Странный файл LSASS.EXE

Printable View

Показывать 40 сообщений этой темы на одной странице

21.02.2008, 00:57
garpag

Странный файл LSASS.EXE

При загрузке компьютера не запускается антивирус AVIRA,при запуске вручную зависает,не работает безопасный режим,CUREIT вылетает с ошибкой,HijackThis запускается с ошибкой,но работает,в Process Exploere Русиновича видно,что процесс SMSS.EXE постоянно запускает утилиту Ping.
21.02.2008, 01:12
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\drivers\s7oefs_x.sys','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
TerminateProcessByName('c:\windows\system32\com\smss.exe');
QuarantineFile('c:\windows\system32\com\smss.exe','');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
BC_DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE');
DeleteFile('C:\WINDOWS\system32\com\SMSS.EXE');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18395[/url]
Повторите логи.
21.02.2008, 17:00
garpag

Все выполнил
Спасибо, буду ждать

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Спасибо, все выполнил, буду ждать
23.02.2008, 13:04
garpag

Так,что,никто не поможет?
23.02.2008, 17:02
wise-wistful

В карантине dnsq.dll - [b]Trojan.Win32.Shutdowner.cv[/b], lsass.exe - [b]Virus.Win32.Xorer.dr[/b], smss.exe - [b]Virus.Win32.Xorer.cp[/b]. s7oefs_x.sys - чистый.
Я же просил новый комплект логов. Давайте новый комплек логов, посмотрим кто из врагов умер, а кто нет.
23.02.2008, 17:19
garpag

Логи сделать не получается,AVZ запускается и виснет при попытке снять лог,пропал так же доступ к диску D.
23.02.2008, 17:21
wise-wistful

А в безопасном режиме то же не получается?
23.02.2008, 19:04
garpag

Безопасный режим пропал сразу,сейчас сканирую Касперским из под Bart PE,поражены все HTML-файлы,Virus.Win32.Xorer,могу попробовать сделать лог из-под него.
23.02.2008, 19:11
akok

Нет лог Bart PE нам не нужен...закончите сканирование приготовте новый комплект логов
24.02.2008, 21:33
garpag

После двух прогонов Касперским и Cureit из-под Bart PE удалось запустить AVZ,логи прилагаю.В папке WINDOWS\sistem32\com остался файл smss.exe,AVIRA запустилась,но постоянная защита не работает,безопасный режим тоже.
24.02.2008, 21:40
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\smss.exe','');
QuarantineFile('C:\NetApi000.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
24.02.2008, 22:13
garpag

Готово
Файл сохранён как 080224_131259_virus_47c1c1bb69567.zip
Размер файла 28544
MD5 7d0ab3324d5cbdc62cbec233f13c12fd
24.02.2008, 22:28
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\NetApi000.sys');
BC_ImportDeletedList;
BC_DeleteSvc('NetApi000');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
smss.exe - похоже чистый ... подождем что скажет вирлаб ...
24.02.2008, 22:53
garpag

Скрипт выполнил,а что делать с WINDOWS\sistem32\com\smss.exe,его там помоему не должно быть?
24.02.2008, 22:59
V_Bond

C:\WINDOWS\system32\com\smss.exe - не должно быть ...( в логах его не видно -уже- удален)
C:\WINDOWS\system32 должен быть ... он и есть ... только дата создания подозрительная ...
24.02.2008, 23:07
garpag

C:\WINDOWS\system32\smss.exe-это товатищ от усердия при помощи AVZ его удалил,а потом копировали с другого компьютера,вот и дата другая.C:\WINDOWS\system32\com\smss.exe добавил в карантин,присылать надо?
24.02.2008, 23:08
rubin

Вы же его вроде вчера присылали?
Сделайте пока новые логи с п.10 Правил
24.02.2008, 23:19
garpag

У этого дата сегодняшняя и в C:\WINDOWS\system32\com\ кроме него больше ничего нет
24.02.2008, 23:32
V_Bond

в логах активного заражения нет ...
24.02.2008, 23:44
garpag

Ну тогда спасибо,у меня ещё две машины с теми-же симптомами,пойду открывать новую тему,smss.exe отправлю на вирустотал.И что означает "Таймаут завершения служб находится за пределами допустимых значений",запускаю "Мастер поиска и устранения проблемм",но при следующем сканировании надпись вновь выскакивает.

Показывать 40 сообщений этой темы на одной странице