Restartující XP-lsass.exe

[Bathory]

Posledních pár dní mi začal systém odpočítávat a restartovat podobným způsobem, jako to dělal kdysi Blaster. Zjistil jsem, že to vyvolává soubor lsass.exe, který je v adresáři Windows\system32. Na netu se o tom dost píše, ale vše se stahuje k Win 2000, zatím co já mám XP-Pro SP1.
Není pro mě problém, tyhle restarty zarazit např. přes firewall nebo ve službách systému, ale zajímalo by mě, jak to vzniká?

[miho]

Posledních pár dní mi začal systém odpočítávat a restartovat podobným způsobem, jako to dělal kdysi Blaster. Zjistil jsem, že to vyvolává soubor lsass.exe, který je v adresáři Windows\system32. Na netu se o tom dost píše, ale vše se stahuje k Win 2000, zatím co já mám XP-Pro SP1.
Není pro mě problém, tyhle restarty zarazit např. přes firewall nebo ve službách systému, ale zajímalo by mě, jak to vzniká?

lsass to je systemova sluzba zajistujici autorizaci local security authority service nebo tak nejak.
Pise ti to neco do logu? neni ten lsass nejaky svindl (stejne jmeno, jiny adresar)? Orig. lsass ma byt ve windows/system32 pripadne i v /dllcache a ma mit cca 11KB

[random]

S niecim podobnim som mal nedavno problem aj ja ...... pocitac ani nenastartoval a vypisal chybu v module lsass ...... nakoniec som zitil ze to bolo pamatami... prisla mi cela seria pamate A-data ktore neboli moc funkcne .....
Mozes sa pozriet ... pisal som o tom v rubrike operacne systemi microsoft...!!!!
Cim to bude u teba neviem ....., ale ked sa to dozvies urcite daj vediet .... uz som sa stouto chybou stretol niekolko krat .... aj pri inich prilezitostiach ....

[Bathory]

lsass to je systemova sluzba zajistujici autorizaci local security authority service nebo tak nejak.
Pise ti to neco do logu? neni ten lsass nejaky svindl (stejne jmeno, jiny adresar)? Orig. lsass ma byt ve windows/system32 pripadne i v /dllcache a ma mit cca 11KB

EDIT:

Švindl to nebude, spouští se z Windows\sytem32 a má asi 11,5 kb. Takže dnes už po třetí. Projel jsem komp antivirákem a novým updatem, použil jsem antispy programy a nic nenašly.
*********************
V okénku je napsáno toto:Probíhá vypnutí systému.Uložte všechny rozpracované soubory a odhlaste se.Neuložené soubory budou ztraceny.Vypnutí vyvolal NT AUTHORITY\SYSTEM.
Zpráva. Systémový proces C:\Windows\system32\lsass.exe neočekávaně skončil se stavovým kódem 128.Systém bude nyní ukončen a restartován.
*********************
Jinak s počítačem žádné problémy nemám, žádné samovolné pády nebo něco podobnýho.

[Bathory]

Už jsem našel alespoň 8 lidí, kterým to dělá taky a všem to začalo dělat buď dnes, nebo v posledním týdnu. To sem zvědavej, jakej Blaster junior z toho nakonec vyleze.

[Bathory]

Něco jsem našel:
http://slashdot.org/articles/04/05/01/1 ... 90&tid=201

[Lemra]

Víc najdeš třeba na

http://securityresponse.symantec.com/av ... .worm.html
http://www.microsoft.com/security/incident/sasser.asp

V ČR jich zatím moc nebude, sassera ještě ve sbírce nemám... pošleš (avserve.exe)... ? Dík!

[Bathory]

V ČR jich zatím moc nebude, sassera ještě ve sbírce nemám... pošleš (avserve.exe)... ? Dík!

Nevím kolik jich bude v Čechách, ale já ho v compu nemám, hledal jsem 2x.

Už sem stáhnul i záplatu a tak to za chvíli vyzkouším a budu informovat.

EDIT: Záplata funguje jenom pod Nortonem a já mám AVG.

Našel jsem další info:
http://www.virusy.sk/clanok.ltc?ID=512

EDIT2: Tohle vysvětluje, proč ho nemám v compu, firewall zabránil jeho uložení, protože jsem to zakázal, před restartem ale ne.
..............................
Pri snahe tohto červa preniknúť do vzdialeného nechráneného systému môže byť sprievodným javom zobrazenie dialógového okna, ktoré informuje používateľa o vzniku chyby na úrovni systémovej služby LSASS / LSA Shell, čoho následkom môže dochádzať k automatickému reštartu počítača.
..............................
Tahle záplata už by funguvat měla:
http://www.microsoft.com/technet/securi ... 4-011.mspx

[Budulman]

jak se šíří?
kámoška z Portugalska mi psala,že jsem ji poslal e-mail s nějakým virem,ale já jsem ji nic nepsal,počítač mám čistej,instalováno záplatu KB835732,
jak je to možné,že jí příjde e-mail,když nic nepošlu?

Díky za info
Budulman

[Bathory]

jak se šíří?
kámoška z Portugalska mi psala,že jsem ji poslal e-mail s nějakým virem,ale já jsem ji nic nepsal,počítač mám čistej,instalováno záplatu KB835732,
jak je to možné,že jí příjde e-mail,když nic nepošlu?

Díky za info
Budulman

Protože ti prošmejdil všechny mailový adresy a na každou se poslal tvým jménem. Projeď systém antivirem s novým updatem, jestli ho máš někde na disku, tak ho najde. Můžeš mít i něco jinýho.

Mě se Sassr na disk vůbec nedostal, tak mě alespoň resetil. Proto jsem ho antivirem nenašel.

[Budulman]

jak se šíří?
kámoška z Portugalska mi psala,že jsem ji poslal e-mail s nějakým virem,ale já jsem ji nic nepsal,počítač mám čistej,instalováno záplatu KB835732,
jak je to možné,že jí příjde e-mail,když nic nepošlu?

Díky za info
Budulman

Protože ti prošmejdil všechny mailový adresy a na každou se poslal tvým jménem. Projeď systém antivirem s novým updatem, jestli ho máš někde na disku, tak ho najde. Můžeš mít i něco jinýho.

Mě se Sassr na disk vůbec nedostal, tak mě alespoň resetil. Proto jsem ho antivirem nenašel.

no právě že mi nenašel nic,nikde,tak nechápu,jak se mohl poslat sám,nic se mi nereseti,tak tomu fakt nerozumím,,

[ManchesterUnited]

Tak sem mel dneska stejnej problem. Nastesti sem to uz vyresil. Diky za ty link co sou tady. Moc mi pomohli!!!

[Bathory]

no právě že mi nenašel nic,nikde,tak nechápu,jak se mohl poslat sám,nic se mi nereseti,tak tomu fakt nerozumím,,

To skoro vypadá, že se poslal z jinýho počítače, kde měl třeba kamarád tvoji adresu.

[aaa sasser]

aaaaaaaaaaaaaaaaaaaaa ja uz sem fuckt na dne z tohohle za*ranyho,po*elanyho viru,kazdou chvilinku se mit ot ted zase reseti a uz sem z toho na dne,nemuzu udelat nic natoz hledat nejakej programek proti tomu.. mel sem msblast nebo co to bylo a kamarad mi nasel update xpecek a bylo to v poho a ted mam tohle ,potrebuju jenom situ z ktery to muzu stahnout aaaaaa 41 ....37... aaaaaaaaaaaaaaaaaa zase reset

[aaa sasser]

sem tu zas,prave se mi resnul komp ta kmam zase aspon 2 minutky casu takze....aaaaaaaaaaa 54,49.....42....aaaaa zasee to neee,prosim dejte sem tu stranku a na co mam kliknout ..20 sekund uz to posilam snad to stihniu...

[aaa sasser]

ok tohle byl muj 24 restart dneska a sem z toho uplne na dne,jeste ze sem nasel tuhle stranku,protoze ste moje jedina ale uuuplnejedina zachrana a ja sem fuckt uz nestastnej..uz jenom cekam kdy to nabehne..omlouvam se ze spamuju ale ja to musim poslat jakmile mi schazi tak 20s do restartu...ted to vypada ze se to uklidni..ja ho dostal vcera ten vir a rek sem si ze to bude v poho,tak sem dneska naformatil a udelal komplet vsechno znova (vsechny programy-winamp,icq,nero,wincomander,AVG 6.0 atd atd...) a nakonec net a najednou sem ho tu mel znova takze vsechna prace uplne k nicemu..skousel sem ten vir mazat a dat ctrlaltdel a vypnout to ale nic-ja vim ze sem lama v pc ale vic me nenapadlo....aaaaaaa 35 ....neee prosim zejtra odpoledne sem pridu 24 tak skuste sem neco dat

[Shit]

http://download.microsoft.com/download/ ... 20-ENU.exe

[Shit]

Omluva za dvojí "příspěvek"......Závada je na straně ETDN - odesláno 2krát Pomohlo to?

[Bathory]

prosim zejtra odpoledne sem pridu 24 tak skuste sem neco dat

Co blázníš člověče, o pár příspěvků výš to tady máš už od 1.května i s odkazem. To ti to máme nainstalovat do PC?

[Slezman]

Přátelé,
mohu vám oznamit, že teď právě končí pracovní doba na VUT v Brně, Technická 2, protože tady s počítačema pípáme jak líheň kuřat, furt dokola.
Pokus admina o nainst. záplaty na mým kompu byl přerušen hajzlem Issas.exe, neúplná instalace = nenaběhnutí Win2000 a cyklický restart.
Má to teď tady každej, ušetřeni zůstali lidi s Win98.
Tak už tenhle kompl !!!!!
Takže se odpojuji, mějte se....

poslední rádio z porápějící se ponorky