Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Странный файл LSASS.EXE (заявка № 18395)

  1. #1
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37

    Thumbs up Странный файл LSASS.EXE

    При загрузке компьютера не запускается антивирус AVIRA,при запуске вручную зависает,не работает безопасный режим,CUREIT вылетает с ошибкой,HijackThis запускается с ошибкой,но работает,в Process Exploere Русиновича видно,что процесс SMSS.EXE постоянно запускает утилиту Ping.
    Последний раз редактировалось garpag; 31.05.2008 в 11:24.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\System32\drivers\s7oefs_x.sys','');
     QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
     TerminateProcessByName('c:\windows\system32\com\lsass.exe');
     QuarantineFile('c:\windows\system32\com\lsass.exe','');
     TerminateProcessByName('c:\windows\system32\com\smss.exe');
     QuarantineFile('c:\windows\system32\com\smss.exe','');
     DeleteFile('c:\windows\system32\com\smss.exe');
     DeleteFile('c:\windows\system32\com\lsass.exe');
     DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     BC_DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE');
     DeleteFile('C:\WINDOWS\system32\com\SMSS.EXE');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('G:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18395
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    Все выполнил
    Спасибо, буду ждать

    Добавлено через 5 минут

    Спасибо, все выполнил, буду ждать
    Последний раз редактировалось garpag; 21.02.2008 в 17:00. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    Так,что,никто не поможет?

  6. #5
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    В карантине dnsq.dll - Trojan.Win32.Shutdowner.cv, lsass.exe - Virus.Win32.Xorer.dr, smss.exe - Virus.Win32.Xorer.cp. s7oefs_x.sys - чистый.
    Я же просил новый комплект логов. Давайте новый комплек логов, посмотрим кто из врагов умер, а кто нет.

  7. #6
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    Логи сделать не получается,AVZ запускается и виснет при попытке снять лог,пропал так же доступ к диску D.

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    А в безопасном режиме то же не получается?

  9. #8
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    Безопасный режим пропал сразу,сейчас сканирую Касперским из под Bart PE,поражены все HTML-файлы,Virus.Win32.Xorer,могу попробовать сделать лог из-под него.

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Нет лог Bart PE нам не нужен...закончите сканирование приготовте новый комплект логов
    Microsoft Most Valuable Professional in Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    После двух прогонов Касперским и Cureit из-под Bart PE удалось запустить AVZ,логи прилагаю.В папке WINDOWS\sistem32\com остался файл smss.exe,AVIRA запустилась,но постоянная защита не работает,безопасный режим тоже.
    Последний раз редактировалось garpag; 31.05.2008 в 11:24.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\smss.exe','');
     QuarantineFile('C:\NetApi000.sys','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  13. #12
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    Готово
    Файл сохранён как 080224_131259_virus_47c1c1bb69567.zip
    Размер файла 28544
    MD5 7d0ab3324d5cbdc62cbec233f13c12fd

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\NetApi000.sys');
     BC_ImportDeletedList;
     BC_DeleteSvc('NetApi000');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    smss.exe - похоже чистый ... подождем что скажет вирлаб ...

  15. #14
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    Скрипт выполнил,а что делать с WINDOWS\sistem32\com\smss.exe,его там помоему не должно быть?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    C:\WINDOWS\system32\com\smss.exe - не должно быть ...( в логах его не видно -уже- удален)
    C:\WINDOWS\system32 должен быть ... он и есть ... только дата создания подозрительная ...

  17. #16
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    C:\WINDOWS\system32\smss.exe-это товатищ от усердия при помощи AVZ его удалил,а потом копировали с другого компьютера,вот и дата другая.C:\WINDOWS\system32\com\smss.exe добавил в карантин,присылать надо?

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Вы же его вроде вчера присылали?
    Сделайте пока новые логи с п.10 Правил

  19. #18
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    У этого дата сегодняшняя и в C:\WINDOWS\system32\com\ кроме него больше ничего нет
    Последний раз редактировалось garpag; 31.05.2008 в 11:24.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах активного заражения нет ...

  21. #20
    Junior Member Репутация
    Регистрация
    20.02.2008
    Адрес
    Харьков
    Сообщений
    44
    Вес репутации
    37
    Ну тогда спасибо,у меня ещё две машины с теми-же симптомами,пойду открывать новую тему,smss.exe отправлю на вирустотал.И что означает "Таймаут завершения служб находится за пределами допустимых значений",запускаю "Мастер поиска и устранения проблемм",но при следующем сканировании надпись вновь выскакивает.

  • Уважаемый(ая) garpag, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. странный файл в автозагрузке
      От smoker5 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.12.2011, 20:30
    2. Странный файл msvmiode.exe
      От patzjyk в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 12.10.2010, 00:35
    3. Странный файл accicons.exe
      От Nitsumu в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.04.2010, 10:12
    4. Странный файл ntos.exe
      От Kuvsh в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:01
    5. странный файл....
      От Dmitri в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.06.2006, 21:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00625 seconds with 16 queries