LSASS.EXE

codemaker · 20.09.2004. u 23:20

Danas mi se neprekidno desava da nakon oko pola sata, sistem pocne da me obavestava da ce "shut down".. To navodno prouzrokuje LASASS.EXE if Windows\System32 direktorija???

Proverio sam preko interneta, za taj LSASS.EXE se tvrdi da je reularan XP Windows fajl. ALi na drugim mestima se pominje virus istog imena, koji izgleda napadne regularni lsass.EXE.

Pokusao sam AD-aware, nije nista sumnjivo nasao.

Ima li neko iskustva i savet?

Red_Zmaja · 20.09.2004. u 23:24

imo sam ja isit mproblem...pokuso sam sve i svasta ali na kraju format c: me nije izneverio

Agent Orange · 21.09.2004. u 00:23

Adware ti SIGURNO nece ocistiti komp od virusa.

codemaker · 21.09.2004. u 01:43

Agent Orange:
Adware ti SIGURNO nece ocistiti komp od virusa.

Znam to, nego sam sa time poceo..

Prosao je AVG i nista nije nadjeno

I dalje nakon nekog vremena, mislim da je oko 45 minuta, jednostavno zapocne "shut down" proces i nema mi spasa. Pojma nemam sta sam zapatio.
Nakon AVG, sleduje NAV da pretrkeljisem, pa ako to ne nadje, ne znam sta cu dalje.

Inace imam stalnu konekciju na mrezu, jedino sto imam kao zastitu je ZoneAlarm. Ostalih 4 kompjutera u kuci, imaju istu konekciju i firewall, ali nema problema za sada.

"Procesljah" sve sto sam nasao na netu u vezi toga, ali se misljenja razlikuju od toga da LSASS.EXE nije virus, do toga da mozda jeste ako se LSASS.EXE ne nalazi u \windows\system32 direktorjumu pa do toga da to nije virus.
Sve us svemu, LSASS.EXE jest XP Windows sistemski fajl, ali ga virus sa istim ili slicnim imenom napada. U nekim slucajevima se taj LSASS.EXE instalise i u \Windows direktorij, pa tako imamo DVA fajla istog imena! Samo sto je XP tada "preusmeren" da koristi onaj sa \Windows direktorija a ne onaj koji bi trebalo sa \Windows\System32 ...

Ajd' videcemo. Kao krajnja varijanta, mozda mogu da prekopiram LSASS.EXE sa XP instalaciong diska iz nekog CAB-a ili slicno

Agent Orange · 21.09.2004. u 02:03

Da tebe mozda ne zeza OVO?

codemaker · 21.09.2004. u 02:47

Agent Orange:
Da tebe mozda ne zeza OVO?

Posetio sam adresu i insttalisao update pa cekirao PC.
Nema infekcije kaze.
Zanimljivo je da je jos dok je trsjala instalacija securoty update, aktiviran shutdown ! Sva sreca te je update zavrsio pre nego je shutdown aktiviran. Zatim sam "rucno" ugasio racunar, pre zavrsetka vremena koje mi je famozni shutdown dao.
Nakon ponovnog podizanja sistema, ponovo sam otisao na adresu koji si mi dao, i startovao "cnas PC for virus" ili tako nesto. Odgovor je bio d PC nije inficiran. Sada cekam jedno vreme da vidim da li ce se ponovo aktivirati shutdown...

Trebalo bi da je sve ok, ali nikad se ne zna. Imam i dalje aktivan ZA na tom PCju, ali vise nisam tako siguiran, jer i pored njega se provukao i aktivirao neki djavo.
Inace, koristim NetMeeting intenzivno, pa je to mozda bio razlog, jer NetMeeting zahteva mnogo portova otvorenih u isto vreme

Neke portove jednostavno ne mogu i ne smem zatvoriti jer onda nemam "sharing" ili zvuk" ili chat itd...

Na grc.com sam testirao portove 135, 136 i 137, koji se pomnju kao problem za lsass.exe, ali su bili "stealth"..

U svakom slucaju hvala za info, nadam se da ce pomoci. Ako bude, imas pivo/sok/kafu itd od mene (po izboru)

)

codemaker · 21.09.2004. u 04:24

Agent Orange:
Da tebe mozda ne zeza OVO?

E, stvarno ti hvala za post. Resio problem! Nema "shut down" vec drugi sat...

Sta pijes

Inace, neobicno je sto je samo JEDAN racunar od 5 u kuci imao problem ove vrste? Svi rade na isti nacin, direktna konekcija, ZA radi i redovno skeniram na viruse i spyware.. Svi se intenzivno koriste na netu, i nema neke razlike u upotrebi, svi u medjusobnoj lokalnoj mrezi takodje...

No, za sada je sve ok, hvala ti jos jednom. Nadam se da cu ti i ja moci pomoci nekada

Pozdrav

AxeZ · 21.09.2004. u 08:59

codemaker:
[
E, stvarno ti hvala za post. Resio problem! Nema "shut down" vec drugi sat... Sta pijes

Inace, neobicno je sto je samo JEDAN racunar od 5 u kuci imao problem ove vrste? Svi rade na isti nacin, direktna konekcija, ZA radi i redovno skeniram na viruse i spyware.. Svi se intenzivno koriste na netu, i nema neke razlike u upotrebi, svi u medjusobnoj lokalnoj mrezi takodje...

No, za sada je sve ok, hvala ti jos jednom. Nadam se da cu ti i ja moci pomoci nekada
Pozdrav

Dobijaces ti toga jos...ne brini se.
Sledeci ce ti mozda brisati ceo hdd...

Agent Orange · 21.09.2004. u 12:17

codemaker:
Inace, koristim NetMeeting intenzivno, pa je to mozda bio razlog,

Verujem da si sam odgovrio na svoje pitanje...

"...NetMeeting Remote Desktop Sharing

Omogucuje korisnicima da se spoje i koriste vaš racunar preko NetMeeting programa. Ovo mogu biti VELIKA OTVORENA VRATA za
svakoga hakera. Preporucujem da se iskljuci (disable)...."
Ovo je opis za taj services.
Mada, ne mora da znaci da je to chudo ushlo bash tuda....
Nego,ja da sam na tvom mestu, dok sam na netu, ako mi ne trebaju ti ostali racunari, jednostavno bih iskljucio mrezu...

Ako ciljash na nesto konkretno onda Tekila, a ako mislish na neki sokic, onda BiterLemon...Iskljucivo shepsov..

codemaker · 21.09.2004. u 14:43

Agent Orange:
Ovo mogu biti VELIKA OTVORENA VRATA za
svakoga hakera. Preporucujem da se iskljuci (disable)...."
Ovo je opis za taj services.
Mada, ne mora da znaci da je to chudo ushlo bash tuda....
Nego,ja da sam na tvom mestu, dok sam na netu, ako mi ne trebaju ti ostali racunari, jednostavno bih iskljucio mrezu...

Ako ciljash na nesto konkretno onda Tekila, a ako mislish na neki sokic, onda BiterLemon...Iskljucivo shepsov..

U pravu si, sharing uzrokuje stvarno otvorena vrata. Medjutim, to je jedini nacin koji mi treba, da komuniciram sa korisnicima sirom sveta, jer povremeno pruzamo i direktnu tehnicku podrsku

Nema nacina da to izbegnem

Svestan sam rizika, ali kada uporedim $ <-> opasnost, leva strana prevagne...

Inace, sto se iskljucenje mreze tice, tu si potpuno u pravu. To radim zadnjig dana, i ukljucujem je samo kada mi nesto treba.

Danas sam upravo ocistio i problem sa SVSSSHOST.EXE koji mi je pokusao uporno da se aktivira, pa me je ZA stalno prozivao da li hocu da mu dozvolim rad. KOnacno sam na Internetu nasao opis i link do Anti-Trojan Inspector programa. NAsao je da je SVSSSHOST.EXE inficiran ali i gomilu drugih trojanaca, koje ni AD-aware, ni Spy-Bot ni AVG nisu ni pomenuli

Sve sam to ocistio, ali je ostala sumnja, koliko i koje programe imati instalisane, kad tako selektivno umeju da se izbore... Ispada da cu na kraju imati instalisano vise sigurnosnih programa nego drugih aplikacija

U svakom slucaju, ili Tekila ili sokic, snacicemo se

codemaker · 21.09.2004. u 14:46

AxeZ:
Dobijaces ti toga jos...ne brini se.
Sledeci ce ti mozda brisati ceo hdd...

Znam, znam, jezik pregrizao

Cena tehnoloskog napretka?%$#^@
Stvarno nikada nisam uspeo da shvatim ljude koji cine stetu a i ne vide personu kojoj su naudili. Da sam neki lik koji uziva u tudjim mukama, napravio bih mu stetu, pa se iz prikrajka nasladjivao.
OVim "hacker" idiotima je dovoljno samo da znaju da su napravili stetu, dabogda im se HD spalili u paklu

Agent Orange · 22.09.2004. u 00:03

Gde si skinuo taj Anti-Trojan Inspector? Daj link.

A sto se tice te komunikacije sa celim svetom koju imash ( kakvu to teh. podsku dajete? )..
Sto lepo ne kupish neki krsh za 100€, samo mu tursih OS, Operu,ZA i josh po neku potrepshtinu i sa njime se kacish na net? Em si sigurniji ( i ako nesto zakacish boli te uvo--ocistish) em su ti glavni racunari sigurni?

codemaker · 23.09.2004. u 13:50

Agent Orange:
Gde si skinuo taj Anti-Trojan Inspector? Daj link.

A sto se tice te komunikacije sa celim svetom koju imash ( kakvu to teh. podsku dajete? )..
Sto lepo ne kupish neki krsh za 100€, samo mu tursih OS, Operu,ZA i josh po neku potrepshtinu i sa njime se kacish na net? Em si sigurniji ( i ako nesto zakacish boli te uvo--ocistish) em su ti glavni racunari sigurni?

Site za Anti-trojan:
https://www.regnow.com/softsell/nph-softsell.cgi?item=6075-8

Pa, radim za nekoliko firmi iz USA, Turske i Grcke. Za svaku od njih sam napisao ili sudelovao u pisanju programa koje koriste, prodaju i odrzavaju. Samim tim sam ukljucen u deo tehnicke podrske, koja se odnosi na onaj deo problematike koji sam ja direktno pisao, pa samim tim najbolje znam sta i kako da se resi. To nije svakodnevni posao, vec kada sam im potreban, zovu me da pomognem.

Da, upravo pre par dana sam instalisao i peti PC u stanu, neki krs sto kazes, izdvojio sam ga samo za te potrebe, nabavio switch da jednim potezom mogu da kontrolisem dva PC-ja. Ovaj drugi nema ekran, misa i tastaturu, te koristim jedan "komplet" za obe masine, mnogo je lakse, nego imati dva kompleta ispred sebe.
Tako sam na neki nacin izolovao bar jedan PC.
Medjutim, posto su mi svi racunari u mrezi, postoji ipak mogucnost "provlacenja", a treba mi stalno aktivna mreza, dakle ne mogu da se iekljucim tek tako...

Agent Orange · 23.09.2004. u 14:30

Anti- trojan inspector nije isto sto i Anti Trjan Shield...

codemaker · 23.09.2004. u 17:37

Agent Orange:
Anti- trojan inspector nije isto sto i Anti Trjan Shield...

U pravu si, prevideo sam tacan naziv koji si pomenuo

Ja sam skinuo ... Shield.. verziju, i ona mi dosta dobro otkriva trojance i slicnu gamad. Izvini za pogresan link.
Za Inspector nisam ni video da ima. Imas li informaciju, je li to ista kuca napisala program i u cemu se zapravo razlikuju ta dva programa? Oba bi trebalo da otkrivaju trojance?

LSASS.EXE

codemaker

Iskusan

Red_Zmaja

Domaćin

Agent Orange

Ističe se

codemaker

Iskusan

Agent Orange

Ističe se

codemaker

Iskusan

codemaker

Iskusan

AxeZ

Zainteresovan član

Agent Orange

Ističe se

codemaker

Iskusan

codemaker

Iskusan

Agent Orange

Ističe se

codemaker

Iskusan

Agent Orange

Ističe se

codemaker

Iskusan