Перейти к содержанию
Ingener

Возможно завелся троян.

Recommended Posts

Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
должен ли быть файл lsass в директории sustem 32

Lsass.JPG

Если такой, то должен быть. Если свойства его пустые, то - засланец. :)

Lsass.exe является сервером аутентификации локальной защиты, создающим процесс, ответственный за проверку пользователей для службы Winlogon.

post-3999-1242849568_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
система не загружается

А в безопасном режиме через F8?

что это за lsass - зловред или нет.

На моей картинке видно, что у меня такой же - не зловред. Но иногда недруги маскируются под системные файлы.

Например, сетевые черви Sasser, Nimos, Lovgate и др. содержат исполняемый файл с именем lsass.exe.

На это видимо Avira PSS 9 и среагировала. Даже если не зловред, то банальная перестраховка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
После блокировки сетевого соединения и перезагрузки система не загружается - похоже придется перезалить систему с образа. Но мне всё же интересно что это за lsass - зловред или нет.

Это полезная бифидобактерия (С) БОР

Если быть точным - важный системный сервис, более подробно -http://ru.wikipedia.org/wiki/Local_Securit...bsystem_Service

Впрочем, зловреды, внедряющиеся в этот процесс (или использующие его уязвимости) - штука нередкая. Так что я бы рекомендовал провериться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Рано обрадывался после нажатия кнопки ок на окошке система дальше не грузится - не могу ввести пароль.

Собственно, это свидетельствует о том, что оригинальный файл поврежден и неработоспособен, поскольку за логин пользователей ответственен и он тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
система дальше не грузится - не могу ввести пароль.
Lsass.exe является сервером аутентификации локальной защиты, создающим процесс, ответственный за проверку пользователей для службы Winlogon.

Естественно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Сравнил CRC-суммы SFV, MD5 - изменений нет, полностью совпадают - может программа заразит файл потом в процессе работы (буду периодически проверять), а может это Avira 9 что-то сотворила с файлом lsass - могла ли она его повредить?

Не должна была. Единственное - при Вашем решении его блокировать Авира могла его просто запихнуть в свой карантин.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Ingener

Я бы отправил установщик в разные лаборатории, особенно в ЛК и Др.Веб. 'Второе мнение' не мешает...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Скорее всего заражает не программа, а кряк, который вы использовали ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
заражает не программа, а кряк

А что это за программа для расчёта фундаментов? Как её зовут то? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Программа "Мономах" - разработчики украинская компания Lira

Ага вот эта, значит. Там и демо-версии есть.

Можно протестировать, кто захочет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
может кто на досуге спроектирует

Ну да, тут ума палату сначало заиметь надо. Или готовый шаблон открыть, чтобы что-нибудь в нём накосячить. ;)

И Вы всё это понимаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Там ничего особо сложного нет.

Все так говорят, но не все дома строят. В программе разобраться то можно и даже в ГрандСмете всё просчитать тоже, и бухгалтерию в 1С подвести,.. но дом построить на таком фундаменте - это труднее.

Каждому своё!

В программе для расчета монолитных плит фундаментов я разобрался с нуля примерно за день - самая геморойное там разобраться в системе координат.

Голова! Разберётесь, если трояны не помешают. :)

Ну и что там с системой и нашими/вашими троянами? В Инет ещё просятся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Совет на будущее. Самой быстрой и простой проверкой процесса/известного системного файла/известной старой программы является проверка по базе чистых АВЗ:

Сервис - Проверить файл по базе безопасных - (выбираем файл).

И получить должны следующее:

Файл: C:\WINDOWS\system32\lsass.exe. Результат: Файл обнаружен в базе системных и безопасных объектов AVZ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Самой быстрой и простой проверкой процесса/известного системного файла/известной старой программы является проверка по базе чистых АВЗ

Если файл есть в базе безопасных. Без полной уверености нельзя принимать решения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×