-
Junior Member
- Вес репутации
- 62
lsass.exe Ошибка приложения
Второй день пытыюсь победить подранка.
Пока нет подключения к интернет (ADSL модем подключен, но отключена телефонная линия) все работает прекрасно, за исключением появления нулевого файлика tmp.tmp в директории где запускается исполняемый файл (но не на каждом). На рабочем столе тоже он присутсвует, при запуске iexplore, убить его можно только после закрытия браузера. В остальном вроде работе ничто не мешает.
При подключении телефонного кабеля, как только модем прилогинится (включен роутером) появляется системное окно lsass.exe Ошибка приложения. Инструкция по адресу "0x7ffa19d6" обратилась к памяти по адресу "0x3cffa763". Память не может быть "written".
При ответе как OK так и Cancel начинается отсчет времени 55сек autority system и компьютер отключается.
Обойти можно, сдвинув системное окно в сторону, при этом можно работать нормально.
Что примечательно lsass , explorer и iexplore ломятся с портов 1027, 1028, и 1081 на порт 2300 IP 91.213.174.20.
DRWeb, AVZ, AVAST ничего больше не находят, причем DRWebом проверял и подкидывая HDD на другой компьютер.
Выкладываю все возможные логи, может кто сможет оказать помощь. Заранее благодарен.
P.S. переустанавливать форточку пока не хочется (куча инсталированных платных программ).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINXP\system32\drivers\studgiyn.sys','');
QuarantineFile('C:\WINXP\System32\DRIVERS\nups.sys','');
QuarantineFile('C:\WINXP\system\svchost.exe','');
DeleteFile('C:\WINXP\system\svchost.exe');
DeleteFile('C:\WINXP\System32\DRIVERS\nups.sys');
DeleteFile('C:\WINXP\system32\drivers\studgiyn.sys');
DelBHO('AutorunsDisabled');
DeleteService('tggqg');
DeleteService('Nups');
DeleteService('Darkness');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 62
Карантин пустой, но теперь, при подключении инета, выпадает ошибка explorera с теми же адресами.
-
Пофиксите в HijackThis:
Код:
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
Executerepair(2);
Executerepair(3);
Executerepair(4);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
-
-
Junior Member
- Вес репутации
- 62
explorer с теми же адресами.
-
-
-
Junior Member
- Вес репутации
- 62
При проверке, combofix ругается на остатки drweb, не подскажете, где они?
Работа немного задерживается, пришлось перейти с ADSL на мобилку.
-
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DARKNESS (Trojan.Backdoor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_NUPS (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные папки:
C:\Documents and Settings\All Users\Application Data\13620784 (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\test\Главное меню\Программы\System Security (Rogue.SystemSecurity) -> No action taken.
C:\WINXP\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
D:\1\z\Quarantine\2010-05-13\avz00003.dta (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users\Application Data\13620784\13620784 (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\test\Главное меню\Программы\System Security\System Security (Rogue.SystemSecurity) -> No action taken.
C:\WINXP\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINXP\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINXP\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\test\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Microsoft\id.txt (Malware.Trace) -> No action taken.
повторите лог МВАМ
-
-
Junior Member
- Вес репутации
- 62
Выполнил.
Отправляю логи.
P.S. Часто вижу эти файлы:
C:\Documents and Settings\test\Local Settings\Temp\~DF7EAF.tmp
C:\Documents and Settings\test\Local Settings\Temp\~DF892D.tmp
После ~DF могут быть другие символы. Причем они бывают не всегда и отследить их появление не удается.
Удалить можно старые, а вот один или два файла постоянно заняты каким-то процессом, и удаление не возможно.
Не исчезло также появление tmp.tmp на рабочем столе и ошибка explorer с ее обращением к памяти. Память и HDD проверял.
-
Junior Member
- Вес репутации
- 62
Вроде победили таки его.
С помощью filemon и regmon вычислил файлик к которому обращались окошки при подсоединении к инету.
Им оказался mgejpjdl.dll. После проверки на virustotal
File mgejpjdl.dll_ received on 2010.05.21 14:05:23 (UTC)
VBA32 3.12.12.5 2010.05.21 Trojan.MTA.0424
Result: 1/41 (2.44%)
удалил его из под Windows PE. И... о счастье.
Всем большое спасибо.