Показано с 1 по 14 из 14.

lsass.exe неправильный формат конченой точки (заявка № 64840)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    8
    Вес репутации
    53

    Thumbs up lsass.exe неправильный формат конченой точки

    Здравствуйте.
    Появился вирус - неубирающееся окно с требованием отправить смс на номер 1350. Начал искать в инете как его убрать, по совету с одного сайта скачал утилиту get.exe Окно исчезло, но вирус я думаю остался. Далее нашел ваш сайт и решили написать сюда. Начал все делать по инструкции - зашел в безопасном режиме, запустил Dr. Web CureIt - он исправил несколько файлов, несколько удалил. После перезагрузки появляется окно с надписью lsass.exe "неправильный формат конченой точки". После нажатия ok комп перезагружается. И в безопасном режиме и в обычном.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Цитата Сообщение от rtDen Посмотреть сообщение
    запустил Dr. Web CureIt - он исправил несколько файлов, несколько удалил.
    Лог сканирования CureIt выложите, он находится в
    Код:
    \Documents and Settings\имя_пользователя\DoctorWeb
    . файл называется Cureit.log

  4. #3
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    8
    Вес репутации
    53
    Выкладываю лог CureIt.

  5. #4
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    8
    Вес репутации
    53
    up

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    C:\WINDOWS\system32\winlogon.exe , c:\windows\system32\drivers\nvatabus.sys
    замените на чистый из дистрибутива Windows.
    http://virusinfo.info/showthread.php?t=51654

  7. #6
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    8
    Вес репутации
    53
    Файл c:\windows\system32\drivers\nvatabus.sys на других компьютерах и в дистрибутиве винды не нашел. Почитал в инете - вроде это драйвер от NVidia. Решил восстановить другой удаленный файл "C:\WINDOWS\system32\drivers\npfs.sys инфицирован Trojan.Winlock.569 - удален". Скоприровал его с другого компа - винда стала загружаться. Дальше все делал по правилам, выкладываю логи.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Пофиксить в HijackThis
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
    ПК перезагрузите.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\twwHPm.ExE','');
     QuarantineFile('G:\TWWhPM.eXe','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Cookies\userlib.dll','');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     DeleteFile('c:\windows\system32\csrcs.exe');
     DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
     DeleteFile('G:\autorun.inf');
     DeleteFile('G:\TWWhPM.eXe');
     DeleteFile('G:\twwHPm.ExE');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(14);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  9. #8
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    8
    Вес репутации
    53
    Действия выполнил, карантин сейчас вышлю. Теперь при загрузке появляется сообщение:
    csrcs.exe
    ---------------------------
    Windows не удалось найти 'csrcs.exe'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".

  10. #9
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    8
    Вес репутации
    53
    Карантин отправил

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Пофиксить в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Anna\LOCALS~1\Temp\das73.tmp
    ПК перезагрузите.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('csrcs.exe');
     DeleteFile('C:\WINDOWS\Temp\MMBPlayer\TextBox.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Сделайте новые логи.

  12. #11
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    8
    Вес репутации
    53
    Строки "F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\Anna\LOCALS~1\Temp\das73.tmp" в HijackThis не было. Скрипт в AVZ выполнил.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Плохого не увидел. Что с проблемами?

    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    8
    Вес репутации
    53
    Большое спасибо вам за помощь! Проблем вроде не видно. Я потому и не ставлю SP3, потому, что может потребоваться активация. Заплатки поставлю, Internet Explorer обновлю, хотя им и не пользуюсь. Еще раз спасибо.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) rtDen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. lsass.exe Неправильный формат конечной точки
      От Vova_BLR в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.08.2011, 13:29
    2. неправильный профиль.
      От Славный_Уно в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.12.2009, 13:37
    3. Неправильный формат конечной точки !
      От chumachenko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.11.2009, 10:32
    4. Неправильный формат конечной точки-2 !
      От chumachenko в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.11.2009, 10:29
    5. путь к папке А:\неправильный
      От джек в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.02.2008, 12:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01072 seconds with 19 queries