Mam problem z lsass.exe w XP

wiesz co odkrylem zdaje sie ze wiem skad to idzie zablokowalem 1 rzecz na firewalu zdaje sie ze dzial ale cos podszywa sie pod symanteca wyskakuje mi http://www.symantec.com host 193.219.28.104 pisze ze to jest liveUpdate tylko pod dziwna nazwa LuComServer.exe czlowiek byl glupi i puszczal to no bo skoro symantec :slight_smile: a tu z logow firewalla wychodzi :o

% This is the RIPE Whois server.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/ripencc/pub-service … right.html

inetnum: 193.219.28.0 - 193.219.28.255

netname: ICM-PL

descr: Public Internet services network

descr: at ICM, Warsaw, Poland

country: PL

admin-c: ICM3-RIPE

tech-c: ICM3-RIPE

tech-c: RM488

rev-srv: sunsite.icm.edu.pl

rev-srv: ns1.net.icm.edu.pl

rev-srv: ns2.net.icm.edu.pl

status: ASSIGNED PI

notify: W.Sylwestrzak@icm.edu.pl

mnt-by: ICM-PL

changed: W.Sylwestrzak@icm.edu.pl 19980301

changed: W.Sylwestrzak@icm.edu.pl 19981102

changed: bp17@icm.edu.pl 20010705

changed: s.zagrodzki@net.icm.edu.pl 20030528

source: RIPE

route: 193.219.28.0/24

descr: ICM-PL-PUB1

descr: Warsaw, Poland

origin: AS8664

notify: W.Sylwestrzak@icm.edu.pl

mnt-by: ICM-PL

changed: W.Sylwestrzak@icm.edu.pl 19981008

source: RIPE

role: ICM Networking Group

address: Pawinskiego 5A

address: 02-106 Warszawa

address: Poland

phone: +48 22 8749100

fax-no: +48 22 8749115

e-mail: info@net.icm.edu.pl

admin-c: BP1114-RIPE

tech-c: BP1114-RIPE

tech-c: SEB19-RIPE

tech-c: KRIS3-RIPE

tech-c: RBOG1-RIPE

tech-c: JWR1-RIPE

tech-c: ACZ-RIPE

tech-c: KKOW1-RIPE

nic-hdl: ICM3-RIPE

notify: info@net.icm.edu.pl

mnt-by: ICM-PL

changed: s.zagrodzki@net.icm.edu.pl 20010723

changed: s.zagrodzki@net.icm.edu.pl 20011206

changed: s.zagrodzki@net.icm.edu.pl 20030317

changed: s.zagrodzki@net.icm.edu.pl 20030714

source: RIPE

person: Rafal Maszkowski

address: ICM

address: Pawinskiego 5A

address: 02-106 Warszawa

address: Poland

phone: +48 22 8749100

fax-no: +48 22 8749115

e-mail: rzm@icm.edu.pl

nic-hdl: RM488

changed: W.Sylwestrzak@icm.edu.pl 19980817

source: RIPE

jak dotad jestem podlaczony jakas 1h i jest ok do puki to jest blokowane teraz trzeba sie zajac usunieciem tego :slight_smile:

porty juz mialem poblokowane firewall systemowy tez co do odzywku to zaden win ,ghost 7 raczej odzysk czysty bo byl robiony bez neta i do tej pory sie sprawdzal :slight_smile:

Ok. poczytaj jeszcze

http://www.searchengines.pl/phpbb203/in … topic=3535

i to

Wydaje mi sę że to fałszywka , Ja bym to wył.

Sam już niewim bo - LuComServer.exe

http://www.liutilities.com/products/win … comserver/

tylko tak jak ja to wylacze to zostaje bez firewalla bo on mi go nie zalczy przy starcie przynjmniej tak bylo bo juz to wylaczalem dziwne do tej pory firewall zajebisice sie sprawdzal najwyzej polec jakis inny fajny firewall co do tego lucomserwr to dziwne bo od kad go bloknalem to cisza i spokuj i to juz praiw 2 h hmmmmm???

Jeden smc .exe masz w C:\Program Files\Sygate\SPF\smc.exe

a drugi w C:\PROGRA~1\Sygate\SPF\smc.exe -startgui ???

Może tak nie ma być ???.

Zgadzam się z powyższymi odpowiedziami. Na twoim komputerze znajduję się wirus Sasser.

Aby usunac SASSERA nalezy :

  1. Gdy juz wam sie pojawi okienko, ze za 60s wylaczy sie komputer, przestawcie godzine systemowa np. o godzine wstecz przez co zyskacie czas na pobranie latki i usuniecie robaka, gdyz zrestartuje on komputer dopiero za 1h 60s.

  2. Wlaczamy FIREWALL , jezeli nie posiadamy to wlaczamy systemowy firewall .

  3. Pobieramy latke microsoftu dla odpowiedniego systemu :

  • Windows 2000

  • Windows XP

  • Windows NT

  • Windows NT Server

  • Windows Server 2003

  1. Pobieramy program usuwajacy Sassera :
  • FxSasser.exe

Uruchamiamy go i klikamy Start

Czekamy az skonczy skanowanie. W swoim katalogu utworzy on plik tekstowy z raportem.

W nim bedzie napisane czy wykryl sassera czy nie.

Program ten sam usuwa robaka, nie musimy nic robic recznie.







Aby usunac BLASTERA nalezy :

WYLACZYC PRZYWRACANIE SYSTEMU

WIN XP i WIN ME : http://www.wiruszone.livenet.pl/forum/viewtopic.php?t=8

WYLACZYC internet ( wtyczke z gniazdka )

Wejsc w : Panel Sterowania->Narzedzia administracyjne->Uslugi

i odnalesc usluge : Zdalne wywoływanie procedur (RPC)

klikamy na nia dwukrotnie i przechodzimy na zakladke Odzyskiwanie i ustawiamy tam tak :

Pierwszy błąd: Uruchom usługę ponownie

Drugi błąd: Uruchom usługę ponownie

Kolejne błędy: Uruchom usługę ponownie

i klikamy ok i wychodzimy z Uslug. Teraz juz nie grozi nam nieoczekiwany restart.

WLACZYC internet ( wtyczke do gniazdka )

Pobrac plik FixBlast.exe

http://securityresponse.symantec.com/av … xBlast.exe

Uruchomic go i kliknac Start

Poczekac az skonczy skanowanie. W swoim katalogu utworzy on plik tekstowy z raportem.

W nim bedzie napisane czy wykryl blastera czy nie.

Program ten sam usuwa robaka , nic nie musimy robic recznie.

Pozniej nalezy pobrac i zainstalowac late microsoftu , aby robak nie dostal sie juz do naszego systemu.

Windows XP:

http://www.microsoft.com/downloads/deta … e40f69c074

Windows 2000:

http://www.microsoft.com/downloads/deta … laylang=pl

Windows NT:

http://www.microsoft.com/downloads/deta … 77a0b9303f

Windows Server 2003:

http://www.microsoft.com/downloads/deta … 212458e92e







Narzedzie od usuwania robaka MYDOOM mozecie sciagnac ze strony microsoftu

http://www.microsoft.com/downloads/deta … layLang=en

Usuwa ono z komputera nastepujace wersje robaka :

  • Mydoom A

  • Mydoom B

  • Doomjuice A

  • Doomjuice B

Inne programy usuwajace MyDoom-a

http://www.sophos.com/support/cleaners/mydoogui.com

http://www.mks.com.pl/files/pomoc/MyDoom.exe







Wykrywanie i usuwanie wirusa CIH.

Wirus CIH oczywiscie dziala tylko na systemach : Windows 98 i Windows 95.

Programy wykrywajace i usuwajace go :

KILL_CIH.EXE - program Symantec-u

ftp://ftp.symantec.com/public/english_u … ll_cih.exe

NOCIH.EXE - program GDATA

http://www.gdata.pl/kmdownload/download … etit&id=43

CleanCIH.exe - Proland

http://www.pspl.com/download/cleancih.exe

A gdy sie spoznimy z tym i wirus zadziala to zostaje nam to narzedzie :

Cytat:

Program Fix-CIH ratuje twarde dyski z FAT32 po ataku WinCih.

Jest to program freeware napisany przez Steve Gibsona

Fix-CIH.exe - Steve Gibson

http://grc.com/files/fix-cih.exe

A jakie porty teraz zablokowałeś że ci nie wyłącza?

Bartnicki dzieki za rady niestety wszystkie powyzesz zadania bylu juz dawno zrobione i to po kilka razy - oczywiscie bez skutku - do wylaczenia ni epotrzeba przestawiac czasu jest na to prosta komenda uruchamiasz wiersz polecen (menu start > uruchom> wpisujesz CMD) i zanim ci wylaczy kompa wpisujesz " shutdown -a" co spowoduje przerwanie zamykania kompa. wszystkie programy ktore tu podales do wyszukiwania i usuwania przelecialy sysetm 2,3 razy i nic nie znalazly to jest ten problem a co do tego smc to sie musze przyjzezc…

porty:

te mialem

445/TCP

5554/TCP

9996/TCP

a te dodalem

TCP and UDP ports 135

TCP ports 139 and 445

TCP port 593

co do tego smc to wyglada to tak ze jest tylko 1 smc.exe .pierwsze to ikonka normalnie w program files do zalaczania a te startgui to opcja uruchamiania go przy starcie nic poza tym przynajmniej tak mi sie wydaje

Sprawa się robi ciekawa. Potry nie od sassera tylko blastera. :smiley:

Jak znajdziesz jakiegoś skubańca to możesz wysłać do testów

Pogotowie antywirusowe http://wiruszone.net/forum/

adres pogotowia pogotowie@wiruszone.livenet.p

http://wipos.p.lodz.pl/av/

a co ciekawsze wywala komunikatem sasera na dodatek nic nie ma w kompie tzn jak narazie nei stwierdzone heheh:)

cholera juz myslalem ze jest ok az 1 dzien chodzilo i zas to samo :frowning:

Też miałem to samo, mimo usunięcia wszystkich podejrzanych plików,przeskanowania programem antywirusowym ciągle mi się uruchamiał i wyłączał komputer. Dopiero po wejściu w konfigurację systemu (msconfig) znalazłem tam podejrzany plik do uruchomienia i gdy go odfajkowałem to wszystko było ok.od tej pory mam spokój.

kazik1941

Zablokuj port 136 na netbios i sprawdz połączenia wchodzące i wychodzące jakimś dodatkowym programem śledzącm porty.

Wyprubój te programy :

http://www.microsoft.com/security/protect/antivirus.asp

http://www.microsoft.com/security/protect/firewall.asp

Są to pelne wersje tylko ogranoczone do nawet 90 dni

Panda jest też w wersji PL

Ps . Wklej jeszcze raz loga z HT tylko pełnego ( R1 do R 19 też) i najnowszego

Zrób zapis jak wyskoczy błąd . CProcess też sprawdz w czasie zamykania.

Ps2

Zamknij te porty

135 TCP i UDP (RPC)

137 i 138 UDP

139 i 445 TCP (NetBIOS)

593 TCP (RPC-over-HTTP)

4444 TCP

69 UDP (TFTP)

Poczytaj stronkę

http://www.searchengines.pl/phpbb203/in … opic=11529

Kazik a czy pamietasz moze jak to byl program co go odchaczyles??? bo szczerze mowiac zajrzalem do msconfig ale nie bardzo wiem za co sie zlapac :slight_smile:

Phylby porty te mialem poblokowane,zmienilem firewalla bo myslalem ze on mi cos przepuszcza ale chyba jednak nie bo instalnalem Zonealarm i moment po fizycznym podlaczeniu do neta…kapa to jest normalnei nie mozliwe :frowning:

szczerze mowiac nie wiem jak zobic inne poza R0 i R1 w HijackThis

oto logi z niego

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Tlen.pl\tlen.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\IFACE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\PAVJOBS.EXE

G:\PROGRAMY\łaty i patche\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.neuroticmedia.net/getV1License.asp?content_guid=11634&challenge=AAEAAS1mo8qKJBgg4I*Z4!iTeQ*J8!w04qgQHVA6OTo4DsH*HpOzT7o0iWgFzf9unUffPeuHLmF1Q4UBqcK*Zqz42A97mQ!INPAaq3jU6*WHLQcYuHJzngID0zU47!caIT3nuqYAJbt0uIuiNnlxesbugzOrPKxXFylI2OQdF218fUcLEvhJVedvTZE3o5HUpInaJxIgabDYcYMLEifa1a*4nyS!Ii7JcDeTgd6QoEggAeY9Zs1oz3MF*Ubgwdnkbf9rYPaE3yqB&DRMVer=1.3&filename=file://C:%5cProgram%20Files%5cWinamp%5cSnow_Patrol-Spitting_Games.wma

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38085.6083333333

O17 - HKLM\System\CCS\Services\Tcpip\..\{3360B759-6C50-474F-BB19-ACE17A93F5EB}: NameServer = 194.204.152.34,194.204.159.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{3360B759-6C50-474F-BB19-ACE17A93F5EB}: NameServer = 194.204.152.34,194.204.159.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{3360B759-6C50-474F-BB19-ACE17A93F5EB}: NameServer = 194.204.152.34,194.204.159.1

TO SA LOGI ZE STARTUPLIST :

StartupList report, 2004-06-25, 20:48:22

StartupList version: 1.52

Started from : G:\PROGRAMY\łaty i patche\StartupList.EXE

Detected: Windows XP (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 (6.00.2600.0000)

* Using default options

==================================================


Running processes:


C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Tlen.pl\tlen.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\IFACE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\PAVJOBS.EXE

G:\PROGRAMY\łaty i patche\StartupList.exe


--------------------------------------------------


Listing of startup folders:


Shell folders Common Startup:

[C]

Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe


--------------------------------------------------


Checking Windows NT UserInit:


[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,


--------------------------------------------------


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run


NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

nwiz = nwiz.exe /install

WINDVDPatch = CTHELPER.EXE

Jet Detection = "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

NeroCheck = C:\WINDOWS\system32\NeroCheck.exe

SCANINICIO = "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"

APVXDWIN = "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s


--------------------------------------------------


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run


NVIEW = rundll32.exe nview.dll,nViewLoadHook

Gadu-Gadu = "C:\Program Files\Gadu-Gadu\gg.exe" /tray

Komunikator = C:\Program Files\Tlen.pl\tlen.exe


--------------------------------------------------


Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:


Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*


Shell & screensaver key from Registry:


Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*


Policies Shell key:


HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*


--------------------------------------------------



Enumerating Browser Helper Objects:


(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}


--------------------------------------------------


Enumerating Task Scheduler jobs:


Symantec NetDetect.job


--------------------------------------------------


Enumerating Download Program Files:


[Update Class]

InProcServer32 = C:\WINDOWS\System32\iuctl.dll

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38085.6083333333


--------------------------------------------------


Enumerating ShellServiceObjectDelayLoad items:


PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll


--------------------------------------------------

End of report, 4 798 bytes

Report generated in 0,156 seconds


Command line options:

   /verbose - to add additional info on each section

   /complete - to include empty sections and unsuspicious data

   /full - to include several rarely-important sections

   /force9x - to include Win9x-only startups even if running on WinNT

   /forcent - to include WinNT-only startups even if running on Win9x

   /forceall - to include all Win9x and WinNT startups, regardless of platform

   /history - to list version history only

a dalej to sam nie wiem co robic…

Po przemysleniach po kolejnej nocy cos mnie zdziwilo skoro to wirus to dlaczego atakuje tylko mnie jestem w sieci lan gdzie jest jeszcze spokojnie kilka kompow z Xp wiec dlaczego im sie nic nie dzieje tylko mnie???

jedynie do czego mogę się doczepić to

R1 i

[update Class]

InProcServer32 = C:\WINDOWS\System32\iuctl.dll

CODEBASE = http://v4.windowsupdate.microsoft.com/C … 6083333333

http://www.drweb32.pl/index.php?id=181&param=more

Jest jedna specjalistka co to może rozpracować.Nazywa sie picasso.

Idż jeszcze z tymi logami do niej na http://www.searchengines.pl/phpbb203/in … owforum=99

Sorry ale ja też rozkładam rece bo…sam widzisz. :slight_smile:

spoko spoko kumam chwycilem sie nawet wiesz czego … moze sieciowka jest walnieta i zle przetwarza pakiety albo ktos dopadl namiary na mojego kompa w lanie bo mialem przekierowanie na ftp-a ale jak by mnie w lanie tak loil to musial by byc niezly kolo :smiley: jak narazie zminilem se IP i karte sieciowa narazie jest ok zobaczymy co bedzie ok zajrze do picasso :slight_smile: dzieki pozdrowka

Jak ci się chce to w zasadach grupy można wyłączyć pingowanie tz. odpowiedz na ping.Trzeba ustawić tam nową regułę . Jak chcesz to ci podam . Jest to opisane w ekspercie 5/2003 Jak ukryć kompa w lanie też piszą.

Phylby

w zoneAlarm juz taka opcja jest na stale walnieta ale jasne chetnie sie czegos dowiem byc moze jest to zawsze cos innego ,poprostu nalezy wyciac pinga tracerta itp zablokowac porty tylko czy poleci ftp ja nie mam go na 21 porcie jak bedziesz mial chwilke to mozesz skrobnac wiesci o ukrywaniu kompa do picassa napisalem teraz pozostaje czekac … a propo nie wiesz jak wstawiac tu screenshota jak cos albo jpg, jakiegos ??

Ukrywanie komputera w LAN-ie. Win 2000/XP (Ekspert 5/2003)

Wyłączenie odpowiedzi komputera na “ping”. Win 2000/XP

Mamy teraz nowy filrt na polecenie ping. 5min. roboty jest :smiley: , chyba niczego nie pomyliłem :smiley: