» Периодическая перезагрузка WinXP

Переустановил ОС, примерно ч/з 5-10 минут после включения компа появляется сообщение "LSA Shell - обнаружена ошибка. Оправить отчет?" Далее появляется окно "Завершение работы системы. Отключение вызвано NT AUTHORITY\SYSTEM Неожиданно завершен системный процесс c:\windows\system32\lsass.exe"
Отменить перезагрузку нельзя, происходит через минуту после появления этого сообщения.
Думал, может криво винду поставил, отформатировал жесткий диск, поставил все с нуля - проблема осталась. Может кто-то сталкивался с подобным?

ОС - Windows XP Pro, никаких сервиспаков, антивирусников, вообще ничего, кроме ОС.

Paukkk

Цитата:

Завершение работы системы. Отключение вызвано NT AUTHORITY\SYSTEM Неожиданно завершен системный процесс c:\windows\system32\lsass.exe

В сети работал? Был такой вирус, Blaster. Ставь SP-2, антивирусную программу.

krukoff
Спасибо

Добавлено:
Интересно ведет себя этот вирус...
Поставил DrWeb - тот 1 инфицированный файл нашел, удалил, говорит, остальное все в порядке. При перезагрузке ситуация повторилась, явно вирус не удалился.

Поставил Касперского, тот много чего нашел, удалил, вылечил, чего-то даже в реестре подправил, написал, что все теперь ОК.
Около часа все действительно было ОК, а затем опять эта системка об ошибке и опять перезагрузка

Может посоветуете, чем полечить можно?

Paukkk
поставь symantec и проверяй в безопасном режиме. Почитай информацию по поводу своих вирусов и как их лечить.

Paukkk

Цитата:

Может посоветуете, чем полечить можно?

Переустановкой ОС с предшествующим форматированием HDD.

Тот вирус Дрвеб не берет там спец прожка идет на проверку
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Paukkk
поставь себе SP2 и не мучайся. или заплатку от конкретного вируса.
з.ы. google решает ;)

Народ, срочно нужна помошь иначе меня...
У меня примерно та же проблема, но возникает не только в любое время, но и во время включения, причем завершает поочередно все процессы. На машинах стоит NOD32 - молчит! Проверил с помощью McAfee AVERT Stinger v2.6.0 и Kaspersky Clrav - тоже тишина!

Цитата:

Проверил с помощью

В safe mode?

2Paukkk

Цитата:

отформатировал жесткий диск, поставил все с нуля - проблема осталась

У тебя что, прямое подключение к И-нету или сеть? Так перед переустановкой надо было отключиться (лучше физически, т.е. выдернуть шнур из разъема). Перед лечением тоже весьма желательно. Насчет Касперского... не знаю... Его антихакер, когда его ставил, молча трояна (Backdoor.Berbew.N) пропустил, к-рый, кстати, тоже службу безопасности вышибает. Так его (трояна) NAV успел зацепить и обезвредить. После этого случая хакера убил и поставил Jetico Personal Firewall. Главное - грамотно его настроить. Я к тому, что если в сети сидишь или по И-нету ползаешь, на компе, IMHO, должны быть две вещи: хороший файер и антивир. И ставить/настраивать их желательно до подключения к сети/И-нету. Чем лечить?.. Можешь попробовать CureIt от DrWeb'а. Неплохой сканер, бесплатный и не требует инсталляции. Зверей этих он, в принципе, ловить должен. А виры, хоть и мелкие, но, как я читал про Backdoor на сайте Symantec'а, гадят по полной , и в реестр в том числе.

Добавлено:
Еще на тему: чем лечить?
Тут на форуме обуждается утилитка AVZ . Как я понял, под обычных вирей она не заточена, а червей, троянов и т.п. должна ловить хорошо. Опять же без инсталляции и бесплатна.

Bezzz
А что, это принципиально важно?

Diabolik
Да. Загружается критически необходимый минимум а это при лечении благо.
Причем, без поддержки сетевых сервисов.
И сетевой шнурок откинь на время - пока не установишь все критические обновления и какой нить фаерволл (или поставь SP2).
Lsass падает тока при наличие заразы.
И кстати, заразу эту мона удалить с помощью маленьких по объему программулек, специально для этого предназначенных (здесь).

Bezzz
klrav использовался уже, безрезультатно, о чем упомянуто парой постов выше.

Цитата:

klrav использовался уже

говорилось о

Цитата:

Kaspersky Clrav

2004 г.
Сейчас - лето 2006 г.
Надо юзать и софтины посвежее.

Цитата:

Kaspersky Clrav

2004 г.
Сейчас - лето 2006 г.
Надо юзать софтины посвежее

- симптомы бластеровские. "более новые", если заметил, относятся к другим вирям. Лекарство должно лечить болезнь, которой болеет пациент, а не быть обязательно новым.

Цитата:

симптомы бластеровские

Перезагрузка симптом?
Есть вири и посвежее, которые тоже умеют перезапускать зараженную систему. При наступлении некоторых условий.

Цитата:

Перезагрузка симптом?

Цитата:

Неожиданно завершен системный процесс c:\windows\system32\lsass.exe"

Цитата:

Есть вири и посвежее, которые тоже умеют перезапускать зараженную систему. При наступлении некоторых условий.

Знаешь хоть приблизительно, кто это может быть? Или предлагаешь ставить всё подряд авось что-то поможет? так ведь и в гугл послать можно - типа там всё есть.

bredonosec
Diabolik говорил про

Цитата:

Неожиданно завершен системный процесс c:\windows\system32\lsass.exe"

или все же было сказано

Цитата:

У меня примерно та же проблема, но возникает не только в любое время, но и во время включения

?

Цитата:

Или предлагаешь ставить всё

От тебя, как всегда, блаблабла. Где было такое сказано?

И кстати, если бы это был бы бластер (lovesan, lovsan, blaster, msblast, poza) - Clrav вполне было бы достаточно

Diabolik
еще removal tools

Цитата:

Где было такое сказано?

- тогда укажи, кто это по твоему мнению и какую конкретно приблуду предлагаешь ставить.
Пока же пустое бла-бла.

Цитата:

какую конкретно

Еще раз читать пост (текст в скобках). Глухим по два раза обедню не служат.

Bezzz
Я конечно поробую в safe mode, только я не то, что удалить не могу - я вообще найти ничего не могу! Типа все чисто, но глюки по компам все продолжают лезть!

Diabolik
Сделай repair, если нет sp2 - установи, установи фаерволл (типа Outpost firewall), обнови базы антивирусников. Хотя, возможно, дело не вире и не в шпиене (железо тоже болеет, та и дрова попадаются кривые). Посмотри логи - есть ли там варнинги или ерроры.

Вот ещё подобная проблема. Комп подключён к сети. Через некоторое время после включения NOD32 (базы обновлены) начинает бить во все колокола- Обнаружен вирус Padador. NAU троян. Лезет с http:\\192.168.109.7 Причём комп к интернету в этот момент может быть и не подключен. Сетевой шнур, конечно, подключен. Даю команду NODу -блокировать. Выскакивает сообщение "LSA Shell (Export Version)- обнаружена ошибка. Оправить отчет?"
Отчет, конечно, не отправляю. Немного погодя выходит окошко и радует вестью что через минуту комп перезагрузится. (Неожиданно завершен системный процесс )
NOD32 утверждает что на винте вирусов нет.
Если вынуть сетевой шнур, все выше перечисленные прелести не возникают.
Как разобраться в этом ребусе? Мож кто поможет?

Цитата:

Лезет с http:\\192.168.109.7

На этом адресе случайно не стоит IIS5?

Цитата:

Если вынуть сетевой шнур, все выше перечисленные прелести не возникают

И не возникнут. :)
Padador заражает веб сервер (если там IIS). Если ты загружаешь страницу с такого сервера Explorer-ом - получаешь заразу (используется javascript)
Попробуй использовать другой браузер (например Firefox)

Flint3

Цитата:

Обнаружен вирус Padador. NAU троян. Лезет с http:\\192.168.109.7

- а для работы этот адрес нужен? 1, Если нет, попросту забанить можно.
2. Можно (меню ИЕ - tools - internet options - security) загнать его в зону "ограниченных" и там (для зоны) выставить запрет выполнения жабаскриптов.
3, а стеночка какая-нить стоит на машине? Если нет, желательно таки поставить. Во многих встроен контент-фильтеринг, то есть, сможешь более гибко применять запреты, или же (если стена использует базу вредных скриптов) отфильтровывать только их.

Ни Опера ни Осёл даже не включены. А эта зараза всё равно пытается пролезть.
А каким образом она лезет, если даже в инет не вошёл? Неужели хватает чтобы сетевой шнур в компе торчал?
А что такое IIS?

Flint3
IIS - веб сервер
Если это действительно Padador - то при загрузке веб страницы IE с зараженного сервера (используя javascript)
Воспользуйся советами bredonosec.

Цитата:

Неужели хватает чтобы сетевой шнур в компе торчал?

В некоторых случаях этого бывает достаточно :)

Цитата:

2. Можно (меню ИЕ - tools - internet options - security) загнать его в зону "ограниченных" и там (для зоны) выставить запрет выполнения жабаскриптов.

Можно ли подобное сотворить с Оперой?

Bezzz
Чего за логи и где находятся? И че за шпиены могут быть?

Цитата:

А каким образом она лезет, если даже в инет не вошёл?

- на всякий пожарный, глянь в реестре на тему ключа или папки с таким именем
Цитата:

http:\\192.168.109.7

- если оно там окажется - уточнить, какой проге/утилите соответствует родительская для ключа папка, возможно, придется убить не только этот ключ, но и связанные с прогой.
Возможно, какая-нить автозагружающаяся приблуда заражена. Более подробно можно будет сказать, если найдешь и уточнишь, где именно.

Цитата:

Чего за логи и где находятся

вероятно, имелся в виду журнал событий выни. Event log. Попасть туда - вроде через администрейтив тулз (имел бы под рукой хр, сказал бы точно)