Показано с 1 по 12 из 12.

помогите избавиться от вируса lsass exe (заявка № 6355)

  1. #1
    nissn
    Guest

    Thumbs up помогите избавиться от вируса lsass exe

    ребята! помогите избавиться от вируса!
    он попал при копировании мп-3 файлов с i-pod.
    размножился во всех папках "Моих документов", появляется под зн
    ачком с названием той же папки, в которой находится. после удале
    ния самостоятельно восстанавливается.
    компьютер самопроизвольно выключается.
    предположительно тут как-то замешаны lsass exe, services exe
    (при выключении компьютера возникают окна "эта программа не от
    вечает lsass exe", и services exe)
    при сканировании AVZ вируса не находит!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от nissn
    предположительно тут как-то замешаны lsass exe, services exe
    (при выключении компьютера возникают окна "эта программа не от
    вечает lsass exe", и services exe)
    при сканировании AVZ вируса не находит!
    у вас очередная версия вируса Brontok

    пришлите по правилам форума файлы (искать нужно из AVZ со включенным противодействием руткитам):
    C:\Documents and Settings\User\Local Settings\Application Data\winlogon.exe
    C:\Documents and Settings\User\Local Settings\Application Data\services.exe
    C:\Documents and Settings\User\Local Settings\Application Data\lsass.exe
    C:\Documents and Settings\User\Local Settings\Application Data\smss.exe
    c:\documents and settings\user\local settings\application data\inetinfo.exe
    xpjava.exe
    C:\WINDOWS\System32\ezSP_Px.exe
    C:\WINDOWS\INF\norBtok.exe
    C:\WINDOWS\system32\RAMASST.exe
    C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\Empty.pif
    C:\WINDOWS\System32\vbsys2.dll

    отдельно пришлите файлы:
    000StTHK.exe
    LTSMMSG.exe
    TFNF5.exe
    TPSMain.exe
    TFncKy.exe


    пофиксите в HijackThis следующие строки:
    F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
    O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\INF\norBtok.exe"
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\User\Local Settings\Application Data\smss.exe"
    O4 - Startup: Empty.pif = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
    O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

    из менеджера планировщика заданий удалите
    C:\Documents and Settings\User\Шаблоны\A.kotnorB.com

  4. #3
    nissn
    Guest
    файлы выслал,

    пофиксить не удается!
    появляется окно "редактирование реестра запрещено администратором системы"

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    безопасные файлы (будут добавлены в базу чистых):
    C:\WINDOWS\System32\TPSMain.exe

    следующие файлы не добавились в карантин (попробуйте сделать это повторно):
    C:\WINDOWS\System32\TFncKy.exe
    C:\WINDOWS\System32\vbsys2.dll

    в некоторых присланных файлах найден вирус Email-Worm.Win32.Brontok.a.
    удалите файлы (например, при помощи отложенного удаления в AVZ):
    C:\Documents and Settings\User\Шаблоны\A.kotnorB.com
    C:\WINDOWS\System32\vbsys2.dll
    C:\Documents and Settings\User\Local Settings\Application Data\winlogon.exe
    C:\Documents and Settings\User\Local Settings\Application Data\services.exe
    C:\Documents and Settings\User\Local Settings\Application Data\lsass.exe
    C:\Documents and Settings\User\Local Settings\Application Data\smss.exe
    c:\documents and settings\user\local settings\application data\inetinfo.exe
    C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\Empty.pif
    C:\WINDOWS\INF\norBtok.exe

    перезагрузите компьютер, сделайте новые логи и приложите их к теме.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от nissn
    пофиксить не удается!
    появляется окно "редактирование реестра запрещено администратором системы"
    это все из-за ключа в реестре:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

    нужно поставить DisableRegedit=0

    для этого в AVZ меню "Файл" -> "Восстановление системы" поставьте галочку в строке «Удаление всех Polices…», нажмите кнопку «Выполнить ...», перезагрузите компьютер.

    после этого выполните те советы, которые я писал выше (пофиксить в HijackThis и т.д.)

  7. #6
    nissn
    Guest
    спасибо большое! возможно, вирус уничтожен, папки больше не восстанавливаются!
    прикрепляю логи:
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от nissn
    спасибо большое! возможно, вирус уничтожен, папки больше не восстанавливаются!
    прикрепляю логи:
    Судя по всему вируса больше нет, в Hijack пропустили одну строку -
    Код:
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\User\Local Settings\Application Data\smss.exe"
    Тоже пофиксите.

  9. #8
    nissn
    Guest
    бесполезно, в highjack этой строки нет,
    а при попытке удалить ее в AVZ я получаю ответ
    Отложенное удаление файла C:\Documents and Settings\User\Local Settings\Application Data\smss.exe
    >>>Для удаления файла C:\Documents and Settings\User\Local Settings\Application Data\smss.exe необходима перезагрузка

    после перезагрузки картина не изменяется.
    это тоже вирус, тогда что с ним делать?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от nissn
    после перезагрузки картина не изменяется.
    это тоже вирус, тогда что с ним делать?
    Запускаете AVZ, включаете Guard потом "Сервис" -> "Менеджер автозапуска" удаляете строку с "C:\Documents and Settings\User\Local Settings\Application Data\smss.exe"

    После перезагрузка не выходя из AVZ После перезагрузки этот файл должен стерется без проблем.

  11. #10
    nissn
    Guest
    Сделал, как вы сказали,
    такой строки АVZ не нашел, возможно файл был стерт ранее.
    В "Пуск" --> "Найти" нашел файлы SMSS
    C:\I386\SYSTEM32 478 КБ - Приложение
    C:\WINDOWS\system32 45 КБ - Приложение
    их не нужно удалить?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    В "Пуск" --> "Найти" нашел файлы SMSS
    C:\I386\SYSTEM32 478 КБ - Приложение
    C:\WINDOWS\system32 45 КБ - Приложение
    их не нужно удалить?
    Их не нужно удалять!

  13. #12
    nissn
    Guest
    Всем большое спасибо!

  • Уважаемый(ая) nissn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите избавиться от вируса!!!!!!!
      От Lena 85 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.04.2012, 20:12
    2. Помогите избавиться от вируса!
      От GVG в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.01.2012, 18:39
    3. Помогите избавиться от вируса
      От Alex243 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.10.2010, 11:24
    4. помогите избавиться от вируса
      От eik в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 23.06.2010, 23:52
    5. Помогите избавиться от вируса QZ
      От dimon8033 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 04:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00049 seconds with 20 queries