Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

pascuale

виры в локалке

Рекомендованные сообщения

lsass.exe, насколько мне известно, и есть системный процесс. Так что грохнул ты его совершенно напрасно. Просто большое количество вирусов использует уязвимость в данной службе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

lsass.exe, насколько мне известно, и есть системный процесс. Так что грохнул ты его совершенно напрасно. Просто большое количество вирусов использует уязвимость в данной службе.

а почему тогда он ведет такую интересную активность? отправляет что-то на кучу портов, в аутпосте висит как "n/a"? сетевая активность просто БЕШЕНАЯ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подробно не помню но есть вирус lsass.exe там только одна буква какая то другая=))))))))))))))))))))))))))))))))))))

Висит также как не вирус....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Диспетчер учетных записей безопасности (Security Accounts Manager)

Хранит информацию о безопасности для учетной записи локального пользователя.

 

Без этой службы не будет работать служба IIS Admin (IIS Admin). Если вы не делали никаких изменений в локальной политике безопасности (gpedit.msc), то можете отключить данную службу. Если же вы делали изменения в локальной политике безопасности и отключите данную службу, то все изменения, которые вы делали, перестанут работать. Рекомендуется оставить режим запуска этой службы по умолчанию, то есть Автоматически.

 

Название службы: SamSs

Название процесса: lsass.exe

По умолчанию в Windows XP Home: Автоматически

По умолчанию в Windows XP Pro: Автоматически

Рекомендуемое значение: Автоматически

Вход от имени: Локальная система

 

Да, кстати, у меня эта служба никакой сетевой активности не проявляла никогда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а почему тогда он ведет такую интересную активность? отправляет что-то на кучу портов, в аутпосте висит как "n/a"? сетевая активность просто БЕШЕНАЯ!

Скорее всего на компутере сидит какая-то гадость, использующая дыру в указанном процессе. Вирусные базы обновлены? Если нет, обнови и проверься еще разок.

 

Кстати, интересные ссылочки:

http://www.lenta.ru/news/2006/01/07/ms/

http://www.rem0te.com/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я тут вот чего у себя заметил...

в аутпосте в приложениях сетевой активности висит программка "n/a", ведущая бурную активность. все время пытается пошариться по куче портов, отправить/принять чего-то... в списке виндозных приложений висит такая гадость - lsass.exe!!! на попытки убить процесс система злобно ругается, что это свое! критическое! не трожь! на компе нашел 2 таких файла (они где-то по 13-16 кил весят), 1 убил, а 2-ой не дается. я из ДОС-а его грохнул, а без него виндоза не работает! переставил ее, смотрю - опять здесь!

кто-нить может прокомментировать сие безобразие и как с ним бороться?

система: Вин хп сп2, кав 5,0,237, аутпост 3,0, все обновления установлены.

 

LSASS не трогай-)) пригодится для корретной работы Виндов, а атаки идут вирем от имени этой службы - LSASS exploit... рассылка, чтоб её

У кого как, а у меня AVAST прекрасно отражает все атаки и совершенно не загружает систему))) в момент работы, только атаки притормаживают(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...skip... lsass.exe!!! ...skip...

прикол... я чуть так винду не убил... Нажал Shift+Del, меня спросили, действительно ли я хочу удалить lsass.exe? Я подумал... позвонил другу... он сказал - не трожь ;)) Это просто служба, которую использует вирус, а сам он где-то в другом месте сидит :) Пришлось отменить удаление, а то так хотелось этот неизвестный до той поры противный файлик грохнуть, так глаза мозолил :rolleyes:

Но, всё обошлось, вирус был найден, уничтожен, happy end :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

обычно когда вирь удаляешь, очень желательно прочесть в инциклопедии вирусов как он себя видет и какие файлы создает, тогда удаление быдет безболезненным

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прикол... я чуть так винду не убил... Нажал Shift+Del, меня спросили, действительно ли я хочу удалить lsass.exe?

...проскипано...

а все равно не смог бы его кильнуть - я пытался. снес, конечно, в итоге, но из ДОСа. винда не даст по-хорошему. :cray:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посмотрел логи антивирусника. Ни каких атак нет. Единственная блокировка трояна от 20.12.2005. И то, это когда я сам лазил по шарам. Вирус был по адресу : Source: \\10.215.19.93\miha\MIHA.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

идут постоянные атаки лсасс.эксплоит с адреса 10,215,22,249

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

идут атаки лсасс.эксплоит с адреса 10,215,18,116

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Частая атака LSASS exploit с IP 10.215.19.120

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а 10.215.232.232 никому не мешаеть?

 

Имхо Port Scan иногда идёт от того что некоторые плюзуются програмками ипа ENTools для поиска расшареных ресурсов(немного не по профилю применяють)....

 

 

зыж... "...UDP PORT SCAN с адреса 10.215.17.9 была успешна на локальный порт 28970 была успешно отражена атакующий компьютер заблокирован..."(с) Каспер... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

граждане с адресами: 10,215,20,7

10,215,20,99

10,215,47,8

10,215,19,226

10,215,31,71

10,215,30,13

10,215,59,114

10,215,20,46

10,215,59,58

10,215,35,72

10,215,57,205

10,215,59,33

10,215,59,93

10,215,48,18 и некоторые другие!

лечитесь!!! с ваших адресов постоянно идут атаки "ловсан"! утомило уже...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помойму lsass действительно свой процесс просто если винда не пропатчена его можно заразить. У самого такая байда была. Процесс выдавал критическую ошибку после чего вешался и приходилось перезагружаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

граждане с адресами: 10,215,20,7

10,215,20,99

10,215,47,8

10,215,19,226

10,215,31,71

10,215,30,13

10,215,59,114

10,215,20,46

10,215,59,58

10,215,35,72

10,215,57,205

10,215,59,33

10,215,59,93

10,215,48,18 и некоторые другие!

лечитесь!!! с ваших адресов постоянно идут атаки "ловсан"! утомило уже...

Помниться ДСК говорил, что форум читают 20% всех пользователей.

Шанс быть услышанным невелик :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю что те кто не излечился от лавсана ещё уж наврятли вообще знают чё такое афпишник:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да блин все эти адреса явно автоматом разданые, тоесть смысла сюда их писать нет....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ, подскажите плиз, как у нас внутренние айпи раздаются? Они разве к mac'у не привязываются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да блин все эти адреса явно автоматом разданые, тоесть смысла сюда их писать нет....

а мож - кто себя узнает...

у меня, к примеру, уже больше месяца адрес не менялся!

 

Народ, подскажите плиз, как у нас внутренние айпи раздаются? Они разве к mac'у не привязываются?

дается дхцп-сервером. к маку - не привязывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем то нет, но у меня с декабря айпишник менялся раза 3. Правда я комп практически не выключаю, разве только зимой, когда электричество пропадало, да время от времени просто перезагружаю по требованию некоторых своих прог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ, подскажите плиз, как у нас внутренние айпи раздаются? Они разве к mac'у не привязываются?

 

ни чё никуда не привязывается бери какой хош, главное чтоб не занят был:o

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про бери какой хош понятно, но про дхцп - нифига не понятно. тогда почему у меня уже давно один и тот же внутренний адрес? и, как мне кажется, меняться Он не собирается. вряд ли мне просто везет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про бери какой хош понятно, но про дхцп - нифига не понятно. тогда почему у меня уже давно один и тот же внутренний адрес? и, как мне кажется, меняться Он не собирается. вряд ли мне просто везет.

конкретной привязки - нет. ты его можешь сам прописать - если захочешь.

у меня такая же ситуация - давненько не меняется - но не беспокойся! что-нить сломается или заглючит - вот и поменяется. было такое, что по несколько раз на дню менялся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот не надо только про бери какой хочешь. А то я машину не выключаю, номер получил от корбиновского сервака автоматом, и тут ты включаешь свою машину с жёстко прописанным IP, совпадающим с моим. А потом жалуемся что сеть глючит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

проблемы любой сети - черезчур "умные" отдельновзятые личности =)

если в сети работает DHCP- сервер и IP раздает он, то надо пользовтаься DHCP, а не городить "ручной" огород!!

Тем более, дело это бестолковое и приводящее в итоге к конфликтам IP (обратите внимание на время аренды адреса. как истечет - а у вас все руками прописано - ждите гемора).

 

И господа, не убеждайте людей в том, в чем сами не разбираетесь до конца.

 

На сервере DHCP адрес IP привязывается конкретно к вашей сет. карте на основе ее MAC- адреса. Потому IP одинаков при переподключениях. И он будет одинаков ровно столько времени, насколько разрешена аренда адресов на сервере. По истечении времени аренды, если не заданы особые установки, аренда того же адреса продлевается (срок аренды если интересно смотрим по ipconfig /all)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

проблемы любой сети - черезчур "умные" отдельновзятые личности =)

если в сети работает DHCP- сервер и IP раздает он, то надо пользовтаься DHCP, а не городить "ручной" огород!!

...проскипано...

а как быть тем - у кого фтп-сервак или еще какое безобразие настроено?

у меня, к примеру, камера висит на компе и иногда надо посмотреть - что там творится. ип скачет и надо заново все прописывать. эт хорошо - когда все четко работает - как последнее время. а если нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чтой-то мы тут зафлудили, но тем не менее хочу обратить внимание администрации на больной вопрос - ну неужели так сложно раздать фиксированные ВНУТРЕННИЕ ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чтой-то мы тут зафлудили, но тем не менее хочу обратить внимание администрации на больной вопрос - ну неужели так сложно раздать фиксированные ВНУТРЕННИЕ ip?

на сходке около НГ этот вопрос с администрацией обсуждался... был получен приблизительно такой ответ: "да, мы собираемся. но сейчас - не до этого.".

впрочем - аналогичный ответ был получен и по поводу фтп, скоростей, контента на фтп...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах