[Petya V4sechkin]

charon, падение lsass.exe может быть следствием сетевых атак через незакрытые уязвимости (например, DoublePulsar на первом этапе использует EternalBlue, затем инжектирует вредоносный код в процесс lsass.exe).

Убедитесь, что установлены критические обновления в Центре Windows Update.

Цитата:

Как достать файл lsass.exe из образа .wim ? P.S. chkdsk и scf показываю что ошибок нет.

Не надо доставать файл, с ним всё в порядке (если sfc /scannow выполняется без ошибок). Атаке подвергается системный процесс, а не файл.

[charon]

Цитата Petya V4sechkin:

падение lsass.exe может быть следствием сетевых атак через незакрытые уязвимости...

Вариант возможный, но маловероятный.
1. Целевая атака исключается. IP динамический, отследить невозможно.
2. Соединение через роутер. Сетевой экран замучаешься обходить.
P.S. Да и на фиг я кому нужен. Ценных данных на компе нет.

Зависание происходит при загрузке игр через веб-загрузчики (MY.GAMES Игровой центр mail.ru, NEXTRP Launcher, Game Center Wargaming.net Game Center). Закачка доходит, например до 5 Гб, дальше зависание, потом продолжается без ошибок еще сколько-то байт, дальше опять глюк. Чтобы загрузить 20-30 Гб приходится раз 5 перегружаться и начинать по-новой.
Все закачки используют .torrent.
Остается предположить что "уважаемые" компании атакуют. Нафига им это надо?

Просто я даже не могу предположить что надо засунуть в поток пакетов, чтобы этот код обработался и вызвал зависание.

Цитата Petya V4sechkin:

Убедитесь, что установлены критические обновления в Центре Windows Update. »

Если бы еще знать какое именно обновление нужно. Все подряд устанавливать - не вариант. Сколько раз сталкивался, что после обновления что-то начинает глючить.
Одно ремонтируется, другое ломается. Потому, с тех пор, устанавливаю только те обновления, которые мне действительно требуются.

[Petya V4sechkin]

charon, приведите значения параметров Authentication Packages, Notification Packages, Security Packages в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Сделайте дамп процесса по инструкции
[решено] Ошибка приложения lsass.exe c кодом состояния с0000005

[charon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\
00,73,00,70,00,6b,00,67,00,00,00,70,00,6b,00,75,00,32,00,75,00,00,00,00,00

Для дампа буду ждать ошибку.

P.S. Спасибо что напомнили о SysinternalsSuite. Пересмотрел, много новых утилит появилось. Я думал после покупки Майкрософт Рисинович забросит свой пакет.

[Petya V4sechkin]

charon, в параметре Authentication Packages у вас что-то нездоровое (иероглифы, которых там не должно быть).

Цитата:

Соединение через роутер.

Смотря какой тип подключения к интернету.
Кроме того, проверьте настройки (режим) роутера.

Цитата:

Целевая атака исключается.

Конечно, оно же просто сканирует целые подсети.

Цитата:

Если бы еще знать какое именно обновление нужно. Все подряд устанавливать - не вариант. Сколько раз сталкивался, что после обновления что-то начинает глючить.

И вот сейчас из-за отсутствия критических обновлений вы столкнулись с тем, что какой-то троян (например, использующий алгоритм DoublePulsar и уязвимость EternalBlue) раз за разом пробивает вашу систему.

[charon]

Цитата Petya V4sechkin:

Authentication Packages у вас что-то нездоровое (иероглифы, которых там не должно быть) »

Отображается как msv1_0 тип reg_multi_sz

[charon]

Цитата Petya V4sechkin:

Смотря какой тип подключения к интернету. »

- Type: Ethernet
- Protocol: PPPoE

NAT Setup Enable Network Address Translation

[charon]

Цитата Petya V4sechkin:

из-за отсутствия критических обновлений вы столкнулись с тем, что какой-то троян ... раз за разом пробивает вашу систему. »

Все это так. Не спорю.
Но кто ж мог подумать что игровые центры используют вирусную технологию. Потому как был запущен только их клиент.
А с обновлениями своего мнения не изменил: ставить только если "припрет".
Потому что...
Вот только что установил финальные обновления для 7-ки KB4534310 и KB4534314. Вроде как финальные, все, багов не должно быть. И тут же читаю:

Цитата:

Известные проблемы, связанные с этим обновлением После установки KB4534310 обои рабочего стола могут отображаться черными, если выбрано значение Растянуть. Обходное решение Эта проблема устранена в KB4539601, если вы используете ежемесячные накопительные пакеты. Если вы используете обновления только для системы безопасности, см. статью KB4539602. Эти обновления доступны для всех клиентов, использующих Windows 7 SP1 и Windows Server 2008 R2 SP1.

Смотрю дальше.
Обновление для Windows 7 для систем на базе процессоров x64 (KB4539602), 01.2020

Цитата:

Аннотация Это обновление устраняет описанную ниже проблему. В этой папке рассматриваются проблемы, которые могут привести к тому, что в качестве фонового рисунка будет выбрано значение " растянуть ". Важно! Прежде чем приступить к установке этого обновления, ознакомьтесь с разделом "необходимые условия". Известные проблемы, которые возникают в этом обновлении В настоящее время мы не осведомлены о проблемах, влияющих на данное обновление. Как получить это обновление Каталог Центра обновления Майкрософт Чтобы получить доступ к отдельному пакету для этого обновления, перейдите на веб-сайткаталога Центра обновления Майкрософт . Предварительные условия Перед установкой этого обновления на компьютере должны быть установлены указанные ниже обновления. При использовании центра обновления Windows эти обновления будут предлагаться автоматически по мере необходимости. Необходимо установить Обновление SHA-2 (KB4474419), выпущенное 23 сентября, 2019 или более поздней версии, а затем перезапустить устройство, прежде чем приступить к установке этого обновления. Если вы используете Windows Update, вам будет предложено установить Последнее обновление SHA-2 автоматически. Дополнительные сведения об обновлениях SHA-2 можно найти в статьях требования поддержки подписывания кода SHA-2 для Windows и WSUS. 2019 Необходимо установить обновление стека обслуживания (SSU) (KB4490628) от 12 марта 2019 г. или более поздней версии для обновления SSU. Более подробную информацию о последних обновлениях SSU можно найти в статьяхADV990001 | Последние обновления стеков обслуживания.

Т.е. чтобы исправить одну ошибку пришлось установить KB4534310, KB4534314, а чтобы их установить надо установить KB4490628 и KB4474419, а чтобы исправить то что исправило обновление надо установить KB4539602. Чтобы установить KB4539602 там тоже есть предварительные условия. Уже не стал читать. И после всех установок

Цитата:

... после установки KB4534310 или KB4534314 корпорация Microsoft также рекомендует установить обновление служебного стека (KB4536952).

Слава богу хоть на KB4536952 цепочка закончилась.

Чтобы исправить 1 баг пришлось установить 6 (ШЕСТЬ) обновлений. И это не полная цепочка. Начни читать все описания обновлений и все выполнять - только этим и будешь заниматься. Им там хорошо - их много, а у меня голова одна.

P.S. Пока буду ждать. Может действительно обновления помогут.

[charon]

Цитата charon:

Может действительно обновления помогут »

Помогли частично. Теперь не подвешивается ОС, а делает рестарт. В журнале инфа та же. Дамп lsass пока сделать не получилось - трудно момент поймать.
P.S. Спасибо хоть ОС стала перегружаться, а не висеть. Уже как-то легче.