-
Junior Member
- Вес репутации
- 59
Странный файл LSASS.EXE
При загрузке компьютера не запускается антивирус AVIRA,при запуске вручную зависает,не работает безопасный режим,CUREIT вылетает с ошибкой,HijackThis запускается с ошибкой,но работает,в Process Exploere Русиновича видно,что процесс SMSS.EXE постоянно запускает утилиту Ping.
Последний раз редактировалось garpag; 31.05.2008 в 12:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\drivers\s7oefs_x.sys','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
TerminateProcessByName('c:\windows\system32\com\smss.exe');
QuarantineFile('c:\windows\system32\com\smss.exe','');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
BC_DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE');
DeleteFile('C:\WINDOWS\system32\com\SMSS.EXE');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18395
Повторите логи.
-
Junior Member
- Вес репутации
- 59
Все выполнил
Спасибо, буду ждать
Добавлено через 5 минут
Спасибо, все выполнил, буду ждать
Последний раз редактировалось garpag; 21.02.2008 в 17:00.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 59
Так,что,никто не поможет?
-
В карантине dnsq.dll - Trojan.Win32.Shutdowner.cv, lsass.exe - Virus.Win32.Xorer.dr, smss.exe - Virus.Win32.Xorer.cp. s7oefs_x.sys - чистый.
Я же просил новый комплект логов. Давайте новый комплек логов, посмотрим кто из врагов умер, а кто нет.
-
Junior Member
- Вес репутации
- 59
Логи сделать не получается,AVZ запускается и виснет при попытке снять лог,пропал так же доступ к диску D.
-
А в безопасном режиме то же не получается?
-
Junior Member
- Вес репутации
- 59
Безопасный режим пропал сразу,сейчас сканирую Касперским из под Bart PE,поражены все HTML-файлы,Virus.Win32.Xorer,могу попробовать сделать лог из-под него.
-
Нет лог Bart PE нам не нужен...закончите сканирование приготовте новый комплект логов
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
После двух прогонов Касперским и Cureit из-под Bart PE удалось запустить AVZ,логи прилагаю.В папке WINDOWS\sistem32\com остался файл smss.exe,AVIRA запустилась,но постоянная защита не работает,безопасный режим тоже.
Последний раз редактировалось garpag; 31.05.2008 в 12:24.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\smss.exe','');
QuarantineFile('C:\NetApi000.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 59
Готово
Файл сохранён как 080224_131259_virus_47c1c1bb69567.zip
Размер файла 28544
MD5 7d0ab3324d5cbdc62cbec233f13c12fd
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\NetApi000.sys');
BC_ImportDeletedList;
BC_DeleteSvc('NetApi000');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
smss.exe - похоже чистый ... подождем что скажет вирлаб ...
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнил,а что делать с WINDOWS\sistem32\com\smss.exe,его там помоему не должно быть?
-
C:\WINDOWS\system32\com\smss.exe - не должно быть ...( в логах его не видно -уже- удален)
C:\WINDOWS\system32 должен быть ... он и есть ... только дата создания подозрительная ...
-
-
Junior Member
- Вес репутации
- 59
C:\WINDOWS\system32\smss.exe-это товатищ от усердия при помощи AVZ его удалил,а потом копировали с другого компьютера,вот и дата другая.C:\WINDOWS\system32\com\smss.exe добавил в карантин,присылать надо?
-
Вы же его вроде вчера присылали?
Сделайте пока новые логи с п.10 Правил
-
-
Junior Member
- Вес репутации
- 59
У этого дата сегодняшняя и в C:\WINDOWS\system32\com\ кроме него больше ничего нет
Последний раз редактировалось garpag; 31.05.2008 в 12:24.
-
в логах активного заражения нет ...
-
-
Junior Member
- Вес репутации
- 59
Ну тогда спасибо,у меня ещё две машины с теми-же симптомами,пойду открывать новую тему,smss.exe отправлю на вирустотал.И что означает "Таймаут завершения служб находится за пределами допустимых значений",запускаю "Мастер поиска и устранения проблемм",но при следующем сканировании надпись вновь выскакивает.