Показано с 1 по 10 из 10.

lsass.exe Ошибка приложения (заявка № 78945)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39

    Thumbs up lsass.exe Ошибка приложения

    Второй день пытыюсь победить подранка.
    Пока нет подключения к интернет (ADSL модем подключен, но отключена телефонная линия) все работает прекрасно, за исключением появления нулевого файлика tmp.tmp в директории где запускается исполняемый файл (но не на каждом). На рабочем столе тоже он присутсвует, при запуске iexplore, убить его можно только после закрытия браузера. В остальном вроде работе ничто не мешает.
    При подключении телефонного кабеля, как только модем прилогинится (включен роутером) появляется системное окно lsass.exe Ошибка приложения. Инструкция по адресу "0x7ffa19d6" обратилась к памяти по адресу "0x3cffa763". Память не может быть "written".
    При ответе как OK так и Cancel начинается отсчет времени 55сек autority system и компьютер отключается.
    Обойти можно, сдвинув системное окно в сторону, при этом можно работать нормально.
    Что примечательно lsass , explorer и iexplore ломятся с портов 1027, 1028, и 1081 на порт 2300 IP 91.213.174.20.
    DRWeb, AVZ, AVAST ничего больше не находят, причем DRWebом проверял и подкидывая HDD на другой компьютер.
    Выкладываю все возможные логи, может кто сможет оказать помощь. Заранее благодарен.
    P.S. переустанавливать форточку пока не хочется (куча инсталированных платных программ).

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINXP\system32\drivers\studgiyn.sys','');
     QuarantineFile('C:\WINXP\System32\DRIVERS\nups.sys','');
     QuarantineFile('C:\WINXP\system\svchost.exe','');
     DeleteFile('C:\WINXP\system\svchost.exe');
     DeleteFile('C:\WINXP\System32\DRIVERS\nups.sys');
     DeleteFile('C:\WINXP\system32\drivers\studgiyn.sys');
     DelBHO('AutorunsDisabled');
     DeleteService('tggqg');
     DeleteService('Nups');
     DeleteService('Darkness');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 2, true);
     ExecuteWizard('PRT', 2, 2, true);
     ExecuteWizard('TSW', 2, 2, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    Карантин пустой, но теперь, при подключении инета, выпадает ошибка explorera с теми же адресами.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Пофиксите в HijackThis:
    Код:
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    Executerepair(2);
    Executerepair(3);
    Executerepair(4);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

  6. #5
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    explorer с теми же адресами.

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    При проверке, combofix ругается на остатки drweb, не подскажете, где они?
    Работа немного задерживается, пришлось перейти с ADSL на мобилку.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DARKNESS (Trojan.Backdoor) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_NUPS (Backdoor.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    
    Зараженные папки:
    C:\Documents and Settings\All Users\Application Data\13620784 (Rogue.Multiple) -> No action taken.
    C:\Documents and Settings\test\Главное меню\Программы\System Security (Rogue.SystemSecurity) -> No action taken.
    C:\WINXP\system32\lowsec (Stolen.data) -> No action taken.
    
    Зараженные файлы:
    D:\1\z\Quarantine\2010-05-13\avz00003.dta (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\13620784\13620784 (Rogue.Multiple) -> No action taken.
    C:\Documents and Settings\test\Главное меню\Программы\System Security\System Security (Rogue.SystemSecurity) -> No action taken.
    C:\WINXP\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    C:\WINXP\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    C:\WINXP\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    C:\Documents and Settings\test\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\Microsoft\id.txt (Malware.Trace) -> No action taken.
    повторите лог МВАМ

  10. #9
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    Выполнил.
    Отправляю логи.
    P.S. Часто вижу эти файлы:
    C:\Documents and Settings\test\Local Settings\Temp\~DF7EAF.tmp
    C:\Documents and Settings\test\Local Settings\Temp\~DF892D.tmp
    После ~DF могут быть другие символы. Причем они бывают не всегда и отследить их появление не удается.
    Удалить можно старые, а вот один или два файла постоянно заняты каким-то процессом, и удаление не возможно.
    Не исчезло также появление tmp.tmp на рабочем столе и ошибка explorer с ее обращением к памяти. Память и HDD проверял.

  11. #10
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    Вроде победили таки его.
    С помощью filemon и regmon вычислил файлик к которому обращались окошки при подсоединении к инету.
    Им оказался mgejpjdl.dll. После проверки на virustotal
    File mgejpjdl.dll_ received on 2010.05.21 14:05:23 (UTC)
    VBA32 3.12.12.5 2010.05.21 Trojan.MTA.0424
    Result: 1/41 (2.44%)
    удалил его из под Windows PE. И... о счастье.
    Всем большое спасибо.

  • Уважаемый(ая) MCat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. lsass.exe - ошибка приложения
      От Zellgadis в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.06.2010, 20:17
    2. Ошибка приложения lsass.exe
      От smoll2000 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.06.2010, 12:29
    3. Ошибка приложения lsass.exe
      От jamaloff в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.05.2010, 12:44
    4. lsass - ошибка приложения
      От tankopia в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.03.2010, 13:33
    5. Ответов: 3
      Последнее сообщение: 25.10.2009, 18:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00565 seconds with 16 queries