lsass.exe поедает ресурсы

[Faust]

С недавних пор, придя по утру на работу, контроллер домена (он же днс) отказывается пинговаться (как следствие - рдп нет, днс нет, вообще ничего нет=) ). В логах пусто (за исключением событий, которые ругаются на нехватку ресурсов). При подключении к нему монитора - висит экран ввода логина/пароля, на нажатия кнопок клавиатуры долго не реагирует, после чего выводится окно о нехватке ресурсов - дальше дело не идет. Помогает лишь ребут.
Как-то раз, в один из таких моментов (пинг перестал ходить, днс не откликался), я был подключен через радмин и умудрился посмотреть диспетчер процессов - процесс lsass.exe отхавал весь проц.
http://ru.wikipedia.org/wiki/Lsass.exe
Порыл яндекс, погуглил, ссылаются на вирус и никаких других подсказок=(
Win 2k3 sp2. Последние обновления установлены.
Тестил др вебом, макафей, авз, антималваре, всякими прочими штуками - пусто, вирей не находит. Никаких подозрительных файликов в док и сеттингс нет, систем32 тоже пролистал - все ОК....
Помогите люди добрые, что ж за беда такая

[Faust]

Товарищи, все жесть ситуации в том, что процесс начинает жрать проц в любое время, это может быть когда угодно. И когда оно жрет - все висит, даже залогиниться не получится никак. Даже локально.
По этой же причине не помогут и процессэксплореры..
Я думал, что есть какая-то заплатка от мелкомягких или ещё какая другая причина...
техподдержка supermicro вообще отдыхает %)

[Crypt]

Я думал, что есть какая-то заплатка от мелкомягких или ещё какая другая причина...
техподдержка supermicro вообще отдыхает %)

Ты на вирусы нормально проверил? Ведь выходные были....

[Faust]

Ты на вирусы нормально проверил? Ведь выходные были....

Все чисто

[Crypt]

Все чисто

Чем и как проверял?

[Matiz]

Товарищи, все жесть ситуации в том, что процесс начинает жрать проц в любое время, это может быть когда угодно. И когда оно жрет - все висит, даже залогиниться не получится никак. Даже локально.
По этой же причине не помогут и процессэксплореры..
Я думал, что есть какая-то заплатка от мелкомягких или ещё какая другая причина...
техподдержка supermicro вообще отдыхает %)

Мда...
В гугле вас правда забанили?
http://support.microsoft.com/kb/939268/en-us
Это то, что есть после двух секунд поиска.
Если потратить целых полторы минуты - вариантов будет еще больше.

[rооt#]

А ты деньги в следующий раз бери за уроки по пользованию поисковиками.

[Faust]

Мда...
В гугле вас правда забанили?
http://support.microsoft.com/kb/939268/en-us
Это то, что есть после двух секунд поиска.
Если потратить целых полторы минуты - вариантов будет еще больше.

Спасибо за ссылку, на такие фиксы не натыкался. Поставил, время покажет...
Тему прикрою пока, дабы не было флуда.

[Faust]

Проблема не исчезла...к lsass.exe добавился и svchost.exe
Симптомы все те же - нет отклика, к терминалу не подключится и т.д. и т.п.
FileMon ничего сверхъестественного не показал, то explorer шелл опрашивает, то макафи тестит системную папку, то ещё что-то.

[Dee_Wasted]

Проблема не исчезла...к lsass.exe добавился и svchost.exe
Симптомы все те же - нет отклика, к терминалу не подключится

Это сассер... Надо лечить через AVZ, перехватывать системные процессы, грохать эти процессы, смотреть какими файлами они запущены, и эти файлы грохать.
Файловый антивирус ничего не сдалает. Он даже не найдет проблем

[Dee_Wasted]

Кстати, гляно на службы "Рабочая станция" и "Сервер", практически уверен что они стоят в "авто" запуске, но не запущены. Поэтому не работает терминал, локалка, зато интернет есть.

[Faust]

Кстати, гляно на службы "Рабочая станция" и "Сервер", практически уверен что они стоят в "авто" запуске, но не запущены. Поэтому не работает терминал, локалка, зато интернет есть.

Работают.
Это не сассер.
1. Установлены все заплатки.
2. В автозапуске пусто
3. Средства нахождения гадостей от Symantec и Касперского ничего не выявили

[Dee_Wasted]

Работают.
Это не сассер.
1. Установлены все заплатки.
2. В автозапуске пусто
3. Средства нахождения гадостей от Symantec и Касперского ничего не выявили

Он мутирует... Заплатки не спасают... У нас подобная беда на рабочих станциях творилась. Ни симантек и кашпировский его не найдут. Как и говорил - первое действие: заусти AVZ, пошерсти процессы.

[Dee_Wasted]

И в явном виде в автостарте его не будет, он просто запускается через библиотеку.

[Faust]

avz
Процессы - чисто
Автозагрузка - чисто
Сканирую в полном фарше

[Kasen]

Он мутирует...

Что делает? ) Сассер теперь черепашка нинзя?
А по делу, а разве вин2003р2сп2 вообще когда либо был подвержен сассеру, с учетом того, что этот вирус эксплуатирует всего лишь ОДНУ уязвимость?

[Faust]

avz
Процессы - чисто
Автозагрузка - чисто
Сканирую в полном фарше

Резалт 0

[rооt#]

во, кстати... а там SQL нету случайно?

[Faust]

во, кстати... а там SQL нету случайно?

Неа

Кстати, вот ещё
lsass.exe
MD5:     435f4dec4b7b03c920b143bba73b5860
Со второго сервака - аналогичен.

Прикреплю ещё лог RootkitRevealer

[Dee_Wasted]

Резалт 0

Интересное кино...

[Dee_Wasted]

Что делает? ) Сассер теперь черепашка нинзя?

Подъ.б навреное? По делу-то есть чего? Или так, пернуть решил? Поменьше читай кульхацкера. Посерьезнее изучи чего-нибудь
Net-Worm.Win32.Sasser.a
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. Патч,...

Net-Worm.Win32.Sasser.b
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. Патч,...

Net-Worm.Win32.Sasser.f
[ в описаниях объектов ]


Trojan-Dropper.DOS.Expiro.h
[ в описаниях объектов ]


Net-Worm.Win32.Sasser.as
[ в описаниях объектов ]


Net-Worm.Win32.Sasser.c
[ в описаниях объектов ]

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. Патч,...

Net-Worm.Win32.Sasser.g

Продолжать?