Oovz Skrevet 20. juli 2004 Del Skrevet 20. juli 2004 Hei! På jobben har jeg støtt på et stort problem. Det dreier seg om lsass.exe, som blir avsluttet, og PCene rebooter etter 60 sek. Denne feilmeldingen kommer ofte opp før man har logget seg på noe som helst. Vet at dette er velkjent fra Sasser, men dette er ikke Sasser. Removal Tools for Sasser, både fra symantec og microsoft, finner ingenting på mange av PCene som rebooter. Etter litt packet-sniffing på nettverket fant vi ut at det er 2-3 PCer som spammer nettverket med requester om IPer, og vår teori er nå at det er disse som utnytter LSASS.exe-sårbarheten i Windows til å reboote PCene. Men så langt har vi ikke funnet et eneste virus som virker på denne måten. Det sprer seg jo tydeligvis ikke! Det hjelper hvis man legger inn patchen fra MS, men på noen PCer kommer problemet tilbake selv etter patchen er lagt inn. Det er utrolig aggresivt, og spammer et nettverk med fiber backbones så mye at man ofte har problemer med å komme seg på nett. Vi har nå prøvd å sette opp en SuS-server, slik at vi skal slippe å patche alle PCene manuelt. Det er nemlig snakk om rundt 400 PCer.... Så da lurte jeg på : Er det noen som har opplevd noe liknende, eller har noen tips til hvilket virus det kan være? Vi har sjekket det meste av threats hos symantec, mcafee, sofus++, men ingen av dem har et passende virus. Tviler på at det er hackerangrep, siden sikkerheten generelt er veldig god. Sannsynligheten er 99% for at det har blitt tatt med inn av en laptop som har vært koblet til andre nettverk som senere har fått nøyaktig det samme problemet. Noen som har noen forslag? Det kjører NAV2002 Enterprise Edition på alle maskiner. Lenke til kommentar
Alex007 Skrevet 20. juli 2004 Del Skrevet 20. juli 2004 prøv windows update.. sikkert msblast virus Lenke til kommentar
Oovz Skrevet 20. juli 2004 Forfatter Del Skrevet 20. juli 2004 Altså, Blaster har aldri kræsjet lsass.exe. Lenke til kommentar
Pantera Skrevet 20. juli 2004 Del Skrevet 20. juli 2004 Opplevde noe lignende på et par klienter og servere på jobben for noen dager siden. Det var ihvertfall en ny sasser-variant, C muligens. Den forrige (for et par mnd siden) var sasser.A. Uansett, trikset er å stille klokka noen timer tilbake, laste ned patchene fra Microsoft (husker ikke hvilken, så ta alle sikkerhetspatchene). Reboote, og stille klokka tilbake igjen. Veit ikke med Norton, men eTrust fjerna ihvertfall viruset. Men selv om viruset var fysisk borte, så fortsatte maskinene å reboote. Mulig at viruset kødder med lsass-servicen, slik at du MÅ patche, for å bli kvitt det. mvh Pantera Lenke til kommentar
Oovz Skrevet 20. juli 2004 Forfatter Del Skrevet 20. juli 2004 Opplevde noe lignende på et par klienter og servere på jobben for noen dager siden. Det var ihvertfall en ny sasser-variant, C muligens. Den forrige (for et par mnd siden) var sasser.A. Uansett, trikset er å stille klokka noen timer tilbake, laste ned patchene fra Microsoft (husker ikke hvilken, så ta alle sikkerhetspatchene). Reboote, og stille klokka tilbake igjen. Veit ikke med Norton, men eTrust fjerna ihvertfall viruset. Men selv om viruset var fysisk borte, så fortsatte maskinene å reboote. Mulig at viruset kødder med lsass-servicen, slik at du MÅ patche, for å bli kvitt det. mvh Pantera Mhm, den nedtellingen ble eid når vi satte klokka tilbake til februar måned Får bare håpe at SuS-serveren funker, for ellers må jeg løpe maraton Lenke til kommentar
Oovz Skrevet 21. juli 2004 Forfatter Del Skrevet 21. juli 2004 AAH! All hail Microsoft for teh Software Update Sevices. Makan til genialt verktøy! Tvinger gjennom oppdateringer på en genial måte... Dagens tips for bedrifter er SuS server fra Microsoft... Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå