lsass (!)
 

Имеется проблема. У знакомого на компе переодически выскакивает окошко с сообщением что служба lsass.exe была неожиданно остановлена по неизвестной причине и комп будет перезагружен через минуту. (я знаю что вы подумали - но читаем далее!) Это мне напомнило бласт, но только служба другая. После расспросов выяснилось, что винду несколько раз переставляли - эффект один. Переустановив лично я убедился, что трабла возникает, как правило, до установки дров. т.е. при первом запуске винды и проявляется в виде перезагрузок. Слазив в винет я выяснил, что это sasser. Скачал утилитку от симантек. и захватив заодно и аналог от каспера (FxSasser.exe - от 5го мая и clrav.com правда за 11 месяц прошлого года) отправился на лечение. обе утилиты написали что комп девственно чист и никакого сасера нет. Далее я открыл диспетчер задач и проверил наличие неизвесных процессов - их оказалось два. имена интересные: resetservice.exe и srvany.exe. Причем в запущенных службах оказалась такая как reset 5. Опять таки у меня такой нет. И название наводит на мысль, что это некий вирус, приводящий к перезагрузкам.
У чела WinXPPro русская с кряком. У меня англицкая с МУИ - корпоративка, соответственно службы могут отличатся, но я не думаю что так уж сильно.
службу я остановил - посмотрим на результат. Хлопцу сказал, что как сам перезагрузится с табличкой - звони.
А пока хотелось бы советов послушать. Просьба без флейма.

ну какие советы, ставь заплаты и закрой 445 порт
непойму зачем шухер подымать если можно зайти в соседний топ и почитать

А ты об активации Windows слышал? Windows у твоего друга, как и меня :) , ломаная, а эта служба заставляет ее думать, что ее давно активировали. Они и пытаются вылезти в интернет, что приводит к глюку lsass. Обязательно закрой их через firewall. Если отключиш, то готовся к переустановке Windows через 40 дней (срок активации истечет). Это проверенно горьким опытом.

Шухер я ни какой не подымаю.
У чела постоянно перезагружается комп. Вам бы понравилось? Вряд ли.
Все советы сводятся к стенке? А смысл? Забыл сказать, что инета у парня нет. И стенки соответственно тоже.
А по поводу заплаток, то какие? Если можно. Заранее благодарен.

ventskus
Попробуй поставить с другого диска. У меня была проблема. когда система не видела сканер на usb порту. Что только не делал. Оказалась криво поломанная версия винды. Все решилось простой установкой с другого диска.
Slanj
У меня тоже WinXp PRO русская и ломанная, однако этих служб не запущено.

ventskus
reset 5 это фишка для обнуления счетчика активации, тоесть при каждом запуске винды у тебя все время 30 дней до конца периода активации. (это винда так думает), есть прога для удаления этого кряка. Лучше его выковырять, и использовать более гуманные способы активации.

большое всем спасс за инфу. Насчет установки другой версии я уже сам подумал. но сделаю если глюк появится опять и совладать иными способами не удастся. насчет установки другой версии сразу - я стормозил :)

ventskus ... сорри, а форматнуть винт не пробовал перед установкой ??? ...вернее раздел С

А я по другому и "не умею" :)

А это не Sasser случаем? Очень симптомы характерные

Partyzan
Он же написал, что Сассер не был обнаружен.

Partyzan
ventskus
Перезагрузки, связанные с ошибкой этой службы могут мыть результатом преднамеренной или не преднамеренной DoS-атаки. Это может быть попытка взлома или DoS-атаки, или может быть дело рук какого-нить зверька вроде Сассера

Ну, Lsass уязвимостью мог не только Сассер воспользоваться

А слона, виноват, пропустил.

Interceptor
У меня похожая ситуация, и действительно проблемы возникают при включенном нете и отключенной стенке, а есть-ли способ обезопасить isass кроме как стенкой - много лажу по нету, а подстраивать её под каждый сайт не хочеться

petership
Поставь заплатки: давно бы пора!
Здесь выбираешь версию своей ОСи и ставишь заплптку под номером MS04-011

Маленький нюанс - это не isass, а Lsass. Хорошо, что хоть не MSass :-))

Interceptor
А если у меня 5-ый НТ, то придется ждать заплатки на него, или же она уже предусмотрена в нем

Partyzan
Спасибо за исправление

petership
Небольшой ЛикБез: WinNT 5.0 = Win2000 ;)
Так что смотри заплатку для Win2000

Interceptor
Огромное спасибо, все сработало, правда, немного по-другому:
Выгрузил стенку, пошел на обновление, дошел до установки и тут откуда ни возмись появилась ......(цензура) - машину успешно атаковали, когда заново пошел на обновление мне "вежливо подсказали", что заплатка уже установлена. Пришлось звонить ребятам и искать заплатку отдельно - есть хорошие люди - помогли. Слава Богу, уже неделю работаю нормально. :)

Гхм... У меня анологичная проблема...
Вирусы исключены.
На серваке где инет стоит winroute fairwall, у меня на машине outpost.
Проц прескот 2800, при включенном HT периодически lsass рушится, при выключенном все ок.
Патчи вроде все стоят. Регулярно с WU обновляюсь...

У меня тоже окошко. Я собрал системные логи с тех компов которые перезагружаются.

Проблемма такая:
В моей сети больше 50 машин. На этой неделе появился этот глюк. Стоят 3 разные машины. Две из них включены в домен вин 2003. НА них выпрыгивает вот это окошко и система перезапускается. Причём это происходит отдновременно.

это пишется в логах клиентов

А это в моих логах
сеть работает нормально и в этом же домене есть другие компы и они работают и не пилюкают.
Все компы разные совершенно.

На серваке что за файрволл стоит? Может, он чего глушит?

Помогите!Вирус?
 

Только захожу в инет(после подключения),СРАЗУ появляется сообщение:
"'Lsass.exe - Ошибка приложения'
Инструкция по адресу "0x0084f878" обратилась к памяти по адресу "0x00000023". Память не может быть "read".

"OK" -- завершиние приложения
"Отмена" -- завершиние приложения"
Что-бы я не нажимал,Lsass закрывется
(Хочу заметить,что если ничего не нажимать,всё будет работать,только сообщение будет мешать)
Затем появляется предупреждения NT Authority System и таймер на минуту,после чего комп перезагружается.
Затем,если отправить отчёт,пишет,что это sasser,придлагает скачать update.
Я выбрал winxp(заметим,что другие языки НЕ предлагают),на своём дмалапе качал эти вонючие 3MB.
Результат-язык вашей системы этому updat'у не подходят.

Что делать?
Хочу заметить,что раньше висел процесс Wlntfs.exe,эту программу на HDD я не нашёл,но реестр от неё очистил.

Хуже - червь! :(
Вот нашел ссылочки в форуме, надеюсь поможет!
Microsoft Malicious Software Removal Tool 1.3 http://imho.ws/showpost.php?p=834333&postcount=7
А вообще я пользовался в свое время Symantec W32.Sasser Removal Tool (версия 1.4.2 тут есть _http://www.softodrom.ru/win/ap/p4890.shtml)
Удачи! :cool:

В догонку к предыдущему совету ещё хочу напомнить про фичу "Восстановление системы" (если ОС поддерживает). Несколько дней назад на компе вылупился такой шикарный вирус, что только восстановление помогло. Антивирный монитор не сработал, сам антивирь перестал включаться, а у AdAware вообще крышу снесло. Имхо восстановление рулит.

О!забыл сказать,если в безопасном режиме запустить востановление,комп пишет что-то вроде: "Востановление системы не может помочь компьютеру"
:help:

Racer

Здесь про него немного написано:
_http://www.securitylab.ru/44943.html
_http://www.chelcom.ru/support-sasser.html

А заплатку на винду, поставить тебе надо по любому.
Просто выбери нужную версию, русскую или английскую,
в зависимости от версии твоей XP ...
Про стенку я говорить не буду ;)

Racer
А поиском слабо воспользоваться?! :mad: Тема прямо так и называется lsass (!).
Темы объединил. Racer получает устное предупреждение.

Anarchist, и где мне заплату на русском то найти?

Racer
погляди здесь _http://www.microsoft.com/Rus/Security/Incident/PctDisable.mspx

У меня тоже проблема с Lsass. Перезагрузки не просит, по всей видимости успешно перезапускается и опять вылетает. Но вот антивирусник начинает глючить и Corel Drow x3 болше не запускается. Остальное вроде бы работает. Началось это недавно, до этого все работало отлично. Ставлю новую Винду XP SP2 (у меня несколько разных дистров), дрова, проги антивирь, проверяю все разделы как из под винды, так и перед закрузкой оной, все чисто - все работает нормально, но вот как только открываю раздел винта отличный от системного, так сразу начинаются глюки. Кто знает в чем дело ПОМОГИТЕ!!!