-
Junior Member
- Вес репутации
- 60
Неожиданно завершен процесс lsass.exe!!!
Здравствуйте. На другом компе установил DrWeb 4.44, он нашел трояны в файлах, через которые вроде подлключается интернет(что то типа: connectservice, newdon или newdot? не помню точно, и еще что то в папке c:\programfiles\system)/ Ну я все это заблокировал. Потом ДрВеб проинформировал что процесс lsass.exe инфицирован, ну я и его заблокировал и пипец!!! Сейчас компьютер перезагружается постоянно: вылазиет окошко c:\windows\system32\lsass.exe - неожиданно завершен процесс и идет отсчет времени до перезагрузки(1 мин).
При загрузке винды выдает ошибку о недоступном файле, который я как раз заблокировал ДрВебом - newdon или newdot? что такое.
Вот теперь не знаю что делать. Логи сделать не получается, комп перезагружается.
Помогите пожалуйста, что делать не знаю. Думаю переставить винду!!!
Добавлено через 30 минут
Вот что наше AVZ
3. Сканирование дисков
E:\System Volume Information\_restore{F9EEC589-D292-413A-BA33-53D4F8F888FE}\RP206\A0083505.dll >>> подозрение на AdvWare.Win32.WebFavoriteSite.c ( 09B9A61D 00000000 00201EB2 00214396 420352)
Ошибка скрипта: Undeclared identifier: 'DelUninstall', позиция [4:14]
E:\System Volume Information\_restore{F9EEC589-D292-413A-BA33-53D4F8F888FE}\RP210\A0085687.exe >>>>> Spy.NewDotNet успешно удален
E:\System Volume Information\_restore{F9EEC589-D292-413A-BA33-53D4F8F888FE}\RP210\A0085688.exe >>>>> AdvWare.Win32.SaveNow.bo успешно удален
Ошибка скрипта: Undeclared identifier: 'DelUninstall', позиция [4:14]
E:\System Volume Information\_restore{F9EEC589-D292-413A-BA33-53D4F8F888FE}\RP210\A0085689.exe >>>>> Spy.NewDotNet успешно удален
E:\System Volume Information\_restore{F9EEC589-D292-413A-BA33-53D4F8F888FE}\RP210\A0085690.exe >>>>> AdvWare.Win32.SaveNow.bo успешно удален
Ошибка скрипта: Undeclared identifier: 'DelUninstall', позиция [4:14]
E:\System Volume Information\_restore{F9EEC589-D292-413A-BA33-53D4F8F888FE}\RP210\A0086646.dll >>>>> Spy.NewDotNet успешно удален
Автоматическая чистка следов удаленных в ходе лечения программ
Добавлено через 1 минуту
я подключил винт с того компа на свой и проверил его AVZ и ДрВебом. Чужой винт - E:\
Последний раз редактировалось Vidok; 13.03.2008 в 10:40.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 60
Прилагаю лог отчета о найденных вирусах ДрВебом на чужом винте(E:\)
Последний раз редактировалось Vidok; 17.04.2008 в 15:56.
-
1. Замените c:\windows\system32\lsass.exe чистым из дистрибутива или со здоровой системы.
2. В безопасном режиме тоже не грузится?
I am not young enough to know everything...
-
-
Восст системы надо было отключить, тогда бы AVZ нашел меньше.
В логе Доктора ничего особо страшного нет.
ConnectionServices - деинсталлировать, как и BitAccelerator.exe.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
В безопасном тоже перезагружается
Добавлено через 2 минуты
Сообщение от
PavelA
Восст системы надо было отключить, тогда бы AVZ нашел меньше.
Сейчас чужой винт стоит на моем компе, а на моем восстановление отключено...
Сообщение от
PavelA
ConnectionServices - деинсталлировать, как и BitAccelerator.exe.
Как деинсталлировать? просто тупо удалить что ли? Тем более ConnectionServices это случаем не файл подключения к интернету?
Добавлено через 11 минут
Мне интересно почему, когда ДрВеб все заблокировал, стало такое происходить?
И еще lsass.exe был инфицирован что ли получается?
Последний раз редактировалось Vidok; 13.03.2008 в 11:05.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 60
АААААААУУУУУУУ!!!!!!! Ответьте пожалуйста на мои вопросы, если это вообще возможно без логов...
-
Сообщение от
Vidok
АААААААУУУУУУУ!!!!!!! Ответьте пожалуйста на мои вопросы, если это вообще возможно без логов...
Сообщение от
Vidok
Как деинсталлировать? просто тупо удалить что ли?
Угу. Через Панель Управления - Установка и Удаление Программ.
Сообщение от
Vidok
Тем более ConnectionServices это случаем не файл подключения к интернету?
Вам здесь плохое не советуют; - это Троян-Бэкдор - выполняет какие то накрутки, некий 'скрытый серфинг' по сайтам, и так же пересылку данных из браузера.
Сообщение от
Vidok
Мне интересно почему, когда ДрВеб все заблокировал, стало такое происходить?
Беда Индустрии Безопасности. Они работают как могут, но временами не очень получается. Это Windows, понимаете...
Сообщение от
Vidok
И еще lsass.exe был инфицирован что ли получается?
Либо инфицирован, либо повреждён. Замените его.
Paul
-
@p2u
Сообщение от
Vidok
Сейчас чужой винт стоит на моем компе,
поэтому
Угу. Через Панель Управления - Установка и Удаление Программ
не пройдет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
@p2u
поэтому
Угу. Через Панель Управления - Установка и Удаление Программ
не пройдет.
Тогда искать 2 файла:
ConnectionServices.dll
ConnectionServices.dll.upd
Оба удалить. Возможно требуется помощь от
Unlocker
Утилита для удаления файлов и папок, которые обычным способом удалить не удаётся, потому что вместо удаления системой выдаётся сообщение, что файл удалить невозможно, так как он используется другим приложением.
После установки Unlocker эта проблема решается в пару кликов - достаточно всего лишь кликнуть правой кнопкой мышки по неподатливому файлу или папке да выбрать в появившемся меню пункт 'Unlocker'. Интерфейс - многоязычный.
Paul
-
Junior Member
- Вес репутации
- 60
Спасибо всем за разъяснения.
Сообщение от
p2u
Тогда искать 2 файла:
ConnectionServices.dll
ConnectionServices.dll.upd
Оба удалить.Paul
Ничего не нашел. Искал и через поиск винды и через AVZ...
-
Строка из лога Доктора:
E:\Program Files\ConnectionServices\ConnectionServices.dll
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-