опять Sasser?

**kubik** · 15.01.2007, 21:22

Windows 2003 Server перегружается с ошибкой в lsass.exe. На серваке запущен Symantec который ничего не находит. Прогон Microsoft Malicious Sofware Removal Tool ничего не дает. Ни CureIt, ни AVZ ничего не находят...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 15.01.2007, 21:38

Выполнить код в AVZ , после того как компьютер перегрузиться прислать карантин по правилам .

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('c:\program files\cvsnt\cvs.exe','');
 QuarantineFile('c:\sitex\teamcity\builda~1\bin\agentd.exe','');
 QuarantineFile('\SystemRoot\System32\Drivers\dump_MegaSR.sys','');
 QuarantineFile('MegaSR.sys','');
 QuarantineFile('c:\oracle\ora92\bin\tnslsnr.exe','');
 QuarantineFile('c:\program files\cvsnt\cvslock.exe','');
 QuarantineFile('c:\SystemRoot\system32\DRIVERS\cdrom.sys','');
QuarantineFile('c:\windows\system32\ccm\ccmexec.exe','');
 QuarantineFile('c:\windows\system32\inetsrv\inetinfo.exe','');

RebootWindows(true);
end.

Хм , а где второй лог от авз ? Хоть имена разные , а внутри тоже самое ;D ;D ;D

**RobinFood** · 16.01.2007, 01:02

Я подозреваю, что виноват setuid.dll. Насколько я понимаю, setuid.dll является частью cvsnt, но ума не приложу, зачем он подгружается в адресное пространство lsass.exe.

В подтверждение своих подозрений привожу ссылку на аналогичную проблему.

**kubik** · 16.01.2007, 13:18

Обновил cvs до последней версии, будем ждать...

опять Sasser? (заявка № 7507)

Опции темы

опять Sasser?

Похожие темы

Блокированы сайты и автоматическая перезагрузка (sasser?)

W32.Sasser.Worm по определению Дядюшки Нортона

Автор Sasser'а получил работу в Securepoint

Удаление червя Jobaka aka Sasser

Ваши права в разделе