LSASS.EXE dando pauzeira

[Borelli]

Pessoal ! Boa noite a todos !

 

Um computador que vendi, faz algum tempo, voltou com um problema, como bom samaritano, vou resolver sem cobrar, não deveria, mas, vou fazer.

 

Tão logo liga a máquina, tanto em MODE SEGURANÇA, quanto no MODO NORMAL, antes de entrar qualquer coisa no Windows, mas, já na tela gráfica dá o seguinte erro:

 

LSASS.EXE Erro de APLICATIVO

Aplicativo não pode ser iniciado corretamente (0xc0000005).

Clique OK para finalizar o finalizar a execução

 

Pára por aí, não faz mais nada, não termina de entrar no Windows, pára tudo.

 

Bom, dei uma olhada no google, a primeira impressão é o vírus SASSER.

 

Tentei usar um Windows XP Bootavel pelo CD, mas, nunca vi, nada roda naquele Windows, fica tudo parado, dá uns erros muito estranhos, mas presta para transferir arquivos, apagar temporários, etc.

 

Depois de alguma briga, resolvi sobrepor o Windows, instalou tudo, passei para o IE7, WMP11 e começaram as atualizações do Windows, depois de alguns ressetes, mais algumas atualizações, na última, deu o mesmo erro no Lsass.

 

Tá mesmo com todo jeito de vírus.

 

Qual e como deveria utilizar os antivirus ?

 

Pensei no BANKERFIX e COMBOFIX, um FPROT do Hyrens ?

 

Que sugestões os Srs teriam ?

 

Obrigado

Borelli

[Borelli]

Vulnerabilidade do LSASS.EXE ou RPC - vírus Blaster, Sasser, isass.exe, etc

Existe o LSASS.EXE que é o processo do Windows e o ISASS.EXE que é um vírus. No caso do processo (com letra L de Laranja), o Sasser/Blaster/Bobax/Korgo podem infectar este arquivo. Atualize via www.windowsupdate.com para manter as correções instaladas e atualizadas! Veja este outro tópico sobre Windows Update: http://spaces.msn.com/members/mediugorie/Blog/cns!1p9gFWrrUkicL8WeZJt3H2xA!119.entry

O processo do Windows LSASS.EXE ou Local Security Authority Service é um processo do subsistema de segurança do Windows, e tem a finalidade de validar e verificar os logins de usuários no seu computador ou servidor. Tecnicamente, este processo opera para o serviço WINLOGON.
Se o erro acontece durante a instalação, e você tem ADSL, desconecte o cabo e conclua a instalação.

Correção para o Lsass:
Atualização de segurança para o Windows XP (KB835732)
Atualização de segurança para o Windows 2000 (KB835732)
Atualização de segurança para o Windows Server 2003 (KB835732)
Atualização de segurança para o Windows NT Workstation 4.0 (KB835732)
Atualização de segurança para o Windows NT Server 4.0 (KB835732)

Correção Lsass / Fix Sasser:  http://securityresponse.symantec.com/avcenter/FxSasser.exe

Correção para o RPC:
Blaster: Atualização de segurança para o Windows XP
Blaster: Atualização de segurança para o Windows 2000
Blaster: Atualização de segurança para o Windows Server 2003 32-Bit Edition
Blaster: Atualização de segurança para o Windows NT 4.0

Correção RPC / Fix Blaster:  http://securityresponse.symantec.com/avcenter/FixBlast.exe

O ISASS.EXE é um vírus que se infiltra no sistema, uma variante do OPTIX PRO TROJAN, que abre a porta TCP 3410 e permite que uma pessoa má intencionada assuma o controle de seu computador. Ele pode ter sido pego em algum site com programação Java hostil, via e-mail como anexo, ou por causa de um firewall/antivírus inexistente ou desativado. O nome, quando digitado em letras minúsculas se assemelha muito com o nome do processo do Windows lsass.exe, e isto faz ele passar quase desapercebido quando acessamos os processos listados no gerenciador de tarefas (Ctrl+Shift+Esc).

Como se não bastasse um vírus chamado ISASS.EXE, e um processo LSASS.EXE vulnerável, existem worms (vírus especializados em desencadear ataques nas redes), como o Sasser, o Blaster e o Win32.Worm.Bobax, variantes A a C que ainda ajudam a aumentar nossas dores de cabeça. Assim, todas as versões de worms como o Sasser, Blaster e Bobax tentam acessar uma faixa de endereços IP verificando se os sistemas apresentam a vulnerabilidade LSASS. Se eles encontram vulnerabilidade, enviam instruções para que o próprio equipamento faça o download e execute um arquivo contendo o código malicioso embutido no worm.
Mas como saber que isto está acontecendo no meu micro.. Um efeito colateral é o estouro de buffer que desencadeia o reinício do computador. Enquanto a vulnerabilidade LSASS somente afeta sistemas Windows XP ou 2000, o Bobax e suas variantes também podem afetar todas as demais versões do Windows. Nesse caso os worms não podem simplesmente entrar nos computadores de forma automática, sendo necessário que o usuário dê uma ajudinha, executando um arquivo que contenha algum exemplar do Bobax para que o equipamento seja infectado. Uma vez instalado no sistema, os worms Bobax abrem vários portas de comunicação de forma aleatória, permitindo a usuários maliciosos utilizar o sistema como um servidor SMTP para o envío de correio eletrônico. Sabe aquela história do seu amigo que te xingou porque mandou um monte de vírus para ele... E na verdade você nem tinha enviado e-mail nenhum na última semana. Para remover o Bobax, use a ferramenta da BitDefender

Recomendações para segurança do micro e remoção de intrusos:

1. Ative o Firewall de Conexão com a Internet no computador afetado.
2. Desconecte o computador da Internet.
3. Reinicie o computador. Se você obter problemas na reinicialização, inicie em modo de segurança.
4. Pressione CTRL+ALT+DEL.
5. Clique em Gerenciador de Tarefas.
6. Clique na guia Processos.
7. Mantenha pressionada a tecla CTRL e clique em C:\WINDOWS\avserve.exe e c:\WINDOWS\system32\*_up.exe.
8. Clique no botão Finalizar tarefa.
9. Clique em Iniciar.
10. Clique em Pesquisar. Localize e apague os seguintes arquivos:
- C:\WINDOWS\avserve.exe
- C:\WINDOWS\system32\*_up.exe
11. Clique em Iniciar novamente, clique em Executar e digite regedit.
12. Clique em OK.
13. No Editor de Registro, localize e apague a seguinte chave do Registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe
14. Conecte o computador à Internet
15. Acesse o site Windows Update e clique no botão Procurar por atualizações disponíveis.
16. Faça o download e instale as atualizações críticas recomendadas após a varredura.
e uma atualização preventiva é essa: http://www.rnp.br/cais/alertas/2004/MS04-011.html