Konos Δημοσιεύτηκε Νοέμβριος 23, 2005 #1 Κοινοποίηση Δημοσιεύτηκε Νοέμβριος 23, 2005 Καλημερα σε ολο το forum. Εχω ενα μικρο προβληματακι με το pc ενος φιλου και δεν εχω βγαλει ακρη. Εκανα ενα search πριν γραψω αυτο το post στο forum και γενικοτερα στο net χωρις ομως αποτελεσμα. Το προβλημα ειναι οτι οταν ο Η/Υ συνδεετε στο internet μετα απο λιγο πεταει ενα μηνυμα που λεει οτι υπαρχει προβλημα στο lsass.exe και ξεκινα αντιστροφη μετριση για να κανει restart. Ακομα και μετα ο format το προβλημα παραμενει. Τι να κανω???P.S.: Δεν εχει σχεσει με τον Sasser, το κειταξα.Edit: Το pc ειναι ενας Pentium3 850MHz, mobo DFI CA63-EC και τρεχει WinXP pro SP1 Link to comment Share on other sites More sharing options...
Greek Νοέμβριος 23, 2005 #2 Κοινοποίηση Νοέμβριος 23, 2005 Καταρχάς , κοίτα αν έχεις το συγκεκριμένο patch εγκατεστημένο...Windows-KB841720-ENU-V4.exeΕπίσης δοκίμασε να κάνεις τα παρακάτω γιατί καμμια φορά ο sasser δεν αποκαλύπτεται με ένα ή 2 "περάσματα".1.) Disconnect your internet connection and boot to safe mode (through F8 on startup)2.) Log into the administrator account and after the system is loaded press crtl+alt+del to bring up the system task manager and look in proccesses for any of the following: a.)avserve.exe b.)avserv2.exe c.)[random five digit number]_up.exe d.)skynet??.exeand end task on any of them and then close the task manager3.) msconfig: dissable any of the above programs from auto starting in the startup tab and services tab4.) regedit: search for any of the above programs in the registry and remove thier keys (might be a good idea to create a backup copy of the regisrty just in case)5.) restart into normal mode and if you get the shutdown error use the above "shutdown -a" to stop it6.) enable the XP firewall (network connections and then properties on the type of internet connection you are using and then advanced and check "protect my computer...")7.) reconnect your intenet and get the above mentioned security patch from Microsofthttp://www.microsoft.com/technet/security/bulletin/MS04-011.mspx8.)DL and run the mcafee stinger to remove anything the above steps missed and restart the PChttp://vil.nai.com/vil/stinger/9.)DL all updates for your AV software and run a full system scanYou should now be virus free and if all of the above steps are done soon enough the file dammage should be minimal and the system should be running fine. Link to comment Share on other sites More sharing options...
Konos Νοέμβριος 23, 2005 Author #3 Κοινοποίηση Νοέμβριος 23, 2005 Πιστευω πως μετα το format o sasser δεν θα υπαρχει. Aν βαλω το service pack 2 υπαρχει περιπτωση να φτιαξει??? Αλλα ειναι τα ελληνικα windows και δεν παιρνει το sp2 που εχω γιατι ειναι για τα αγγλικα XP. Καμια ιδεα??? Link to comment Share on other sites More sharing options...
Greek Νοέμβριος 23, 2005 #4 Κοινοποίηση Νοέμβριος 23, 2005 Κοίτα , δεν χρειάζεται να κάνεις φορματ για τον λογο αυτό . Κατέβασε το patch από το ελληνικό site της Microsoft ώστε να γίνει εγκατάσταση για τα ΧΡ σου , αν μπορείς βάλε και το "φαρμακο" που ειναι free από τον site της Symantec ή της Mcafee ακόμα και αν δεν τον έχουν βρεί τα antivirus σου γιατί από ότι διάβασα μπορεί να χρειαστούν 4-5 περάσματα για να εμφανιστεί η μόλυνση. Link to comment Share on other sites More sharing options...
Konos Νοέμβριος 23, 2005 Author #5 Κοινοποίηση Νοέμβριος 23, 2005 Το format εχει ηδη γινει. Αυτο ειναι που με κανει να μην καταλαβαινω το γιατι εχει ακομα το ιδιο προβλημα. Ακομα και μετα το format αρνειται να μπει στο net πανω απο 2 λεπτα πεταγοντας καθε φορα το ιδιο μηνυμα για το lsass.exe. Link to comment Share on other sites More sharing options...
Greek Νοέμβριος 23, 2005 #6 Κοινοποίηση Νοέμβριος 23, 2005 Όπως και να έχει δοκίμασε να κατεβάσεις το patch και βάλε και το sp2..... Επιπλέον κανε και αυτα ...The problemSasser is a denial of service (DoS) worm that exploits a flaw in a Windows 2000 or non-64-bit Windows XP machine's Local Security Authority Subsystem Service (LSASS). IT security pros must install a patch to prevent unattended systems from falling prey to Sasser's destruction. However, administering the patch is a challenge because infected systems keep rebooting before it can be installed.The causeSasser causes a stack-based buffer overflow in certain Active Directory service functions in the LSASRV.DLL file of the LSASS. Applying the patch provided in Microsoft Security Bulletin MS04-011 is the only way to protect your system from reinfection. The solutionHere is the solution for expanding the amount of time it takes before your computer reboots due to the Sasser worm. Keep in mind that you will have only about 20 seconds to complete the steps, and you must already know the system's name before beginning this process: Tip: To find your computer's name, open Control Panel and click on the System icon. 1. Disconnect from the Internet. 2. Restart. 3. As soon as possible in the boot process, click on Start, Run, and enter cmd to open the command line interface. 4. At the DOS prompt, enter shutdown -i and press [Enter]. (This command opens the control panel for remote administration of other systems, but for this process you will just need to enter the name of your computer.)5. Click Add, enter the name, and then click OK. 6. Now modify the warning message delay setting from the standard 20 (seconds) to a large number, such as 9999. After patching, you can reset the warning message delay if you wish. (That should temporarily disable the shutdown sequence long enough for you to log on to the Internet and download the patch.)Alternative solutionAn alternative method for stopping the reboot cycle on XP-only systems is to enter shutdown.exe –a at the command prompt. That aborts the shutdown process completely and is obviously much faster for XP systems. Link to comment Share on other sites More sharing options...
Vadergr Νοέμβριος 23, 2005 #7 Κοινοποίηση Νοέμβριος 23, 2005 lsass.exe ειναι ο sasser? Link to comment Share on other sites More sharing options...
Greek Νοέμβριος 23, 2005 #8 Κοινοποίηση Νοέμβριος 23, 2005 90% ναι.... Link to comment Share on other sites More sharing options...
Vadergr Νοέμβριος 23, 2005 #9 Κοινοποίηση Νοέμβριος 23, 2005 δεν νομιζω... μπορει καποιος να μαθει με ακριβεια?Και πως βγαινει βασικα... Link to comment Share on other sites More sharing options...
dellman Νοέμβριος 23, 2005 #10 Κοινοποίηση Νοέμβριος 23, 2005 http://ask-leo.com/what_are_lsass_lsassexe_and_sasser_and_how_do_i_know_if_im_infected_what_do_i_do_if_i_am.html Δες εδώ Link to comment Share on other sites More sharing options...
KTM Νοέμβριος 23, 2005 #11 Κοινοποίηση Νοέμβριος 23, 2005 Klick on me pls Link to comment Share on other sites More sharing options...
Vadergr Νοέμβριος 23, 2005 #12 Κοινοποίηση Νοέμβριος 23, 2005 εβαλα το scan της ms και δεν βρηκε τιποτα... Link to comment Share on other sites More sharing options...
cristop Νοέμβριος 24, 2005 #13 Κοινοποίηση Νοέμβριος 24, 2005 έχεις ανοικτό το firewall των win?!!?!? αν όχι βάλτο on Link to comment Share on other sites More sharing options...
alkhs123 Νοέμβριος 26, 2005 #14 Κοινοποίηση Νοέμβριος 26, 2005 είχε και ένας φίλος το ido πρόβλημα και επειδή με το format δεν λύθηκε το πρόβλημα κάναμε το εξής. βγάλαμε όλα τα πραγματάκια (δεν θυμάμαι πως τα λενε κολησα τωρα... αυτά που υπάρχουν πίσω από τον σκληρό και τα cd/dvd για να τα κάνουν master slave...) από την μητρική με την μπαταρία πάνω (να θυμάσαι ακριβώς που μπαίνει το καθένα μετά) το αφήσαμε κανένα 5 λεπτό έτσι και μετά τα ξαναβάλαμε. μετά έγινε format αργο (δεν νομίζω να έχει διαφορα που το έκανες εσύ πριν) και τέλος κατεβάσαμε το patchaki που ανάφεραν πιο πάνω. αν και αν έχεις το sp2 δεν χρειάζεται.τωρα το pc δουλευει μια χαρα και το μηνυμα δεν ξαναεμφανιστηκε. Οι αλλοι τροποι δεν με βοηθησαν καθολου. μονο ετσι καθαρισε Link to comment Share on other sites More sharing options...
backgroundman Νοέμβριος 29, 2005 #15 Κοινοποίηση Νοέμβριος 29, 2005 Έχεις δοκιμάσει στο recovery του RPC (service) να βάλεις restart the service αντι του restart the computer που είναι default ??? Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.