-
Junior Member
- Вес репутации
- 53
lsass.exe неправильный формат конченой точки
Здравствуйте.
Появился вирус - неубирающееся окно с требованием отправить смс на номер 1350. Начал искать в инете как его убрать, по совету с одного сайта скачал утилиту get.exe Окно исчезло, но вирус я думаю остался. Далее нашел ваш сайт и решили написать сюда. Начал все делать по инструкции - зашел в безопасном режиме, запустил Dr. Web CureIt - он исправил несколько файлов, несколько удалил. После перезагрузки появляется окно с надписью lsass.exe "неправильный формат конченой точки". После нажатия ok комп перезагружается. И в безопасном режиме и в обычном.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
rtDen
запустил Dr. Web CureIt - он исправил несколько файлов, несколько удалил.
Лог сканирования CureIt выложите, он находится в
Код:
\Documents and Settings\имя_пользователя\DoctorWeb
. файл называется Cureit.log
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
-
C:\WINDOWS\system32\winlogon.exe , c:\windows\system32\drivers\nvatabus.sys
замените на чистый из дистрибутива Windows.
http://virusinfo.info/showthread.php?t=51654
-
-
Junior Member
- Вес репутации
- 53
Файл c:\windows\system32\drivers\nvatabus.sys на других компьютерах и в дистрибутиве винды не нашел. Почитал в инете - вроде это драйвер от NVidia. Решил восстановить другой удаленный файл "C:\WINDOWS\system32\drivers\npfs.sys инфицирован Trojan.Winlock.569 - удален". Скоприровал его с другого компа - винда стала загружаться. Дальше все делал по правилам, выкладываю логи.
-
Пофиксить в HijackThis
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\twwHPm.ExE','');
QuarantineFile('G:\TWWhPM.eXe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Cookies\userlib.dll','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\TWWhPM.eXe');
DeleteFile('G:\twwHPm.ExE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(14);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Действия выполнил, карантин сейчас вышлю. Теперь при загрузке появляется сообщение:
csrcs.exe
---------------------------
Windows не удалось найти 'csrcs.exe'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".
-
Junior Member
- Вес репутации
- 53
-
Пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Anna\LOCALS~1\Temp\das73.tmp
ПК перезагрузите.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('csrcs.exe');
DeleteFile('C:\WINDOWS\Temp\MMBPlayer\TextBox.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Строки "F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\Anna\LOCALS~1\Temp\das73.tmp" в HijackThis не было. Скрипт в AVZ выполнил.
-
Плохого не увидел. Что с проблемами?
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо вам за помощь! Проблем вроде не видно. Я потому и не ставлю SP3, потому, что может потребоваться активация. Заплатки поставлю, Internet Explorer обновлю, хотя им и не пользуюсь. Еще раз спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-