-
Junior Member
- Вес репутации
- 53
Проблема с lsass.exe
Добрый день!
Началось с того, что компьютер через некоторое время после загрузки выдавал ошибку lsass.exe с кодом (не помню, набор цифр, сейчас уже не могу увидеть снова) и перезагружал компьютер через минуту.
Операционная система - Windows XP SP3. Антивирус - DrWeb Enterprise.
Прогонял проверки CureIt и AVZ - вирусы не находились, за исключением исправления каких-то двух руткитов в AVZ, но после перезагрузки он их снова находит и исправляет..
Читал форумы - все симптомы относятся к 2004 и 2006 годам - Sasser Worm, там же говорится что заплатки входят в комплект SP3. SP3 соответсвенно установлен.
В EventViewer'e запись:
Код:
Критический системный процесс, C:\WINDOWS\system32\lsass.exe, завершился ошибкой с кодом состояния c0000005. Необходимо перезагрузить этот компьютер.
Запускал ещё FxSasser, но он ничего не нашел.
С подключением к интернету при загрузке (локальная сеть) уже не удается даже войти в учетную запись - говорит "Неверный дескриптор". А если зайти в учетку с выдернутым проводом и подключить провод потом - все работает корректно.
Заранее спасибо за ответ!
Последний раз редактировалось pupupupkin; 21.12.2009 в 15:00.
Причина: Дополнение сведений
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы отключить.
Пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - AppInit_DLLs: confcnn.dll e1.dll onfksd.dll ksstat.dll
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ksstat.dll','');
QuarantineFile('onfksd.dll','');
QuarantineFile('e1.dll','');
DeleteFile('e1.dll');
QuarantineFile('confcnn.dll','');
DeleteFile('confcnn.dll');
DeleteFile('ksstat.dll');
QuarantineFile('C:\WINDOWS\system32\servsq.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\kconf.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\lsp.dll','');
DeleteFile('C:\WINDOWS\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MStask');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Спасибо!
Сейчас нет возможности выполнить указанные действия, ближе к вечеру сделаю и выложу новые логи.
Добавлено через 2 часа 56 минут
В HiJack указанные строки пофиксил, перезагрузился, выполнил скрипт в AVZ, компьютер перезагрузился, но проблема осталась.
Ввел логин и пароль, но в учетную запись компьютер так и не пустил, выдав ошибку lsass.exe, код 1073741819.
Если вытащить сетевой провод - в учетку пускает, никаких ошибок не выдает. Потом вставляю его обратно - к интернету подключается, тоже никаких проблем.
Приложил новые логи.
Послал карантин.
Помогите пожалуйста..
Последний раз редактировалось pupupupkin; 21.12.2009 в 18:47.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 53
Прошу прощения, забыл в итоге(
Исправляюсь.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kconf.exe','');
QuarantineFile('C:\WINDOWS\system32\servsq.exe','');
DeleteFile('C:\WINDOWS\system32\servsq.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','himem.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SoundMnEx32');
DeleteFile('C:\WINDOWS\system32\kconf.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ksddi');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Выполнил указания, проблема осталась. Ошибка lsass.exe выскочила не сразу, успел зайти в учетную запись.
Карантин пуст.
Прилагаю новые логи..
-
-
-
Junior Member
- Вес репутации
- 53
Проверился и с помощью AVP, он нашел один exe'шник в system32, удалил его, а после перезагрузки все равно то же самое(
Если нет подключения по сети - заходит без проблем, если есть есть подключение - не пускает в учетку выдавая ошибку неверный дескриптор..
Есть идеи как с этим бороться?
Имеет ли смысл попроблвать восстановление системы?
-
Junior Member
- Вес репутации
- 53
Прошу вас проверить новые логи, все ли чисто?
Заранее спасибо!
-
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-