Показано с 1 по 9 из 9.

Зараза прицепилась к lsass.exe (заявка № 23974)

  1. #1
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    5
    Вес репутации
    32

    Thumbs up Зараза прицепилась к lsass.exe

    Было дело поймал sanitardiska, начали вываливаться сообщения и т.п., попытался пресечь, удаление из автозапуска в реестре не помогло.

    В защищенном режиме таки удалось удалить длл-ки с рандомными названиями, которые похоже подгружались и некисло тормозили систему.

    Но похоже что этого дела оказалось мало, т.к. при отключении файрвола не заставляло себя ждать появление тормозов, и опять подобных вредоносных dll. Решил что что-то залезло в систему поглубже, начал копать, и нашел занятный файлик mlJCVnmN.dll, который цепляется к Explorer и Lsass.exe, а так же создаёт файл NmnVCJlm.ini (перевёрнутое наоборот своё название). Вот и решил проконсультироваться с местными знатоками как от этого чуда(а так же сопутствующих ему спецэффектов) избавиться.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\revo51.sys','');
     QuarantineFile('C:\WINDOWS\system32\mlJCVnmN.dll','');
     DeleteFile('C:\WINDOWS\system32\mlJCVnmN.dll');
     DelBHO('{ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880}');
     DelBHO('{fd9bc004-8331-4457-b830-4759ff704c22}');
     DelBHO('{fcaddc14-bd46-408a-9842-cdbe1c6d37eb}');
     DelBHO('{e7afff2a-1b57-49c7-bf6b-e5123394c970}');
     DelBHO('{e3eebbe8-9cab-4c76-b26a-747e25ebb4c6}');
     DelBHO('{e2ddf680-9905-4dee-8c64-0a5de7fe133c}');
     DelBHO('{cf021f40-3e14-23a5-cba2-717765721306}');
     DelBHO('{bc97b254-b2b9-4d40-971d-78e0978f5f26}');
     DelBHO('{b847676d-72ac-4393-bfff-43a1eb979352}');
     DelBHO('{a55581dc-2cdb-4089-8878-71a080b22342}');
     DelBHO('{98dbbf16-ca43-4c33-be80-99e6694468a4}');
     DelBHO('{799a370d-5993-4887-9df7-0a4756a77d00}');
     DelBHO('{79369d5c-2903-4b7a-ade2-d5e0dee14d24}');
     DelBHO('{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}');
     DelBHO('{6C005DD8-35EF-4A58-A3D9-3C97D5ED5362}');
     DelBHO('{467faeb2-5f5b-4c81-bae0-2a4752ca7f4e}');
     DelBHO('{2e9caff6-30c7-4208-8807-e79d4ec6f806}');
     DelBHO('{2d38a51a-23c9-48a1-a33c-48675aa2b494}');
     DelBHO('{1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2}');
     DelBHO('{1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1}');
     DelBHO('{17da0c9e-4a27-4ac5-bb75-5d24b8cdb972}');
     DelBHO('{150fa160-130d-451f-b863-b655061432ba}');
     DelBHO('{00110011-4b0b-44d5-9718-90c88817369b}');
     DelBHO('{11D5296C-67AF-4519-95D7-C2D255463ED6}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23974 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    5
    Вес репутации
    32
    mlJCVnmN.dll пропал, сенкас.
    revo51.sys эт часть дров звуковой карты M-Audio Revolution 5.1
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\mlJCVnmN.dll');
     DelBHO('0C551E5C-EC80-4B3C-A145-2DDA278FB2EA');
     DelBHO('086ae192-23a6-48d6-96ec-715f53797e85');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Вот это Вам знакомо?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A07F31CC-C3E2-4C86-9B27-C4E8BFCD732D}: NameServer = 80.68.0.9,80.68.0.12
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BBFFF912-4EF8-49AF-BDB4-C08AC5C1183F}: NameServer = 172.17.100.4 80.68.0.12
    O17 - HKLM\System\CS1\Services\Tcpip\..\{A07F31CC-C3E2-4C86-9B27-C4E8BFCD732D}: NameServer = 80.68.0.9,80.68.0.12
    O17 - HKLM\System\CS2\Services\Tcpip\..\{A07F31CC-C3E2-4C86-9B27-C4E8BFCD732D}: NameServer = 80.68.0.9,80.68.0.12
    Если нет, то пофиксите эти строчки в HijackThis.

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    5
    Вес репутации
    32
    Строчки знакомы, 80.68.0.9 и 80.68.0.12 это DNS моего провайдера, забиты в настройках сетевого подключения.

    172.17.100.4 это автоматически определённый модемом(D-Link 504T) DNS. Вижу его в настройках модема через веб-интерфейс.

    Сижу на ADSL через Bridge.
    Вложения Вложения
    Последний раз редактировалось Da Boogie; 04.06.2008 в 18:54. Причина: Очепятки

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    У Вас чисто. Какие-то проблемы остались ?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    5
    Вес репутации
    32
    Пока ничего не наблюдается, большое спасибо за помощь.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\mljcvnmn.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.12)


  • Уважаемый(ая) Da Boogie, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. lsass.exe
      От XXX2012 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.08.2011, 15:17
    2. lsass.exe
      От tom800 в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 08.12.2009, 10:02
    3. прицепилась зараза ... go.winantispyware.com
      От set76 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 02:07
    4. Какая-то бяка прицепилась FieryAds
      От Oldmans в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.02.2009, 15:55
    5. Болезнь какая-то прицепилась
      От Andrey-G в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.12.2006, 21:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00329 seconds with 21 queries