Сообщений в теме: 15

[zix]

Здравствуйте!

Не так давно установил windows 2003 Enterprise на голую машину. Установил UserGate, настроил сеть и сетевую на инет. Обычно машина не было по долгу включена и на ней что то да настраивалось. В итоге (сидел в асе переписывался) выскочила такая проблема..: выскакивает окошко, что необходимо перезагрузить компьютер, так как служба lsass что то там выполнила, после чего начинается обратный отчет и комп перегружается через минуту.. В логах занесено две ошибки:
первая - "Ошибка приложения lsass.exe версии ... , модуль lsasrv.dll версии ... адрес 0х000749bb", код ошибки 1000, категория 100.
вторая - "Критический системный процесс c:\windows\system32\lsass.exe завершился ошибкой с кодом состояния с0000354 Необходимо перезагрузить этот компьютер", код ошибки 1015, Источник Winlogon.

На вирус конечно похоже.. но проверял и ни чего не нашёл..
На систему ставил только MUI для русского и какая то прошивка от Микрософта от вируса w32.blaster.worm (на диске была)

куда копать не знаю..
пробовал обновиться на update.microsoft.com, но там ничего толкового добиться не смог..

может кто сталкивался или просто будут соображения куда копать..?
тут, на форуме, пересмотрел темы - ни чего подобного не вижу.. а ставить машину под сервак надо, с ежечасной перезагрузкой равносильно моей погибели

[Yezhishe]

Это вирус... Увы, не помню уже, как зовут, но суть в том, что он перехватывает управление удалённым вызовом процедур (RPC)... Пока не вылечил - иди в Службы, и выставь службу на перезапуск, а не перезагрузку компьютера...

Прикрепленные файлы

•  Services.JPG   188,79К   115 Количество загрузок:

[zix]

Yezhishe (11.06.2006, 07:44) писал:

Это вирус... Увы, не помню уже, как зовут, но суть в том, что он перехватывает управление удалённым вызовом процедур (RPC)... Пока не вылечил - иди в Службы, и выставь службу на перезапуск, а не перезагрузку компьютера...

спасибо.

а чем его можно попробовать изъять из системы?
проверял AVG - сказал, что всё отлично.. хочу попробовать Нортон антивирус 2004 или 2005 поставить..
просто думаю, что надо как то извести эту заразу, а не сделать её незаметной только.

какие мысли?

[*Trojan*]

Нортон корпарейт едишен 2003 с последнем обновлением эту дрянь не ловил =(. У меня такая проблема была когда 2000 юзал, обсалютно таже ситуация была.

[zix]

*Trojan* (11.06.2006, 20:58) писал:

Нортон корпарейт едишен 2003 с последнем обновлением эту дрянь не ловил =(. У меня такая проблема была когда 2000 юзал, обсалютно таже ситуация была.

т.е. единственный вариант усмирить эту заразу - это изменить реакцию службы?
а на что будет влиять перезагрузка RPC? И вообще в какиих задачах она учавствует кроме основного своего предназначения?

[Yezhishe]

Помнится, отловил я эту гадость при помощи NOD32... Но и то - NOD её лоцировал, но удалить не смог!... Мотивируя тем, что файл занят другим процессом... Пришлось ручками, в безопасном режиме, используя программку Unlocker, удалить тело... (очень уж переставляться не хотелось)

А задачи у RPC разнообразнейшие - посмотри в свойствах закладку "Зависимости"... И перезагрузка службы ни к чему плохому не приведёт - только стабильнее станут выполнятся зависимые от неё задачи ...



P.S. Полторы головы сломал, пытаясь вспомнить, как зовут эту мерзость... Вроде бы Sasser... На всякий случай пробую положить утилитки для лечения... Найденную несколько позже...

 FxSasser.rar   142,17К   229 Количество загрузок:

Сообщение отредактировал Yezhishe: 12 Июнь 2006 - 05:48

[zix]

Yezhishe (12.06.2006, 05:48) писал:

Помнится, отловил я эту гадость..., ... смог!... ...не хотелось) ...

благодарю за помощь
завтра-послезавтра буду смотреть на практике, о результатах отпишусь

[Yezhishe]

На всякий случай загляни ещё сюда и вот сюда, слей свеженькие утилитки для обнаружения\удаления этаких вот пакостных мелочей... Там хотя бы свежие версии оных утилиток есть, а также онлайн-скан можно сделать ...

[zix]

Yezhishe (12.06.2006, 14:26) писал:

На всякий случай загляни ещё сюда и вот сюда, слей свеженькие утилитки для обнаружения\удаления этаких вот пакостных мелочей... Там хотя бы свежие версии оных утилиток есть, а также онлайн-скан можно сделать ...

теперь дома с инетом проблема была не ответить было..
в общем сегодня поставил реакцию на ошибку другую и вроде как несколько часов работал без проблем сервак.
проверил той примочкой от сассера - ни чего не нашёл он.

спасибо, если что накопаю - сообщу тут
удачи

[Saule]

zix (15.06.2006, 18:41) писал:

в общем сегодня поставил реакцию на ошибку другую и вроде как несколько часов работал без проблем сервак.
проверил той примочкой от сассера - ни чего не нашёл он.

Похожий топик:
http://www.softboard...showtopic=35946

Вирусов, использующих уязвимость LSASS более сотни, Sasser уже давно не так актуален.
И изменение реакции на ошибку, к сожалению, сам вирус не убивает.

P.S. И еще маленький дружеский совет: не меняй AVG на Norton
И вообще, если нужен бесплатный, лучше выбери BitDefender или avast!.
А свой вирус удаляй Вебом - Dr.Web CureIt!.

[Yezhishe]

Изменение реакции хотя бы даст время отыскать и прикончить эту гадость ...

[zix]

этим и руководствовался, изменяя реакцию при ошибке службы

P.S. И еще маленький дружеский совет: не меняй AVG на Norton

случайно отправил)

почему не советуешь менять AVG на Norton? Какие с этим антиваром сложности? Просто спрашиваю потому что мне Norton всегда казался более серьезным чтоли..комплексным..

и еще.. есди уж зашла об антиварах реч, то как вы относитесь к NOD32? с моей не бурной практикой, так еще и не разу не попробовал.., но не редко читаю, что советуют именно его почему то

[Saule]

zix (16.06.2006, 06:37) писал:

почему не советуешь менять AVG на Norton? Какие с этим антиваром сложности? Просто спрашиваю потому что мне Norton всегда казался более серьезным чтоли..комплексным..

и еще.. есди уж зашла об антиварах реч, то как вы относитесь к NOD32? с моей не бурной практикой, так еще и не разу не попробовал.., но не редко читаю, что советуют именно его почему то

Вот в этом посте есть моя точка зрения по поводу Нортона:
http://www.softboard.ru/index.php?s=&showt...ndpost&p=268273

И еще добавлю..
У него очень редкие обновления, я бы даже сказала слишком редкие! По части реакции на вознекновение новой заразы, просто сверхтормозной(( Иногда проходит целый месяц (!), пока Symantec соезволит добавить новую сигнатуру в свою вирусную базу (и всё это время их клиенты остаются уязвимыми для нового вируса). Я извиняюсь, но так работать нельзя И Symantec необходимо всерьез над этим задуматься... Технологии идут вперед, и Нортон уже давно за ними, к сожалению, просто не успевает. Но с другой стороны, зачем напрягатся, если их продукт и так все с удовольствуем покупают? Имя то есть...
Плюс у Нортона очень слабенький эмулятор, его очень легко "обдурить"; проблемы с упаковщиками (просто многое не распознаeт); и он совершенно не умеет корректно лечить
Да, года 2 назад этот антивирус действительно был на высоте, но сейчас...


Что касается Нода... Уважаю!
Самый качестенный эмулятор. Называю его одним словом - прелесть
Очень выделяется среди других антивирусом благодаря высокой скорости сканирования - самый быстрый. При чем в данном случае быстрая скорость сканирования никак не отражается на его качестве.
Ставить можно смело.

[zix]

Saule (16.06.2006, 09:14) писал:

И еще добавлю..

премногоблагодарен

остаётся найти ентот NOD и поставить..

[Saule]

zix (16.06.2006, 08:19) писал:

премногоблагодарен

остаётся найти ентот NOD и поставить..

Именно поэтому я и обратила твоё внимание именно на бесплатные антивирусы для домашних компьютеров, которые тоже совсем даже не плохи, особенно BitDefender
NOD32 стоит $39 в год. "Патчить"/"крякать"/"ломать" я его очень не рекомендую.

Ну и его триал версия на месяц, чтобы можно было попробывать:
http://www.nod32russ...nload/trial.htm

В любом случае - всё в твоих руках. Удачи

[zix]

Saule (16.06.2006, 11:09) писал:

NOD32 стоит $39 в год. "Патчить"/"крякать"/"ломать" я его очень не рекомендую.

Ну и его триал версия на месяц, чтобы можно было попробывать

почему не рекомендуешь? работаешь там? шутка

триал уже скачен был, но спасибо


В общем дела обстоят следующим образом:
проверил всю что было др.Вебом

Цитата

А свой вирус удаляй Вебом - Dr.Web CureIt!.

в безопасном режиме - ни чего не нашёл.. АВГ молчит, аки партизан, парадируя НОД..

в общем я немного в замешательстве, но пока на ногах..
поставил OutPost FireWall и UserGate (встроенный firewall отключил) - планируется инет через эту машину пустить и сделать файл сервер для 1С на ней.. Думаю, если зараза таки есть, то через firewall не должна пройти. Главное что бы она в системе ни чего не портила. хотя конечно тут лучше не гадать, а избавляться от неё.

в связи с этим возникли некоторые другие вопросы.
1. сильно ли загружает прокси сервер и файрвол машину (если учитывать что с ней же будут работать порядка 5-6 пользователей 1С и примерно 20 пользователей интернета) ?
2. не смотря на запоздалость обновлений, разумно ли ставить Нортон Корпорейт антивирус?
бытует мнение, что в плане лицензий (как сервер лицензий для пользователей) довольно удобная штука
3. Есть ли еще какие либо корпоративные антивирусы приятные в плане удобств?
просто появляться рядом с сервером буду не чаще раза-двух в две недели и хочу подобрать софт так, что бы он как можно более красиво подходил в плане защиты и обновлений оной
4. вопрос возможно не совсем для этого раздела.., но всё же. Посоветуйте пожалуйста какие нить железячные firewall'ы, бюджет порядка 200-300 линкольнов ($). по питеру в основном вижу d-link, но на сколько знаю их переодически приходятся "перезагружать", ибо клинит там что то. Во всяком случае у нас точку доступа D-Link переодически лечат именно так.

всем спасибо, за идеи и поддержку