» Windows XP и lsass.exe

Вообщем залил на машинку с двумя сетевухами windows XP, сетку настроил походу установки - фактически минуты через полторы комп ушёл в ребут (даже ещё не залогинился). Повторялось несколько раз - думал железо - поменял память, потом видюху, сетевухи правда не пробовал - итог такой же. Грузанулся в защищённом режиме - через некоторое время лазания по инету, вылетела табличка вида как с sassera про lsass.exe и NT авторизацию, пошёл обратный отсчёт и комп ушёл в ребут. Странно , что вот такая табличка вылетает не всегда http://losena.ru/xakep/cherv.jpg . А иногда просто ребутится и всё, вообще без всяких табличек. Особо если попробовать по локалке полазить. Поставил заплатку, нортон - обновил - всё проверил - нету вируса. Утилитка от каспия и мелкософта уверенно говорят, что нема родимого. Файрвол (поставил правда Аутпост - выяснил что он транзиты не пущает - может посоветуете файрвол под винду для сервака - а то я в них как свинья в апельсинах) отмечает факты атаки по соответсвующим для бластеров портам. В реестре обычных для sassera записей не обнаружил. С файлами в win32 тоже не густо. После установки патча и проверки перезагрузил и минут через 5 комп снова улетел в ребут. без всяких надписей. В логах пусто. Правда вечером перестал вываливаться. есть мысль что это связано с тем, что много народу по ночам спят и их заражённые компутеры тоже Вообщем сиё скорее железо или мне посчастливилось столкнуться с какой-то новой разновидностью этого долбаного червя?

P3/256/maxtor60(распечатал утром)/мамка asus на VIA(модель утром гляну - сейчас арендаторы уже свалили). /nvidia vanta + две сетевухи 3com (кажется 3c905 обе)

alexxxss
http://securityresponse.symantec.com/avcenter/FxSasser.exe

Цитата:

Файрвол (поставил правда Аутпост - выяснил что он транзиты не пущает - может посоветуете файрвол под винду для сервака - а то я в них как свинья в апельсинах

http://forum.ru-board.com/topic.cgi?forum=8&topic=0352#1
можно еще попробовать так

Цитата:

1.from your computer > Run > type "services.msc"
2.dbl click on RPC call
3.change all the failure settings to "restart the service"

но очень похоже, что это Sasser

Цитата:

What You Should Know About the Sasser Worm and Its Variants:
http://www.microsoft.com/security/incident/sasser.asp
Apply MS Security Bulletin:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
Use One of the Following Removal Tools to Delete the Virus:
======================================
1) Sasser (A-F) Worm Removal Tool (KB841720) >> http://www.microsoft.com/downloads/details.aspx?familyid=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en
2) FxSasser.exe.from Symantec >> http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html
3) Stinger from McAfee >> http://vil.nai.com/vil/stinger/
4) SysClean PACKAGE from TrendMicro >> http://www.trendmicro.com/download/dcs.asp
5) SASSGUI\SASSSFX from Sophos >> http://www.sophos.com/support/disinfection/sasser.html
6) ClnSasser from Computer Associates >> http://www3.ca.com/Files/VirusInformationAndPrevention/clnsasser.zip
7) F-Sasser from F-Secure >> http://www.f-secure.com/tools/f-sasser.zip
8) SasserFix2 from Norman >> http://www.norman.com/Virus/Virus_removal_tools/14938
9) QuickRemover from Panda >> http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=sol&idvirus=46865
---------------------------------------------------------
NOTE: plzz see the Relevant Sites for FULL Instructions on Removal in the First Link Before using the Tools

Cheery
Спасибо. Всё же червяк - я его правда так и не нашёл, но проделав всё с симантека - проблема перестала беспокоить. Всё таки симантек рулит

Честно говоря не знаю относится ли это к поднятой теме, но всё же - по фильтр нашёл тока это.

При лазании по инету с помощью Opera вываливается окошечко

lsass.exe - Application Error
.... The memory couldn't be "read"

Две кнопкм
Нажимаешь OK - появляется count down
The system is shutting down ...
NT AUTHORITY\SYSTEM ну и благополучно перезагружаемся

Нажимаешь Debug - ну примерно тот же эффект тока он открывает состояние ассемблерной проги в дебагере по умолчанию. Нижимаешь break появляется count down

Если ничего не нажимать - работает так же само, что я уже второй день и делаю

Кроме того AVP монитор находит в ...\system32\TFTP1376 Worm.LoveSan
Эт действительно вирус или просто сигнатуры совпадают

И что делать с lsass.exe - Application Error


Добавлено
Сорри, вопрос снят - если у кого-то что-то

http://dialup.mtu.ru/intel_users/worm.shtml

Cheery

Цитата:

Sasser (A-F) Worm Removal Tool (KB841720) >> http://www.microsoft.com/downloads/details.aspx?familyid=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en

Подскажите прямые ссылки на хотфикс KB841720 под русские и английские версии Windows XP и Windows 2000 .

alexxxss

объясни пожалуйста как нужно правильно сделать то что написанно на симантеке.
спасибо

XP2 Sp2 Prof перезагружается... причина lsass.exe антивирус ничего не говорит.... поставлена заплатка против Sasser но не помогает что-то... фича появлась после удаления каспера и установке НОДа... что делать не знаю... посоветуйте...

Windows XP
Появляется окно NT AUTHORITY\SYSTEM идет отчет
потом система перезагружается
после перезагрузки появляется
LSA Shell (Export Version) вызвало проблему и требует завершения lsass.exe
происходит несколько раз в день
антивирусники не находят вирус, проверял каспером и нодом
Переустановка системы не помогает
комп на работе подключенный к локальной сети
админ не знает в чем проблема
происходит только на моем компе
Помогите разобратся

Brik
как правило sp1 заражается в сети буквально сразу после установки, комп был подключен к сети в момент установки винды ? остальные могут просто болеть и не вызывать ребута, может и сам дистриб "заражённый", правда такова ещё не встречал )

стоит SP2, обновления автоматически
Да, комп подключен к сети во время установки

Значит, ничего нельзя сделать?
Как определить какой комп заражен?
Админ проверял компы в сети на наличие вирусов
Сказал, что все чисто

Цитата:

Да, комп подключен к сети во время установки

вообще-то лучше делать это с отключенным сетевым кабелем. Вплоть до окончания установки последних фиксов/антивиря/стенки (короче, пока защита не будет полной)

Цитата:

Значит, ничего нельзя сделать?
Как определить какой комп заражен?

у касперыча на сайте мелкий утиль для убийства вирей есть. Там, по идее, и для данного было.
http://www.kaspersky.ru/removaltools

Да, насчет стенки - помнится мне, какие-то сплойты позволяли через 445 порт ребутить в локалке комп. То есть, есть смысл закрыть его стеной.
Равно как и 139й (надеюсь, шариться нет необходимости?)

Brik
http://securityresponse.symantec.com/avcenter/FixBlast.exe
http://securityresponse.symantec.com/avcenter/FxSasser.exe
пройдись обоими утилитками
поставиьт заплатки

Установил стенку, заблокировал порты.
Оказалось, что идут атаки с компьютера моего начальника отдела, примерно через каждые 10 минут.
У него стоит нод32, плюс проверили каспером и утилитками
Вирусов у него не нашли
Атаки не прекращаются, хорошо хоть сейчас у меня outpost стоит и блокирует их

Переустановили систему на компьютере с которого идут атаки

Атаки не прекращаются.
А могут быть атаки из-за общего принтера идти?

У него локально принтер установлен, а у меня доступ по сетке к нему настроен.
атаки идут на порты 139, 445 и 2048

Цитата:

атаки идут на порты 139, 445 и 2048

139 - NETBIOS Session Service - доступ к файлошарам, довольно часто юзается как потенциальная дыра всяким зверьем.
445 - Microsoft-DS - на винНТ/2к/ХР (и по ТСР и по УДП) - тож очень популярный порт для атак, рекомендуется вообще его закрывать во избежание проблем с атакуемой RemoteProcedureCall (RPC) службой
dls-monitor    2048/tcp/udp (не знаю, кто таков)

Цитата:

А могут быть атаки из-за общего принтера идти?

Вообще-то
[more=много]35/tcp any private printer server
35/udp any private printer server
npp 92/tcp Network Printing Protocol
npp 92/udp Network Printing Protocol
print-srv 170/tcp Network PostScript
print-srv 170/udp Network PostScript
printer 515/tcp spooler
printer 515/udp spooler
ipp        631/tcp IPP (Internet Printing Protocol)
ipp        631/udp IPP (Internet Printing Protocol)
pdps        1314/tcp Photoscript Distributed Printing System
pdps 1314/udp Photoscript Distributed Printing System
iclpv-pm 1392/tcp Print Manager
iclpv-pm 1392/udp Print Manager
kme-trap-port 2081/tcp KME PRINTER TRAP PORT
kme-trap-port 2081/udp KME PRINTER TRAP PORT
eapsp        2291/tcp EPSON Advanced Printer Share Protocol
eapsp        2291/udp EPSON Advanced Printer Share Protocol
ndl-aps 3096/tcp Active Print Server Port
ndl-aps 3096/udp Active Print Server Port
printer_agent    3396/tcp Printer Agent
printer_agent    3396/udp Printer Agent
pwgpsi 3800/tcp Print Services Interface
pwgpsi 3800/udp Print Services Interface
prnrequest 3910/tcp Printer Request Port
prnrequest 3910/udp Printer Request Port
prnstatus 3911/tcp Printer Status Port
prnstatus 3911/udp Printer Status Port
jprinter    5309/tcp J Printer
jprinter     5309/udp J Printer
xprint-server 8100/tcp Xprint Server
xprint-server 8100/udp Xprint Server
pdl-datastream 9100/tcp Printer PDL Data Stream
pdl-datastream 9100/udp Printer PDL Data Stream [/more] всяких портов на принтеры завязано, но в стандартном случае таки да - порты 137,138,139 и 445 предлагают открытыми держать

люди, а как с этой же дрянью бороться под 2003 сервер?
симантик
Цитата:

http://securityresponse.symantec.com/avcenter/FixBlast.exe
http://securityresponse.symantec.com/avcenter/FxSasser.exe

ни один ничего не нашёл

Меня попросили помочь с подобной бедой, но так и не могу ничего сделать: комп просто не доходит до рабочего состояния, пишал что-то естесственно с lsass.exe (более точным - C:|WINDOWS\system32\lsass.exe) и уходил в ребут. Прошелся с загрузочного диска разными антивирями - чисто. Разные утилитки из-под ДОСа позапускал проверить регистри (только один основной юзер и четыре системных какие мелкософт запускает при установке, юзер без пароля, кстати, загрузить рековери консоль не дает) - нет вопросов. После всего пробовал перезагрузиться - вообще зависает даже в безопасном режиме: черный экран (в безопасном режиме по сторонам надписи "безопасный режим" и "ВиндовзXP-SP2 с цифирями") и курсор от мышки (елозит, правда)... И все!
Переставлять систему - крайний вариант, потому что куча всего там понаставлено и много вариантов убить вообще всю инфу на диске (люди - чайники, понапихано там всего до кучи). Кроме того, у них похоже HOME версия, лицензионная купленная вместе с компом (а уменя только сидюк с корпоративной ПРО)...
Кто чего подскажет - куда рыть, где искать?
Добавлю - "предыдущий" режим при запуске не отрабатывает. Возможно, убита совсем служба lsass, но как ее восстановить тогда? Другой системы нет.

sshr
я со своей проблемой справился установкой стенки
теперь на серваке фаер переодически пищит про сетевые атаки, сканирование портов и т.п.
зато до лсасса дело не доходит
уже неделю пашет без нареканий (раньше больше 7 часов без перегрузок не работало)

попробуй выдернуть сетевой кабель и посмотреть, сколько машина проработает

может дело конечно и не в сети, но "попытка - не пытка"

удачи

Так работала бы - поставлю стенку! Хотя мелкософтовский стоял, SP2 стоит... Не запускается система! Будем искать русский Хоум с SP2 инсталлятор - накатывать поверх. Кажись, других вариантов никто не предлагает. Английского им не надо

Здравствуйте, на форуме впервые, очень нужнв помощь.
На родительском компьютере произошла такая проблема. При включении компьютера (стоит сп2, экспишка) после окна добро пожаловать выскакивает окно lsass.exe, после него Application Erorr, после нажатия OK комп перезагружается и так до бесконечности, через безопасный режим не заходит в систему, в интернее никакого определенного решения найти не удается, Оч надеюсь на вашу помощь, Родители просят придти помочь а я теряюсь в решении данной проблемы, неужели придется сносить систему и переустанавливать виндоус????
Заранее благодарна!