lsass (!) - Безопасность

ventskus · 23.05.2004, 00:50

Имеется проблема. У знакомого на компе переодически выскакивает окошко с сообщением что служба lsass.exe была неожиданно остановлена по неизвестной причине и комп будет перезагружен через минуту. (я знаю что вы подумали - но читаем далее!) Это мне напомнило бласт, но только служба другая. После расспросов выяснилось, что винду несколько раз переставляли - эффект один. Переустановив лично я убедился, что трабла возникает, как правило, до установки дров. т.е. при первом запуске винды и проявляется в виде перезагрузок. Слазив в винет я выяснил, что это sasser. Скачал утилитку от симантек. и захватив заодно и аналог от каспера (FxSasser.exe - от 5го мая и clrav.com правда за 11 месяц прошлого года) отправился на лечение. обе утилиты написали что комп девственно чист и никакого сасера нет. Далее я открыл диспетчер задач и проверил наличие неизвесных процессов - их оказалось два. имена интересные: resetservice.exe и srvany.exe. Причем в запущенных службах оказалась такая как reset 5. Опять таки у меня такой нет. И название наводит на мысль, что это некий вирус, приводящий к перезагрузкам.
У чела WinXPPro русская с кряком. У меня англицкая с МУИ - корпоративка, соответственно службы могут отличатся, но я не думаю что так уж сильно.
службу я остановил - посмотрим на результат. Хлопцу сказал, что как сам перезагрузится с табличкой - звони.
А пока хотелось бы советов послушать. Просьба без флейма.

R!xon · 23.05.2004, 04:27

ну какие советы, ставь заплаты и закрой 445 порт
непойму зачем шухер подымать если можно зайти в соседний топ и почитать

Slanj · 23.05.2004, 05:56

А ты об активации Windows слышал? Windows у твоего друга, как и меня

, ломаная, а эта служба заставляет ее думать, что ее давно активировали. Они и пытаются вылезти в интернет, что приводит к глюку lsass. Обязательно закрой их через firewall. Если отключиш, то готовся к переустановке Windows через 40 дней (срок активации истечет). Это проверенно горьким опытом.

ventskus · 23.05.2004, 09:05

Шухер я ни какой не подымаю.
У чела постоянно перезагружается комп. Вам бы понравилось? Вряд ли.
Все советы сводятся к стенке? А смысл? Забыл сказать, что инета у парня нет. И стенки соответственно тоже.
А по поводу заплаток, то какие? Если можно. Заранее благодарен.

23.05.2004, 11:38

ventskus
Попробуй поставить с другого диска. У меня была проблема. когда система не видела сканер на usb порту. Что только не делал. Оказалась криво поломанная версия винды. Все решилось простой установкой с другого диска.
Slanj
У меня тоже WinXp PRO русская и ломанная, однако этих служб не запущено.

Gerasim · 23.05.2004, 12:31

ventskus
reset 5 это фишка для обнуления счетчика активации, тоесть при каждом запуске винды у тебя все время 30 дней до конца периода активации. (это винда так думает), есть прога для удаления этого кряка. Лучше его выковырять, и использовать более гуманные способы активации.

ventskus · 24.05.2004, 20:36

большое всем спасс за инфу. Насчет установки другой версии я уже сам подумал. но сделаю если глюк появится опять и совладать иными способами не удастся. насчет установки другой версии сразу - я стормозил

27.05.2004, 18:54

ventskus ... сорри, а форматнуть винт не пробовал перед установкой ??? ...вернее раздел С

ventskus · 28.05.2004, 23:11

А я по другому и "не умею"

Partyzan · 07.06.2004, 20:37

А это не Sasser случаем? Очень симптомы характерные

Interceptor · 07.06.2004, 22:20

Partyzan
Он же написал, что Сассер не был обнаружен.

Partyzan
ventskus
Перезагрузки, связанные с ошибкой этой службы могут мыть результатом преднамеренной или не преднамеренной DoS-атаки. Это может быть попытка взлома или DoS-атаки, или может быть дело рук какого-нить зверька вроде Сассера

Partyzan · 08.06.2004, 19:23

Ну, Lsass уязвимостью мог не только Сассер воспользоваться

А слона, виноват, пропустил.

petership · 15.06.2004, 17:25

Interceptor
У меня похожая ситуация, и действительно проблемы возникают при включенном нете и отключенной стенке, а есть-ли способ обезопасить isass кроме как стенкой - много лажу по нету, а подстраивать её под каждый сайт не хочеться

Interceptor · 15.06.2004, 17:32

petership
Поставь заплатки: давно бы пора!
Здесь выбираешь версию своей ОСи и ставишь заплптку под номером MS04-011

Partyzan · 15.06.2004, 19:56

Цитата:

Сообщение от petership

есть-ли способ обезопасить isass

Маленький нюанс - это не isass, а Lsass. Хорошо, что хоть не MSass :-))

petership · 23.06.2004, 22:03

Interceptor
А если у меня 5-ый НТ, то придется ждать заплатки на него, или же она уже предусмотрена в нем

Partyzan
Спасибо за исправление

Interceptor · 24.06.2004, 01:55

petership

Цитата:

А если у меня 5-ый НТ, то придется ждать заплатки на него, или же она уже предусмотрена в нем

Небольшой ЛикБез: WinNT 5.0 = Win2000

Так что смотри заплатку для Win2000

petership · 20.07.2004, 18:40

Interceptor
Огромное спасибо, все сработало, правда, немного по-другому:
Выгрузил стенку, пошел на обновление, дошел до установки и тут откуда ни возмись появилась ......(цензура) - машину успешно атаковали, когда заново пошел на обновление мне "вежливо подсказали", что заплатка уже установлена. Пришлось звонить ребятам и искать заплатку отдельно - есть хорошие люди - помогли. Слава Богу, уже неделю работаю нормально.

Cartman · 20.07.2004, 19:03

Гхм... У меня анологичная проблема...
Вирусы исключены.
На серваке где инет стоит winroute fairwall, у меня на машине outpost.
Проц прескот 2800, при включенном HT периодически lsass рушится, при выключенном все ок.
Патчи вроде все стоят. Регулярно с WU обновляюсь...

08.12.2004, 15:34

У меня тоже окошко. Я собрал системные логи с тех компов которые перезагружаются.

Проблемма такая:
В моей сети больше 50 машин. На этой неделе появился этот глюк. Стоят 3 разные машины. Две из них включены в домен вин 2003. НА них выпрыгивает вот это окошко и система перезапускается. Причём это происходит отдновременно.

это пишется в логах клиентов

Цитата:

Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключиться.
Подача заявки выполнена не будет.

Ошибка приложения lsass.exe, версия 5.1.2600.1106, модуль unknown, версия 0.0.0.0, адрес 0x00000000.

Критический системный процесс, C:\WINXP\system32\lsass.exe, завершился ошибкой с кодом состояния c0000005. Необходимо перезагрузить этот компьютер.

Ошибка приложения lsass.exe, версия 5.1.2600.1106, модуль unknown, версия 0.0.0.0, адрес 0x00000000.

А это в моих логах

Цитата:

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1054
Дата: 08.12.2004
Время: 14:33:52
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: FILE-SERV
Описание:
Не удалось получить имя контроллера домена в этой сети. (Непредвиденная сетевая ошибка. ). Обработка групповой политики прекращена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

сеть работает нормально и в этом же домене есть другие компы и они работают и не пилюкают.
Все компы разные совершенно.

23.05.2004, 00:50	# 1
ventskus Junior Member Регистрация: 07.01.2003 Адрес: Belarus Сообщения: 120	lsass (!) Имеется проблема. У знакомого на компе переодически выскакивает окошко с сообщением что служба lsass.exe была неожиданно остановлена по неизвестной причине и комп будет перезагружен через минуту. (я знаю что вы подумали - но читаем далее!) Это мне напомнило бласт, но только служба другая. После расспросов выяснилось, что винду несколько раз переставляли - эффект один. Переустановив лично я убедился, что трабла возникает, как правило, до установки дров. т.е. при первом запуске винды и проявляется в виде перезагрузок. Слазив в винет я выяснил, что это sasser. Скачал утилитку от симантек. и захватив заодно и аналог от каспера (FxSasser.exe - от 5го мая и clrav.com правда за 11 месяц прошлого года) отправился на лечение. обе утилиты написали что комп девственно чист и никакого сасера нет. Далее я открыл диспетчер задач и проверил наличие неизвесных процессов - их оказалось два. имена интересные: resetservice.exe и srvany.exe. Причем в запущенных службах оказалась такая как reset 5. Опять таки у меня такой нет. И название наводит на мысль, что это некий вирус, приводящий к перезагрузкам. У чела WinXPPro русская с кряком. У меня англицкая с МУИ - корпоративка, соответственно службы могут отличатся, но я не думаю что так уж сильно. службу я остановил - посмотрим на результат. Хлопцу сказал, что как сам перезагрузится с табличкой - звони. А пока хотелось бы советов послушать. Просьба без флейма.

23.05.2004, 11:38	# 5
djon72 Guest Сообщения: n/a	ventskus Попробуй поставить с другого диска. У меня была проблема. когда система не видела сканер на usb порту. Что только не делал. Оказалась криво поломанная версия винды. Все решилось простой установкой с другого диска. Slanj У меня тоже WinXp PRO русская и ломанная, однако этих служб не запущено. Последний раз редактировалось djon72; 23.05.2004 в 11:43.

23.05.2004, 12:31	# 6
Gerasim Регистрация: 12.09.2002 Адрес: Russia Сообщения: 2 634	ventskus reset 5 это фишка для обнуления счетчика активации, тоесть при каждом запуске винды у тебя все время 30 дней до конца периода активации. (это винда так думает), есть прога для удаления этого кряка. Лучше его выковырять, и использовать более гуманные способы активации. __________________ Барыня, конечно, сволочь, но собачку мы утопим...

20.07.2004, 19:03	# 19
Cartman Migel Mod Volos Регистрация: 09.09.2003 Адрес: МПЛ-в почетной д Сообщения: 7 486	Гхм... У меня анологичная проблема... Вирусы исключены. На серваке где инет стоит winroute fairwall, у меня на машине outpost. Проц прескот 2800, при включенном HT периодически lsass рушится, при выключенном все ок. Патчи вроде все стоят. Регулярно с WU обновляюсь... __________________ Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. IMHO - отдых в Анапе

23.05.2004, 04:27	# 2
R!xon Advanced Member Регистрация: 19.12.2002 Сообщения: 492	ну какие советы, ставь заплаты и закрой 445 порт непойму зачем шухер подымать если можно зайти в соседний топ и почитать

23.05.2004, 05:56	# 3
Slanj ::VIP:: Регистрация: 09.05.2004 Адрес: Киев Сообщения: 670	А ты об активации Windows слышал? Windows у твоего друга, как и меня , ломаная, а эта служба заставляет ее думать, что ее давно активировали. Они и пытаются вылезти в интернет, что приводит к глюку lsass. Обязательно закрой их через firewall. Если отключиш, то готовся к переустановке Windows через 40 дней (срок активации истечет). Это проверенно горьким опытом.

23.05.2004, 09:05	# 4
ventskus Junior Member Регистрация: 07.01.2003 Адрес: Belarus Сообщения: 120	Шухер я ни какой не подымаю. У чела постоянно перезагружается комп. Вам бы понравилось? Вряд ли. Все советы сводятся к стенке? А смысл? Забыл сказать, что инета у парня нет. И стенки соответственно тоже. А по поводу заплаток, то какие? Если можно. Заранее благодарен.

24.05.2004, 20:36	# 7
ventskus Junior Member Регистрация: 07.01.2003 Адрес: Belarus Сообщения: 120	большое всем спасс за инфу. Насчет установки другой версии я уже сам подумал. но сделаю если глюк появится опять и совладать иными способами не удастся. насчет установки другой версии сразу - я стормозил

27.05.2004, 18:54	# 8
Druid Guest Сообщения: n/a	ventskus ... сорри, а форматнуть винт не пробовал перед установкой ??? ...вернее раздел С

28.05.2004, 23:11	# 9
ventskus Junior Member Регистрация: 07.01.2003 Адрес: Belarus Сообщения: 120	А я по другому и "не умею"

07.06.2004, 20:37	# 10
Partyzan Junior Member Регистрация: 06.01.2004 Адрес: Москва Сообщения: 165	А это не Sasser случаем? Очень симптомы характерные

07.06.2004, 22:20	# 11
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Partyzan Он же написал, что Сассер не был обнаружен. Partyzan ventskus Перезагрузки, связанные с ошибкой этой службы могут мыть результатом преднамеренной или не преднамеренной DoS-атаки. Это может быть попытка взлома или DoS-атаки, или может быть дело рук какого-нить зверька вроде Сассера

08.06.2004, 19:23	# 12
Partyzan Junior Member Регистрация: 06.01.2004 Адрес: Москва Сообщения: 165	Ну, Lsass уязвимостью мог не только Сассер воспользоваться А слона, виноват, пропустил.

15.06.2004, 17:25	# 13
petership Junior Member Регистрация: 08.05.2003 Адрес: Chernivtzi, Ukraine Сообщения: 116	Interceptor У меня похожая ситуация, и действительно проблемы возникают при включенном нете и отключенной стенке, а есть-ли способ обезопасить isass кроме как стенкой - много лажу по нету, а подстраивать её под каждый сайт не хочеться

15.06.2004, 17:32	# 14
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	petership Поставь заплатки: давно бы пора! Здесь выбираешь версию своей ОСи и ставишь заплптку под номером MS04-011

23.06.2004, 22:03	# 16
petership Junior Member Регистрация: 08.05.2003 Адрес: Chernivtzi, Ukraine Сообщения: 116	Interceptor А если у меня 5-ый НТ, то придется ждать заплатки на него, или же она уже предусмотрена в нем Partyzan Спасибо за исправление

20.07.2004, 18:40	# 18
petership Junior Member Регистрация: 08.05.2003 Адрес: Chernivtzi, Ukraine Сообщения: 116	Interceptor Огромное спасибо, все сработало, правда, немного по-другому: Выгрузил стенку, пошел на обновление, дошел до установки и тут откуда ни возмись появилась ......(цензура) - машину успешно атаковали, когда заново пошел на обновление мне "вежливо подсказали", что заплатка уже установлена. Пришлось звонить ребятам и искать заплатку отдельно - есть хорошие люди - помогли. Слава Богу, уже неделю работаю нормально.

Опции темы
Версия для печати Отправить на email