[XP] 60 sekund i reset(nie RPC) blad z lsass.exe

83.29.71.* napisał:

Witam

Wczoraj(pewnie UE maczala w tym palce ) wyskoczyl mi komunikat (zamieszczam ponizej linka) po ktorym obojetnie czy nacisne ok badz anuluj wyskakuje mi okno ze po 60 sekundach zostanie zresetowany komputer...to nie jest RPC zreszta na RPC latke mam zainstalowana...XP mam w wersji bez SP1, antyvira Nortona...nie mam pojecia co to jest...

http://szogo.w.interia.pl/3.JPG

81.210.75.* napisał:

A co podgląd zdarzeń mówi na ten temat

83.29.78.* napisał:

Hmm ? nie bardzo rozumiem..

83.31.79.* napisał:

hehe
jak fajnie ze nie jestem sam
jak znajdziesz na to gowno rozwiazanie to daj znac...

83.29.65.* napisał:

Znalazlem ale polowiczne...tzn dajesz start uruchm i wpisujesz
shutdown -a

powoduje to ze po 60 sekundach komputer sie nie bedzie sam wylaczal....znalazlem jush na zarganicznym forum z dzisiejsza data nawet ze ludzie tesh maja z tym problem...w 2000 jest na to latka a na xp narazie nie znalazlem.

83.31.79.* napisał:

heh.. dzieki, dobre i to
ja tez szukam ale narazie nic...

83.25.244.* napisał:

Moze to nowa odmiana blastera?

62.179.6.* napisał:

a czy autor ogniomurek ma ?

83.31.92.* napisał:

ja zainstalowalem wlasnie ogniomurek... zone alarm
i tylko pogorszylo sytuacje, juz sie tak wkurzylem ze mialem zamiar windowsa przeinstalowywac, ale odinstalowalem ten szit i narazie jest ok...

83.31.92.* napisał:

dobra mam rozwiazanie:

sciagacie ta latke: http://www.microsoft.com/technet/security/alerts/sasser.mspx
i po klopocie...

83.29.76.* napisał:

Dzieki :} dziala jak narazie...

Pozdro

62.21.1.* napisał:

Ja mam to samo, najnowsze bazy do Kasperskiego, wszystkie łaty na Blastera i resety co kilkadziesiąt sekund- chyba jest jakieś nowe bydle!!
Szczególnie ciekawe są początkowe wątki- co to za pliki ftp.exe cmd.exe i avserve2.exe co chwilę pojawiają się i znikają!!!!


UPDATE
To bydle nazywa się: New Worm Sasser

83.29.76.* napisał:

Koala:avserve2 to novy wirus..

http://vil.nai.com/vil/content/v_125007.htm

a łatka do niego jest tutaj:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

62.21.1.* napisał:

Już pobrałem wcześniej, fajny masz monitorek

217.97.243.* napisał:

no to teraz juz wszystko jasne wiec ja to tez musze miec tylko jakos sie nie restartuje, musze miec to samo bo tez mam ftp.exe itd, firewall przepuscil to bydle, jak>>?>>>? mam antywira tez przepuscil...

i to ma byc platny komercyjny system, to jest G nie system, Windows XP Pro to powinno byc freeware demo mega beta, wez tu wywal kase i masz ser szwajcarski, straszne...

62.21.1.* napisał:

Kaspersky już wykrywa wirusa

217.97.243.* napisał:

Tam w podanym linku jest programik stinger do jego usuniecia, mam pytanie czy po zainstalowaniu tej latki wszystkie skutki wira sa usuniete? czy tez trzeba manualnie sie bawic, bo na microsofcie to jak zwykle sie dowiedziec mozna tyle ze az nic

Tworcy wirusow powinni chyba dostawac kase za rozbudowe systemow xp od microsoftu bo gdyby nie oni to micrsoft nigdy by nie wpadl ze cos jest nie tak, zreszta jakos dziwnie zawsze wypuszczaja late po fakcie a nie przed

83.30.69.* napisał:

mnie też dzisiaj [ok.10.00] dopadło to dziadostwo i nic nie dało się z tym zrobić a po 4 godzinach włączył się update w norton'ie i już nie ma problemów z tym [color=red][ciach!][/color]em

62.21.1.* napisał:

Właśnie na stronie M$ jest procedura jak usunąć robala z systemu+ link do łatki!
PREVENTION:

Install the latest Microsoft Security Bulletin MS04-011

• http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx


Those who have enabled the Windows XP Firewall are protected from the vector this worm attacks, which is TCP Port 139. Most third party firewalls also block this attack vector by default.

RECOVERY:

If your computer has been infected with this virus, please contact your preferred antivirus vendor or Microsoft Product Support Services for assistance with removing it.

1. Enable ICF (Windows XP http://support.microsoft.com/default.aspx?scid=kb;en-us;283673) or a 3rd party firewall on the workstation

2. Remove the computer from the internet

3. If there are problems booting, boot into safe mode

4. Use the Task manager to kill the following processes:
c:WINDOWSsystem32*_up.exe
avserve.exe

5. Search for & delete the following files from the hard drive:
C:WINDOWSavserve.exe
c:WINDOWSsystem32*_up.exe

6. Use regedit to remove the following key
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe

7. Connect to the Internet

8. Go to http://windowsupdate.microsoft.com

9. Scan for Updates

10. Install all “Critical Updates and Service Packs”

83.29.76.* napisał:

Miedzy innymi na Twojej opini na forum o tym monitorze sie kierowalem :} no i ten kolor

83.31.0.* napisał:

witam, jestem nowy na forum

mam pewien problem i licze na wasz pomoc, chodzi o tego nowego worma

sciągnełem łatke ze strony microsoftu, ale wyskakuje bład o innej wersji jesykowej mam winXP polskiego, problem narazie nie jest uciazliwy ale jest

a w tych wszystkich łatka microsoftu sie nie łapie, jako ze jestem nowy
dzieki

62.21.1.* napisał:

Ja też z nich nie korzystam kiedy nie muszę i się na nich nie znam!!!

212.182.122.* napisał:

Jest taka fajna strona, są na niej zawsze wszystkie aktualne aktualizacje do systemu, dokładnie do tej wersji z której się korzysta.

http://windowsupdate.microsoft.com/

62.21.1.* napisał:

[quote]Jest taka fajna strona, są na niej zawsze wszystkie aktualne aktualizacje do systemu, dokładnie do tej wersji z której się korzysta.

http://windowsupdate.microsoft.com/
Tylko jest jeden mały problem- jeżeli ktoś korzysta z nielegalnego Windowsa to nie wszystko chce się aktualizować- tak słyszałem od tych, którzy korzystają z piratów
Druga rzecz to modemowcy- aktualizacja przez internet trwa niestety sporo czasu!!!

83.30.6.* napisał:

Ale to juz nie jest problem, to jest swiadomy wybor pirata, ma za darmo wiec narzekac juz nie moze, jesli ktos korzysta z nielegalnego windowsa to w tym problem ze sam ma problem bo to podlega minimum grzywnie i to jest jego problem a nie to ze windows sie nie chce zupdateowac, niestety life is life.

83.31.13.* napisał:

spoko, problem usuniety
dzieki

83.16.212.* napisał:

a u mnie ciagle sie to wlancza, antywirus nic nie wykrywa, sciagnalem programik do wykrywania tego robaka i tez niz zainstalowalem łatke i to samo ;/ nie wiem co robic

83.31.29.* napisał:

wiesz co, ja u siebie tez nad tym troche sie pomeczyłem
norton wykrywał wirusa, ale podczas skanowania nic nie widział, sprawdzałem procesy tez ani śladu
dopiero za któryms razem problem ustąpił
moze sciagnełes nie ta łatke

62.111.232.* napisał:

Witam. A co polecacie zrobic gdy pojawia sie ten sam problem ale w momencie uruchamiania neostrady. Problem w tym jest taki ze nie da sie sciagnac nakladki bo za malo czasu i komp sie resetuje. Co mozna zrobic?? Widzicie jakies wyjscie??

212.182.122.* napisał:

Gdy wyskoczy okienko ,że nastąpi zamknięcie w wierszu poleceń lub w menu start>uruchom wpisz shutdown -a

212.244.149.* napisał:

A ja mam tego Sasser (ponieważ: 60sec. lsass.exe) i:
-Nie wykryl mi go zaden anti virus (FxSasser, Panda, MKS i wiele innych)
-Nie ma "tych" procesów (adserve...)
-Nie ma tego w rejestrze
-Nie dziala mi shutdown -a (Win 2000)

POMOCY!

212.191.172.* napisał:

Co pomocy?
Łatki ściągać! A jeżeli shutdown -a nie działa to w ciągu tych 60 sekund przestaw sobie zegarek/kalendarz windowsowy na 'jutro'.
EDIT: Ale bzdurę napisałem - oczywiście że nie na 'jutro' tylko na 'wczoraj'

212.244.149.* napisał:

Żeby zainstalować łatki muszę zainstałować Service Packa 2
Żeby zainstalować Service Packa 2 muszę usunąć Sassera
Żeby usunąć Sassera muszę zainstalować łatki

To błedne koło...

212.182.122.* napisał:

Łatka była przed sp2 a sp2 juz ją zawiera więc nie wiem w ogóle o czym piszesz.

212.244.149.* napisał:

No ale
Żeby zainstalować Service Packa 2 muszę usunąć Sassera
A to przestawianie daty podczas odliczania nic nie dalo. Po prostu od razu sie uruchomil ponownie komp a zostalo jeszcze z 20sec.

EDIT: No to trzeba było tak od razu!

212.244.149.* napisał:

No i następny problem...
Chce sobię pograć... Ale jak gram w tą grę (WWP) to nie widzę kiedy mi wyskakuje Lsass.exe (błąd)
I w każdej chwili może mi reset walnąć
Nie chce mi sie czekać 30min. aż się pojawi komunikat o błędzie, przestawić datę, a dopiero później grać.
Jakieś sposoby?

PS. Looknijcie na stronkę http://www.k1d.friko.pl/ i powiedzcie czy się podoba :]

83.24.203.* napisał:

Hej ludzie!

A co ja mam zrobić skanery i szczepionka Symanteka nie znalazły sassera na HDD, a...
... raz na jakiś czas wysakkuje mi to okno zamykające system w ciągu minuty.

Może wina leżeć gdzieś indziej :>

Win2k/SP4/Sygate Firewall

212.182.122.* napisał:

"Win2k/SP4/Sygate Firewall"

A gdzie aktualizacje po sp4?

83.24.203.* napisał:

A gdzie szukać pełnego zestawu po SP4 ?

Tylko proszę bez odsyłacza do Windows Update

212.182.122.* napisał:

Jeśli nie windows update to wszystko(prawie) na www.microsoft.com.

213.227.75.* napisał:

Na różnego rodzaju sasery blastery i inne trojany najlepszy avast! antyvirus... SZczególnie niech go zainstaluje Gierassimo. Pomaga.

83.24.203.* napisał:

No właśnie tylko że ja nie chce przy okazji szpiegów mshitu na kompie

212.182.122.* napisał:

O, to chyba jest głupsza rzecz od tego co zacytowałem wyżej. Zastanów sieco napisałeś. Od kiedy to wejscie na stronę i sciągnięcie samej aktualizacji(jezeli na innych stronach są gdzies aktualizacje to są to dokładnie te same co na stronach MS) instaluje jakieś oprogramowanie szpiegowskie?

84.10.16.* napisał:

no to i ja sie podłącze do tematu
od jakiegos czasu zauważyłem dziwne mielenie dysku i skoki np. w cs`sie - takie chwilowe ale denerwujące.
Olałem sprawe bo zmieniałem plyte z FRN2 na 8RDA3I i nie robilem formatu - co prawda dziwne ze najpierw dzialalo ok a z czasem zaczelo sie krzaczyc ale trudno.
Po kilku dniach zauważyłem ze kiedy zostawiam kompa na noc zeby emule dzialał to rano komp jest jakby "zawieszony" to znaczy - monitor wlaczam - jest tak jakby komp wylaczony - dioda mryga i koniec a slychac ze komp pracuje (dysku nie slychac)
restart - działa normalnie, wychodze do szkoly - wracam - zawieszka. Gram kilka godzin (wiecej przy kompie niz w szkole) i nie ma zadnych zawieszek Zgłupiałem juz do konca bo nie wiadomo skad to sie bierze...
podejrzewałem hardware ale cos mnie podkusilo i pokukalem w rejestr - nic specjalnego nie widze...
restartuje kompa zeby zmienic taktowanie procka - okazuje sie ze nie zdazylem sie zalogowac a tu okienko ze lsass cos tam cos tam i komp wylaczony za 60s - zdzwienie moje nie mialo konca - pewnie blaster.
to by usprawiedliwialo to mielenie dyskiem
no ale dobra - sprawdzam procesy - lsass.exe zajmuje ok 1400kb
instaluje latke - wale restart i co ? SZOK
LSASS.EXE teraz jest napisany duzymi literami...
dodam ze stinger nic nie znalazl
wiec mam pytanko - czy ta latka cos naprawila, zmienila ?
ani razu nie widzialem odliczania w czasie dzialania windy a nawet jezeli takie bylo kiedy komp zostawiony byl na noc to skad cholera ta "zawieszka" ?

213.25.91.* napisał:

dziwni jesteście. taki sobie system wybraliście, więc przestańcie narzekać.

83.31.130.* napisał:

Mam teraz taki sam problem. I to nie na swoim kompie
Czas mnie gonił, więc nie instalowałem żadnych łatek po formatce itd. Jak włączyłem Win Update - komunikat "..60s i zamknięcie...", tak samo, jak w poprzednich wątkach. Jest to w dodatku badziewiarski Home Edition. Jak włączę neo, to zaczynają się mnożyć procesy lsasss.exe Usera (poza tym pojawia się też na ułamek sekundy ftp.exe i jakiś jeszcze proces). Jak wyłączę proces lsass.exe Usera, przed wejściem do netu, to jest OK, ale net nie działa - strasznie długo ładuje strony. Czy to kwestia tego wirusa? Nie miał zbyt dużo czasu na włam, ale pewnie na gołym systemie kilka minut mu wystarczy. Czy da radę shutdown -a + pobranie i zainstalowanie łatek? Pytam, bo mam ograniczony dostęp do tego kompa, i muszę się optymalnie przygotować na 1 podejście ;(
dzięki i pozdrawiam

83.24.19.* napisał:

witam
masz syfa na kompie,nieprawidłowo przeprowadzona instalacja systemu.
wklej loga z hijacka 1.99
pozdrawiam

00 01 02 03 04 05 06 07 08 09 10 11 12 13