Возможно завелся троян. - Помощь - Форумы Anti-Malware.ru Перейти к содержанию
Ingener

Возможно завелся троян.

Recommended Posts

Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
должен ли быть файл lsass в директории sustem 32

Lsass.JPG

Если такой, то должен быть. Если свойства его пустые, то - засланец. :)

Lsass.exe является сервером аутентификации локальной защиты, создающим процесс, ответственный за проверку пользователей для службы Winlogon.

post-3999-1242849568_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
система не загружается

А в безопасном режиме через F8?

что это за lsass - зловред или нет.

На моей картинке видно, что у меня такой же - не зловред. Но иногда недруги маскируются под системные файлы.

Например, сетевые черви Sasser, Nimos, Lovgate и др. содержат исполняемый файл с именем lsass.exe.

На это видимо Avira PSS 9 и среагировала. Даже если не зловред, то банальная перестраховка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
После блокировки сетевого соединения и перезагрузки система не загружается - похоже придется перезалить систему с образа. Но мне всё же интересно что это за lsass - зловред или нет.

Это полезная бифидобактерия (С) БОР

Если быть точным - важный системный сервис, более подробно -http://ru.wikipedia.org/wiki/Local_Securit...bsystem_Service

Впрочем, зловреды, внедряющиеся в этот процесс (или использующие его уязвимости) - штука нередкая. Так что я бы рекомендовал провериться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Рано обрадывался после нажатия кнопки ок на окошке система дальше не грузится - не могу ввести пароль.

Собственно, это свидетельствует о том, что оригинальный файл поврежден и неработоспособен, поскольку за логин пользователей ответственен и он тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
система дальше не грузится - не могу ввести пароль.
Lsass.exe является сервером аутентификации локальной защиты, создающим процесс, ответственный за проверку пользователей для службы Winlogon.

Естественно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Сравнил CRC-суммы SFV, MD5 - изменений нет, полностью совпадают - может программа заразит файл потом в процессе работы (буду периодически проверять), а может это Avira 9 что-то сотворила с файлом lsass - могла ли она его повредить?

Не должна была. Единственное - при Вашем решении его блокировать Авира могла его просто запихнуть в свой карантин.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Ingener

Я бы отправил установщик в разные лаборатории, особенно в ЛК и Др.Веб. 'Второе мнение' не мешает...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Скорее всего заражает не программа, а кряк, который вы использовали ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
заражает не программа, а кряк

А что это за программа для расчёта фундаментов? Как её зовут то? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Программа "Мономах" - разработчики украинская компания Lira

Ага вот эта, значит. Там и демо-версии есть.

Можно протестировать, кто захочет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
может кто на досуге спроектирует

Ну да, тут ума палату сначало заиметь надо. Или готовый шаблон открыть, чтобы что-нибудь в нём накосячить. ;)

И Вы всё это понимаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Там ничего особо сложного нет.

Все так говорят, но не все дома строят. В программе разобраться то можно и даже в ГрандСмете всё просчитать тоже, и бухгалтерию в 1С подвести,.. но дом построить на таком фундаменте - это труднее.

Каждому своё!

В программе для расчета монолитных плит фундаментов я разобрался с нуля примерно за день - самая геморойное там разобраться в системе координат.

Голова! Разберётесь, если трояны не помешают. :)

Ну и что там с системой и нашими/вашими троянами? В Инет ещё просятся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Совет на будущее. Самой быстрой и простой проверкой процесса/известного системного файла/известной старой программы является проверка по базе чистых АВЗ:

Сервис - Проверить файл по базе безопасных - (выбираем файл).

И получить должны следующее:

Файл: C:\WINDOWS\system32\lsass.exe. Результат: Файл обнаружен в базе системных и безопасных объектов AVZ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Самой быстрой и простой проверкой процесса/известного системного файла/известной старой программы является проверка по базе чистых АВЗ

Если файл есть в базе безопасных. Без полной уверености нельзя принимать решения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
    • santy
      RP55, есть у тебя ТГ?
    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
×