Перейти к содержанию
Ingener

Возможно завелся троян.

Recommended Posts

Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
должен ли быть файл lsass в директории sustem 32

Lsass.JPG

Если такой, то должен быть. Если свойства его пустые, то - засланец. :)

Lsass.exe является сервером аутентификации локальной защиты, создающим процесс, ответственный за проверку пользователей для службы Winlogon.

post-3999-1242849568_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
система не загружается

А в безопасном режиме через F8?

что это за lsass - зловред или нет.

На моей картинке видно, что у меня такой же - не зловред. Но иногда недруги маскируются под системные файлы.

Например, сетевые черви Sasser, Nimos, Lovgate и др. содержат исполняемый файл с именем lsass.exe.

На это видимо Avira PSS 9 и среагировала. Даже если не зловред, то банальная перестраховка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
После блокировки сетевого соединения и перезагрузки система не загружается - похоже придется перезалить систему с образа. Но мне всё же интересно что это за lsass - зловред или нет.

Это полезная бифидобактерия (С) БОР

Если быть точным - важный системный сервис, более подробно -http://ru.wikipedia.org/wiki/Local_Securit...bsystem_Service

Впрочем, зловреды, внедряющиеся в этот процесс (или использующие его уязвимости) - штука нередкая. Так что я бы рекомендовал провериться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Рано обрадывался после нажатия кнопки ок на окошке система дальше не грузится - не могу ввести пароль.

Собственно, это свидетельствует о том, что оригинальный файл поврежден и неработоспособен, поскольку за логин пользователей ответственен и он тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
система дальше не грузится - не могу ввести пароль.
Lsass.exe является сервером аутентификации локальной защиты, создающим процесс, ответственный за проверку пользователей для службы Winlogon.

Естественно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Сравнил CRC-суммы SFV, MD5 - изменений нет, полностью совпадают - может программа заразит файл потом в процессе работы (буду периодически проверять), а может это Avira 9 что-то сотворила с файлом lsass - могла ли она его повредить?

Не должна была. Единственное - при Вашем решении его блокировать Авира могла его просто запихнуть в свой карантин.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Ingener

Я бы отправил установщик в разные лаборатории, особенно в ЛК и Др.Веб. 'Второе мнение' не мешает...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Скорее всего заражает не программа, а кряк, который вы использовали ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
заражает не программа, а кряк

А что это за программа для расчёта фундаментов? Как её зовут то? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Программа "Мономах" - разработчики украинская компания Lira

Ага вот эта, значит. Там и демо-версии есть.

Можно протестировать, кто захочет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
может кто на досуге спроектирует

Ну да, тут ума палату сначало заиметь надо. Или готовый шаблон открыть, чтобы что-нибудь в нём накосячить. ;)

И Вы всё это понимаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Там ничего особо сложного нет.

Все так говорят, но не все дома строят. В программе разобраться то можно и даже в ГрандСмете всё просчитать тоже, и бухгалтерию в 1С подвести,.. но дом построить на таком фундаменте - это труднее.

Каждому своё!

В программе для расчета монолитных плит фундаментов я разобрался с нуля примерно за день - самая геморойное там разобраться в системе координат.

Голова! Разберётесь, если трояны не помешают. :)

Ну и что там с системой и нашими/вашими троянами? В Инет ещё просятся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Совет на будущее. Самой быстрой и простой проверкой процесса/известного системного файла/известной старой программы является проверка по базе чистых АВЗ:

Сервис - Проверить файл по базе безопасных - (выбираем файл).

И получить должны следующее:

Файл: C:\WINDOWS\system32\lsass.exe. Результат: Файл обнаружен в базе системных и безопасных объектов AVZ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Самой быстрой и простой проверкой процесса/известного системного файла/известной старой программы является проверка по базе чистых АВЗ

Если файл есть в базе безопасных. Без полной уверености нельзя принимать решения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
    • PR55.RP55
      1) При срабатывании критерия выделять не всю строку, а только вхождение\результат. Пример: C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL 2) Команду: Архивировать Zoo  добавить и  в меню файла. Если оператор работает с одним файлом - ему не нужно будет метаться по всей программе. Когда группа файлов - тогда, да удобно применить одну команду. Но когда файл один... 3) В Инфо. файла прописывать единственный это файл каталога, или нет. Примерно так: FC:  1 > ADNEKMOD8B4.DLL FC:  5 > Uninstall.exe;  Menu.exe;  MenuDLL.dll;  9z.dll;  Com.bat ; 4) При совпадении пути до файла: PROGRAM FILES ; PROGRAM FILES (X86) с одной из установленных программ. Писать в Инфо.:  C:\PROGRAM FILES (X86)\AIMP3\AIMP3.EXE Программа найдена: C:\Program Files (x86)\AIMP3\Uninstall.exe
    • PR55.RP55
      В связи с переходом угроз для: BIOS\UEFI из теории в реальность... Предлагаю создать отдельную программу для: Копирования\Восстановления; Просмотра; Просмотра info; Передачи на V.T; Расчёта SHA1 Замены прошивки на: https://www.anti-malware.ru/analytics/Market_Analysis/SDZ-MDZ-russia-market-overview и интеграцию с uVS    
×