Дата сообщения: 27.07.2006 13:34
2Paukkk

Цитата:
отформатировал жесткий диск, поставил все с нуля - проблема осталась

У тебя что, прямое подключение к И-нету или сеть? Так перед переустановкой надо было отключиться (лучше физически, т.е. выдернуть шнур из разъема). Перед лечением тоже весьма желательно. Насчет Касперского... не знаю... Его антихакер, когда его ставил, молча трояна (Backdoor.Berbew.N) пропустил, к-рый, кстати, тоже службу безопасности вышибает. Так его (трояна) NAV успел зацепить и обезвредить. После этого случая хакера убил и поставил Jetico Personal Firewall. Главное - грамотно его настроить. Я к тому, что если в сети сидишь или по И-нету ползаешь, на компе, IMHO, должны быть две вещи: хороший файер и антивир. И ставить/настраивать их желательно до подключения к сети/И-нету. Чем лечить?.. Можешь попробовать CureIt от DrWeb'а. Неплохой сканер, бесплатный и не требует инсталляции. Зверей этих он, в принципе, ловить должен. А виры, хоть и мелкие, но, как я читал про Backdoor на сайте Symantec'а, гадят по полной , и в реестр в том числе.

Добавлено:
Еще на тему: чем лечить?
Тут на форуме обуждается утилитка AVZ . Как я понял, под обычных вирей она не заточена, а червей, троянов и т.п. должна ловить хорошо. Опять же без инсталляции и бесплатна.
Автор: Diabolik
Дата сообщения: 31.07.2006 09:52
Bezzz
А что, это принципиально важно?
Автор: Bezzz
Дата сообщения: 31.07.2006 10:26
Diabolik
Да. Загружается критически необходимый минимум а это при лечении благо.
Причем, без поддержки сетевых сервисов.
И сетевой шнурок откинь на время - пока не установишь все критические обновления и какой нить фаерволл (или поставь SP2).
Lsass падает тока при наличие заразы.
И кстати, заразу эту мона удалить с помощью маленьких по объему программулек, специально для этого предназначенных (здесь).
Автор: bredonosec
Дата сообщения: 31.07.2006 11:22
Bezzz
klrav использовался уже, безрезультатно, о чем упомянуто парой постов выше.
Автор: Bezzz
Дата сообщения: 31.07.2006 11:44

Цитата:
klrav использовался уже

говорилось о

Цитата:
Kaspersky Clrav

2004 г.
Сейчас - лето 2006 г.
Надо юзать и софтины посвежее.
Автор: bredonosec
Дата сообщения: 31.07.2006 11:53

Цитата:
Kaspersky Clrav

2004 г.
Сейчас - лето 2006 г.
Надо юзать софтины посвежее
- симптомы бластеровские. "более новые", если заметил, относятся к другим вирям. Лекарство должно лечить болезнь, которой болеет пациент, а не быть обязательно новым.
Автор: Bezzz
Дата сообщения: 31.07.2006 12:00

Цитата:
симптомы бластеровские

Перезагрузка симптом?
Есть вири и посвежее, которые тоже умеют перезапускать зараженную систему. При наступлении некоторых условий.
Автор: bredonosec
Дата сообщения: 31.07.2006 12:12

Цитата:
Перезагрузка симптом?


Цитата:
Неожиданно завершен системный процесс c:\windows\system32\lsass.exe"


Цитата:
Есть вири и посвежее, которые тоже умеют перезапускать зараженную систему. При наступлении некоторых условий.
Знаешь хоть приблизительно, кто это может быть? Или предлагаешь ставить всё подряд авось что-то поможет? так ведь и в гугл послать можно - типа там всё есть.
Автор: Bezzz
Дата сообщения: 31.07.2006 12:21
bredonosec
Diabolik говорил про

Цитата:
Неожиданно завершен системный процесс c:\windows\system32\lsass.exe"

или все же было сказано

Цитата:
У меня примерно та же проблема, но возникает не только в любое время, но и во время включения

?

Цитата:
Или предлагаешь ставить всё

От тебя, как всегда, блаблабла. Где было такое сказано?

И кстати, если бы это был бы бластер (lovesan, lovsan, blaster, msblast, poza) - Clrav вполне было бы достаточно

Diabolik
еще removal tools
Автор: bredonosec
Дата сообщения: 31.07.2006 12:55

Цитата:
Где было такое сказано?
- тогда укажи, кто это по твоему мнению и какую конкретно приблуду предлагаешь ставить.
Пока же пустое бла-бла.
Автор: Bezzz
Дата сообщения: 31.07.2006 13:23

Цитата:
какую конкретно

Еще раз читать пост (текст в скобках). Глухим по два раза обедню не служат.
Автор: Diabolik
Дата сообщения: 31.07.2006 16:35
Bezzz
Я конечно поробую в safe mode, только я не то, что удалить не могу - я вообще найти ничего не могу! Типа все чисто, но глюки по компам все продолжают лезть!
Автор: Bezzz
Дата сообщения: 01.08.2006 06:35
Diabolik
Сделай repair, если нет sp2 - установи, установи фаерволл (типа Outpost firewall), обнови базы антивирусников. Хотя, возможно, дело не вире и не в шпиене (железо тоже болеет, та и дрова попадаются кривые). Посмотри логи - есть ли там варнинги или ерроры.
Автор: Flint3
Дата сообщения: 02.08.2006 06:52
Вот ещё подобная проблема. Комп подключён к сети. Через некоторое время после включения NOD32 (базы обновлены) начинает бить во все колокола- Обнаружен вирус Padador. NAU троян. Лезет с http:\\192.168.109.7 Причём комп к интернету в этот момент может быть и не подключен. Сетевой шнур, конечно, подключен. Даю команду NODу -блокировать. Выскакивает сообщение "LSA Shell (Export Version)- обнаружена ошибка. Оправить отчет?"
Отчет, конечно, не отправляю. Немного погодя выходит окошко и радует вестью что через минуту комп перезагрузится. (Неожиданно завершен системный процесс )
NOD32 утверждает что на винте вирусов нет.
Если вынуть сетевой шнур, все выше перечисленные прелести не возникают.
Как разобраться в этом ребусе? Мож кто поможет?
Автор: Bezzz
Дата сообщения: 02.08.2006 07:38

Цитата:
Лезет с http:\\192.168.109.7

На этом адресе случайно не стоит IIS5?

Цитата:
Если вынуть сетевой шнур, все выше перечисленные прелести не возникают

И не возникнут. :)
Padador заражает веб сервер (если там IIS). Если ты загружаешь страницу с такого сервера Explorer-ом - получаешь заразу (используется javascript)
Попробуй использовать другой браузер (например Firefox)

Автор: bredonosec
Дата сообщения: 02.08.2006 08:38
Flint3

Цитата:
Обнаружен вирус Padador. NAU троян. Лезет с http:\\192.168.109.7
- а для работы этот адрес нужен? 1, Если нет, попросту забанить можно.
2. Можно (меню ИЕ - tools - internet options - security) загнать его в зону "ограниченных" и там (для зоны) выставить запрет выполнения жабаскриптов.
3, а стеночка какая-нить стоит на машине? Если нет, желательно таки поставить. Во многих встроен контент-фильтеринг, то есть, сможешь более гибко применять запреты, или же (если стена использует базу вредных скриптов) отфильтровывать только их.

Автор: Flint3
Дата сообщения: 03.08.2006 08:31
Ни Опера ни Осёл даже не включены. А эта зараза всё равно пытается пролезть.
А каким образом она лезет, если даже в инет не вошёл? Неужели хватает чтобы сетевой шнур в компе торчал?
А что такое IIS?
Автор: Bezzz
Дата сообщения: 03.08.2006 08:45
Flint3
IIS - веб сервер
Если это действительно Padador - то при загрузке веб страницы IE с зараженного сервера (используя javascript)
Воспользуйся советами bredonosec.

Цитата:
Неужели хватает чтобы сетевой шнур в компе торчал?

В некоторых случаях этого бывает достаточно :)
Автор: Flint3
Дата сообщения: 03.08.2006 08:56

Цитата:
2. Можно (меню ИЕ - tools - internet options - security) загнать его в зону "ограниченных" и там (для зоны) выставить запрет выполнения жабаскриптов.

Можно ли подобное сотворить с Оперой?
Автор: Diabolik
Дата сообщения: 03.08.2006 11:52
Bezzz
Чего за логи и где находятся? И че за шпиены могут быть?
Автор: bredonosec
Дата сообщения: 03.08.2006 17:03

Цитата:
А каким образом она лезет, если даже в инет не вошёл?
- на всякий пожарный, глянь в реестре на тему ключа или папки с таким именем
Цитата:
http:\\192.168.109.7
- если оно там окажется - уточнить, какой проге/утилите соответствует родительская для ключа папка, возможно, придется убить не только этот ключ, но и связанные с прогой.
Возможно, какая-нить автозагружающаяся приблуда заражена. Более подробно можно будет сказать, если найдешь и уточнишь, где именно.

Цитата:
Чего за логи и где находятся
вероятно, имелся в виду журнал событий выни. Event log. Попасть туда - вроде через администрейтив тулз (имел бы под рукой хр, сказал бы точно)

Страницы: 12

Предыдущая тема: Надо восстанаваливать ОС (Windows XP)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.