-
Junior Member
- Вес репутации
- 51
c:\win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor
Вирус создает на флешке папки.ехе, а сами папки становятся скрытыми. Др веб с обновленными базами не находит, тоже самое с dr curelt. Касперский определяет файлы папки.ехе как вирусы, удаляет, но при повторной вставке флешки они создаются заново.
Avz находит следующее
2. Проверка памяти
Количество найденных процессов: 32
c:\win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor ( 0B59855B 0F0C4140 00226166 00222B73 551669)
Количество загруженных модулей: 373
Проверка памяти завершена
3. Сканирование дисков
C:\Win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor ( 0B59855B 0F0C4140 00226166 00222B73 551669)
Вирус находится на компе, и действует черезе процесс lsass.exe (таких у меня два процесса, система не дает завершит тот процесс которой идет от пользователя). Этот вирус мучает уже несколько месяцев. На работе почти все компы заражены. Как избавится от нее?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 51
Все выполнил, вот логи и отчет
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\win\lsass.exe');
QuarantineFile('c:\win\lsass.exe','');
DeleteFile('c:\win\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Закачал файл и выполнил блоги как было сказано
-
поменяйте все пароли.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 51
Все выполнил. Нашла 6 проблем. Установил все обновления, перезагрузил. При повторном запуске скрипта обнаруживаются те же самые проблемы точь в точь.
-
делайте комплект логов + такой лог
-
-
Junior Member
- Вес репутации
- 51
В этом нет необходимости)! Хотя и находит те же 6 проблем, но от вируса похоже избавился, наконец-то. Процесс lsass исчез. Флешку тоже в порядок привел (удалил "папки.ехе", сделал через тотал командер скрытие(системные) папки видимыми), при обратной вставке ничего не меняется(не появляются "папки.ехе"), т.е. компьютер излечился. Похоже, помогли обновления. СПАСИБО за помощь!
Последний раз редактировалось magomed86; 17.08.2010 в 15:08.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\win\\lsass.exe - Trojan-Spy.Win32.KeyLogger.cor ( DrWEB: Win32.HLLC.Bojan, BitDefender: Trojan.Generic.3854455, NOD32: Win32/Autoit.FL worm, AVAST4: Win32:Sality )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-