Problem z lsass.exe.vir!

potus · 15 Listopad 2012 07:31

Po “wirusie policyjnym” i naprawą tym sposobem : http://forum.programosy.pl/trojan-ukash … 32349.html

przeleciałem System ComboFix`em. Po restarcie ukazuje mi się okienko z "System Windows nie może otworzyć tego pliku: lsass.exe.vir. "

Co robić ?

Jest taki plik w Qarantannie powstałym po ComboFix`e, ale chyba tam Windows nie “czyta” przy starcie.

Atis · 15 Listopad 2012 08:53

Pokaż logi z OTL na wklej.org.

potus · 15 Listopad 2012 09:33

Oto i log

http://wklej.to/zhnUV

Co zrobić z tym katalogiem po ComboFix`e ??

Atis · 15 Listopad 2012 10:01

Odinstaluj ComboFix.

Start -> Uruchom (logo Windows+R) -> wklej:

“tutaj wklej pełną ścieżkę do pliku ComboFix.exe” /uninstall

Jeżeli ComboFix jest na pulpicie to:

“C:\Documents and Settings\Eugeniusz Plewinski\Pulpit\ComboFix.exe” /uninstall

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Delete.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | Boot | Stopped] – System32\drivers\qchit.sys – (tcksm) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\TBPANEL.SYS – (Cardex) [2012-08-21 16:16:16 | 000,000,000 | —D | M] (ST-Polska Community Toolbar) – C:\Documents and Settings\Eugeniusz Plewinski\Dane aplikacji\Mozilla\Firefox\Profiles\ak8lo2xv.default\extensions{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2011-06-29 12:55:14 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\Eugeniusz Plewinski\Dane aplikacji\Mozilla\Firefox\Profiles\ak8lo2xv.default\extensions\engine@conduit.com [2012-05-20 14:54:40 | 000,000,921 | ---- | M] () – C:\Documents and Settings\Eugeniusz Plewinski\Dane aplikacji\Mozilla\Firefox\Profiles\ak8lo2xv.default\searchplugins\conduit.xml [2012-01-31 06:20:08 | 000,002,013 | ---- | M] () – C:\Documents and Settings\Eugeniusz Plewinski\Dane aplikacji\Mozilla\Firefox\Profiles\ak8lo2xv.default\searchplugins\myplaycity-search.xml [2012-08-05 21:26:25 | 000,000,792 | ---- | M] () – C:\Documents and Settings\Eugeniusz Plewinski\Dane aplikacji\Mozilla\Firefox\Profiles\ak8lo2xv.default\searchplugins\startsear.xml [2012-08-29 09:22:30 | 000,001,565 | ---- | M] () – C:\Documents and Settings\Eugeniusz Plewinski\Dane aplikacji\Mozilla\Firefox\Profiles\ak8lo2xv.default\searchplugins\web-search.xml O3 - HKCU…\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - Startup: C:\Documents and Settings\Eugeniusz Plewinski\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Qoobox\Quarantine\C\Documents and Settings\All Users.WINDOWS\Dane aplikacji\lsass.exe.vir (Microsoft Corporation) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.) [2012-02-19 20:57:08 | 002,371,152 | ---- | C] (DownVision ) – C:\Documents and Settings\Eugeniusz Plewinski\Ustawienia lokalne\Dane aplikacji\setup.exe :Files C:\Documents and Settings\Eugeniusz Plewinski\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

potus · 15 Listopad 2012 17:18

OTL: http://wklej.to/GOlHh

A to zostało po adw cleaner: http://wklej.to/AhnZ3

Atis · 15 Listopad 2012 17:23

Wklej i kliknij Wykonaj skrypt:

:OTL IE - HKLM…\SearchScopes{1645A33F-0A96-4315-904E-29E188E7720E}: “URL” = http://startsear.ch/?q={searchTerms} IE - HKLM…\SearchScopes{5938A073-C268-4601-B586-97E3D4993213}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=30 … f26f139&q={searchTerms} IE - HKCU…\SearchScopes,DefaultScope = IE - HKCU…\SearchScopes{000E28D0-C0F5-4ACE-A531-D4DB9A0A5010}: “URL” = http://www.bigseekpro.com/search/browser/hypercam/{30EF2EB7-1164-4310-AC4A-7FD99BFA7C98}?q={searchTerms} IE - HKCU…\SearchScopes{2D8CCA11-73B3-4A0A-A30E-43FBDBAEB3AC}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=050412_30b&babsrc=SP_ss&mntrId=0c848c5200000000000000304f26f139 IE - HKCU…\SearchScopes{5938A073-C268-4601-B586-97E3D4993213}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=30 … f26f139&q={searchTerms} IE - HKCU…\SearchScopes{E272E1D7-7CDC-4D0A-96C1-5A4CC00216A2}: “URL” = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…keyword.URL: “http://startsear.ch/?q=” O4 - HKLM…\Run: [ROC_roc_ssl_v12] “C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe” / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKLM…\Run: [vProt] “C:\Program Files\AVG Secure Search\vprot.exe” File not found

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

potus · 15 Listopad 2012 18:19

Zaktualizuję tą Jave. Czy wtedy wszystko będzie już ok ??

Atis · 15 Listopad 2012 18:24

Odinstaluj Java 6 Update 31.

Później zainstaluj Java 7 Update 9 i to wszystko.

potus · 15 Listopad 2012 18:26

Co tu w ogóle było ?? Napisz w dwóch słowach.

Atis · 15 Listopad 2012 18:36

Przecież wiesz, bo napisałeś o tym w pierwszym poście.

Trojan blokujący system i udający policję.

ComboFix nie usunął całkowicie trojana i to powodowało błąd podczas uruchamiania systemu.

potus · 15 Listopad 2012 19:04

Myślałem że coś więcej wywęszyłeś i dlatego było tyle roboty.

Bardzo dziękuję za pomoc i podziwiam takich ludzi którzy w takim logu coś potrafią wyszukać i jeszcze do tego to naprawić.

– Dodane 28.11.2012 (Śr) 17:27 –

Jeszcze raz muszę prosić o pomoc. Od w/w operacji mój FireFox od załączenia potrzebuje ok. 15 min na “rozruch”. Przez ten czas strony się ładują aż do przekroczenia czasu. Potem wystarczy odświeżyć i zaczynają działać normalnie.