Проблема с lsass.exe

[pupupupkin]

Добрый день!

Началось с того, что компьютер через некоторое время после загрузки выдавал ошибку lsass.exe с кодом (не помню, набор цифр, сейчас уже не могу увидеть снова) и перезагружал компьютер через минуту.
Операционная система - Windows XP SP3. Антивирус - DrWeb Enterprise.
Прогонял проверки CureIt и AVZ - вирусы не находились, за исключением исправления каких-то двух руткитов в AVZ, но после перезагрузки он их снова находит и исправляет..
Читал форумы - все симптомы относятся к 2004 и 2006 годам - Sasser Worm, там же говорится что заплатки входят в комплект SP3. SP3 соответсвенно установлен.
В EventViewer'e запись:

Код:

 
Критический системный процесс, C:\WINDOWS\system32\lsass.exe, завершился ошибкой с кодом состояния c0000005. Необходимо перезагрузить этот компьютер.

Запускал ещё FxSasser, но он ничего не нашел.

С подключением к интернету при загрузке (локальная сеть) уже не удается даже войти в учетную запись - говорит "Неверный дескриптор". А если зайти в учетку с выдернутым проводом и подключить провод потом - все работает корректно.

Заранее спасибо за ответ!

[snifer67]

Восстановление системы отключить.

Пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - AppInit_DLLs:  confcnn.dll e1.dll onfksd.dll ksstat.dll

ПК перезагрузите.

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('ksstat.dll','');
 QuarantineFile('onfksd.dll','');
 QuarantineFile('e1.dll','');
 DeleteFile('e1.dll');
 QuarantineFile('confcnn.dll','');
 DeleteFile('confcnn.dll');
 DeleteFile('ksstat.dll');
 QuarantineFile('C:\WINDOWS\system32\servsq.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\kconf.exe','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\System32\lsp.dll','');
 DeleteFile('C:\WINDOWS\svchost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MStask');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[pupupupkin]

Спасибо!

Сейчас нет возможности выполнить указанные действия, ближе к вечеру сделаю и выложу новые логи.

Добавлено через 2 часа 56 минут

В HiJack указанные строки пофиксил, перезагрузился, выполнил скрипт в AVZ, компьютер перезагрузился, но проблема осталась.
Ввел логин и пароль, но в учетную запись компьютер так и не пустил, выдав ошибку lsass.exe, код 1073741819.

Если вытащить сетевой провод - в учетку пускает, никаких ошибок не выдает. Потом вставляю его обратно - к интернету подключается, тоже никаких проблем.

Приложил новые логи.
Послал карантин.

Помогите пожалуйста..

[snifer67]

Логов я не вижу.

[pupupupkin]

Прошу прощения, забыл в итоге(
Исправляюсь.

[snifer67]

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\kconf.exe','');
 QuarantineFile('C:\WINDOWS\system32\servsq.exe','');
 DeleteFile('C:\WINDOWS\system32\servsq.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','himem.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SoundMnEx32');
 DeleteFile('C:\WINDOWS\system32\kconf.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ksddi');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[pupupupkin]

Выполнил указания, проблема осталась. Ошибка lsass.exe выскочила не сразу, успел зайти в учетную запись.

Карантин пуст.

Прилагаю новые логи..

[snifer67]

Проверьтесь http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

[pupupupkin]

Проверился и с помощью AVP, он нашел один exe'шник в system32, удалил его, а после перезагрузки все равно то же самое(
Если нет подключения по сети - заходит без проблем, если есть есть подключение - не пускает в учетку выдавая ошибку неверный дескриптор..
Есть идеи как с этим бороться?
Имеет ли смысл попроблвать восстановление системы?

[pupupupkin]

Прошу вас проверить новые логи, все ли чисто?
Заранее спасибо!

[AndreyKa]

Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены