Перейти к содержанию

служба lsass.exe грузит весь исходящий канал


Рекомендуемые сообщения

Опубликовано

Доброго времени суток господа гуру сисадмины

Прошу Вашей помощи

Создавал тему в другой группе и после определенных манипуляций господа которые подсказывали что делать сказали обратиться сюда и указать ссылку на тему которую создал

Прошу помощи

Перейдя по ссылке описаны все шаги и есть вложения

Спасибо

 

 

Опубликовано

Я бы для начала драйвера на сетевые карты обновил до актуальных версий. Плюс сделайте отчет gsi и выложите его сюда.

Опубликовано

Здравствуйте,

Пoхоже вам необходимо попробовать использовать wireshark, чтобы проанализировать сетевой трафик, как возможный вариант идет атака на днс-сервер или ldap.

 

Я в логах увидел следующее правило:

FirewallRules: [{2663170C-AF77-4F32-BDD5-8A9D9F11DE09}] => (Block) LPort=389

уточните пожалуйста вы блокируете какой протокол TCP или UDP?

Опубликовано

Человек пишет, что трафик слишком большой именно исходящий. В случае сетевых атак трафик зашкаливал бы входящий. 

Опубликовано
19.01.2021 в 15:37, Andrey_06_kz сказал:

Доброго времени суток господа гуру сисадмины

Прошу Вашей помощи

Создавал тему в другой группе и после определенных манипуляций господа которые подсказывали что делать сказали обратиться сюда и указать ссылку на тему которую создал

Прошу помощи

Перейдя по ссылке описаны все шаги и есть вложения

Спасибо

 

 

Хочу сказать что решил проблему созданием правила в локальной политике безопасности на блокировку исходящего трафика 

Не знаю на сколько это правильно, но помогло

 

12 часов назад, SQ сказал:

Здравствуйте,

Пoхоже вам необходимо попробовать использовать wireshark, чтобы проанализировать сетевой трафик, как возможный вариант идет атака на днс-сервер или ldap.

 

Я в логах увидел следующее правило:



FirewallRules: [{2663170C-AF77-4F32-BDD5-8A9D9F11DE09}] => (Block) LPort=389

уточните пожалуйста вы блокируете какой протокол TCP или UDP?

и тот и то пробовал в брандмауэре, но результата не дало

в политике безопасности ip фильтрации 389 заблочил по udp и сразу норм всё стало

Но всё же хотелось бы узнать причину почему так происходит

Говорили что возможно такое бывает из-за обнов

Опубликовано (изменено)

Почитайте ссылку, может натолкнет на какие-то идеи:

https://www.atlex.ru/baza-znanij/rukovodstva/kak-ubeditsya-chto-sluzhba-ldap-na-windows-server-ne-mozhet-byt-ispolzovana-dlya-atak/

 

Сервер за роутером?

Возможно надо искать заражение внутри сети.

Изменено пользователем andrew75
Опубликовано
39 минут назад, andrew75 сказал:

Почитайте ссылку, может натолкнет на какие-то идеи:

https://www.atlex.ru/baza-znanij/rukovodstva/kak-ubeditsya-chto-sluzhba-ldap-na-windows-server-ne-mozhet-byt-ispolzovana-dlya-atak/

 

Сервер за роутером?

Возможно надо искать заражение внутри сети.

всё таки есть предположение что это какая то гадость залезла да?

Правда Ваши коллеги по вирусам сказали что не смогут помочь и к Вам отправили)

Опубликовано
2 минуты назад, Andrey_06_kz сказал:

сказали что не смогут помочь

Уточню: по предоставленным логам с конкретного компьютера ничего вредоносного обнаружено не было.

  • Согласен 1
Опубликовано

Чтоб понять причину, надо знать куда направляется трафик. Вам написали инструменты procmon, wireshark. Пробуйте с помощью них определить, куда отправляется трафик.

 

Опубликовано
11 часов назад, Sandor сказал:

Уточню: по предоставленным логам с конкретного компьютера ничего вредоносного обнаружено не было.

Я в этих делах не эксперт, но возможно есть продвинутые вредоносы, которые с вашими антивирусными утилитами так просто не обнаружить, если они уже активны в системе.

Опубликовано
20 часов назад, Andrey_06_kz сказал:

Говорили что возможно такое бывает из-за обнов

А обновы у вас регулярно ставятся?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ekaterinaa
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • XromoV1K
      Автор XromoV1K
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. Некоторые удалить получилось, остальные не поддаются
      CollectionLog-2025.07.19-22.17.zipAddition.txt 
      FRST.txt
       
      в центре обновления windows пишет: что-то пошло не так.
      устранение неполадок не грузит постоянно пишет: проверка наличие отложенного перезапуска и так бесконечно 
    • AbzalRai
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • Lana121
      Автор Lana121
      Здравствуйте! Прошу о помощи. Словила вирус, удалила его через KVRT, но остались переименнованные службы wuauserv_bkp, bits_bkp, dosvc_bkp, UsoSvc_bkp, WaaSMedicSvc_bkp. Вследствие чего: не работают центр обновлений и Microsoft Store. Пожалуйста, помогите🙏CollectionLog-2025.08.09-19.55.zip
    • SonG
      Автор SonG
      Добрый день!  На Server 2022 (Standart) появились вирусы.
      1. Сначала был Trojan.Win32.SEPEH, но после 3-4 проверок Kaspersky Endpoint Security, пропал. В это время уже центр обновлений не работал
      2. Дальше полез в реестр и слкжбы службы. На службах wuauserv, usosvc, BITS, WaaSMedicSvc, DoSvc, wuaserv, был постфикс "_bak" (оригиналы при этом были). Удалил из под безопасного режима, прогнал антивирусом и перезапустился. Вроде больше не появлялись.
       
      Теперь центр обновлений так и не работает, но на глаз попались другие службы, где уже другие названия:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CaptureService_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cbdhsvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ConsentUxUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeviceAssociationBrokerSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicePickerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicesFlowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PrintWorkflowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UdkUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UnistoreSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WpnUserService_b1e5e  
      Что делать, куда "копать" ?) 
      Физический доступ к серверу бывает раз в день (99% операций провожу под RDP)
      CollectionLog-2025.06.01-16.59.zip FRST.txt Addition.txt
×
×
  • Создать...