• XSS.stack #1 – первый литературный журнал от юзеров форума

LSAS

Отслеживать

VerdiX

CD-диск
Пользователь
Регистрация
06.11.2006
Сообщения
13
Реакции
0
Не знаю где но подципил ЧЕРВЯ. Win32.HLLW.Agobot.3


Имена файлов, используемые вирусом:

LSAS.EXE

Другие названия:

W32.HLLW.Gaobot,W32.HLLW.Gaobot.AF,W32/Gaobot.worm.gen,Backdoor.Agobot.3.p, WORM_AGOBOT.H

Добавлен в вирусную базу Dr.Web

21 декабря 2002 г. 01:30 MSK - горячее дополнение к версии 4.29

Признаки инфицирования:

* интенсивный трафик по портам TCP/135/445
* наличие в системной директории файла LSAS.EXE
* наличие в реестре следующих ключей:
o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "Windows Explorer" = LSAS.exe
o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices "Windows Explorer" = LSAS.exe

Win32.HLLW.Agobot.3 - вирусная программа-червь. Поражает компьютеры только под управлением операционных систем Windows NT/2000/XP. Основной двоичный компонент червя упакован упаковщиком UPX. Размер программного модуля червя 204 800 байт.

Для попадания в систему червь использует сразу две уязвимости в системе безопасности ОС Windows - дефект в интерфейсе протокола вызова удаленных процедур (так называемую уязвимость RPC DCOM - подробнее) и уязвимость в сервисе локатора, описанную в бюллетене Microsoft MS03-001.

Что мне делать?
 
1 - глянуть на дату (21 декабря 2002 г. 01:30 ), глянуть на стену и подумать об обнавлении системы.

2 - выгрузить из памяти удалить червя. он в памяти как LSASS. но не спутать с настоящим сассом. настоящий работает изпод SYSTEM а этот из под текущего пользователя

3 - Удалить ключи :

Код: 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Explorer" = LSAS.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "Windows Explorer" = LSAS.exe
 
Un Win

Я видел там дату! У меня nod32 нашол его а удалить не может! Когда я его удалю у меня система не полетит?


Графическая оболочка операционной системы Microsoft Windows, включающая меню пуск, рабочий стол, панель инструментов и файловый менеджер. В случае удаления этого процесса, исчезнет из виду графический интерфейс для Windows.
 
Нет не полетит.
Если ты выгрузишь не тот LSASS то просто перегрузишься.
Этот вирус просто использует похожее название с системным процессом.
Почистить систему ты можешь вручную зная ключи реестра и место хранения вируса.
Перед удалением вируса не забудь выгрузить его из памяти :)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх