вот приезжаешь ты однажды домой а тебе комп выдает ошибку процесса lsass.exe
это не комп глючит-это червь Win32:Padobot-I

Worm.Win32.Padobot


Вирус-червь. Также известен под названием Korgo. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.

Червь написан на языке C++. Имеет размер около 10 КБ, упакован UPX.

Размножение
При запуске червь копирует себя в системный каталог Windows с произвольным именем и регистрируется в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUpdate"="%system%\[имя файла]"
Также создает ключ:

[HKLM\SOFTWARE\Microsoft\Wireless]
"Server"="1"
Создает в памяти уникальные идентификаторы "10", "u2", и "uterm5" для определения своего присутствия в системе.

Червь, аналогично другим червям, использующим уязвимость в службе LSASS, выбирает произвольные IP-адреса для атаки и заражения.

Прочее
После заражения инфицированная машина выводит сообщение об ошибке "LSASS service failing", после чего может попытаться перезагрузиться.

Червь открывает на зараженной машине порты TCP 113, 3067 и 2041 для приема команд.

Пытается установить соединение с несколькими каналами на IRC-серверах:

brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
irc.kar.net
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org
для приема команд и передачи данных.

Он же n0xwe11

вирус распостраняется через локальные сети и пролезает через бреши в первом сервис-паке винды ХР.так что лучше иметь либо пак 2 либо поставить заплаток.касперский и панда его по откликам заражавшихся пропускают и источника инфекции не находят
у меня аваст
запустила просканить все в режиме авто-загрузки и вот он выдал список н файлов,которые я отправила в хранилище,а потом собственно удалила
так во нашла в папке system32 папку local Settings и там кучка файлов такого плана XXXXXXX[1],XXXXXXX[2] и так далее короче сидел параллельно этот Ip и пытался атаковать другими вирусами.когда мен это заколебало-вынула кабель(давно пора,опомнилась=))))ворм активируется ели обнаруживает на вашем компе подключение по локальной сети,а так как его нет,то спите спокойно,вот как выключила,так и стала в режиме загрузки сканить комп,а вот где собственно прячется главный источник инфекции,он пробирается в стандартную папку ля файловой системы NTFS System Volume Information,в обычном режиме она не доступна но он лежит там,вот что выдал мне отчет аваст по этому поводу
D:\System Volume Information\_restore{D3C983F9-25D3-4481-8284-242F2CD2FB81}\RP53\A0027921.exe [L] Win32:Trojan-gen. {VC} (0)
Файл был успешно удален...
все вышло,а один чувак ради этого переводил ntfs в fat32 =)
папка-то в другой Фс затирается))
вот просканила все окончательно и теперь снова живу без проблем