Problem z lsass.exe.vir!

babakut · 27 Listopad 2012 20:05

U brata na kompie pojawił się kiedyś ten “policyjny” wirus. Brat zaniósł go do “fachowca” (chyba takiego jak ja) i niby mu to zrobił, ale jak ostatnio włączałem jego laptopa to na powitanie wyskakuje monit, że “System Windows nie może otworzyć: lsass.exe.vir”. I teraz zaczyna się zabawa, bo ściągnąłem ComboFix’a i go zainstalowałem. Problem w tym, że nie mam go ani w programach ani na pulpicie choć niby tam jest (rejestr), jest tylko katalog Qoobox na C z plikami w katalogu kwarantanny i jakieś tam tekstowe pliki a więc program wykonał skan, bo zresztą jest też log z tego na C. Następnie ściągnąłem malwerebytes’em i wykrył tego trojana od płacenia “ctfmon.ink” - usunąłem to.

Próbowałem odinstalować ComboFix wg:

"Post przez Atis » 15.11.2012 (Cz) 11:01

Odinstaluj ComboFix.

Start -> Uruchom (logo Windows+R) -> wklej:

“tutaj wklej pełną ścieżkę do pliku ComboFix.exe” /uninstall

Jeżeli ComboFix jest na pulpicie to:

“C:\Documents and Settings\xxx\Pulpit\ComboFix.exe” /uninstall"

ale niestety wyskakuje mi:

choć jak widać w rejestrze jest właśnie taka ścieżka!?

Ściągnąłem jeszcze CCleaner’a i wyczyściłem co się dało. Po tych wszystkich czynnościach po kilku restartach wszystko było ok, ale następnego dnia po włączeniu komputera na pulpicie była tylko tapeta i kursor więc uruchomiłem go w trybie awaryjnym i przywróciłem system o tydzień wcześniej no i niby wszystko gra, ale powróciły stare problemy czyli lsass.exe.vir na powitanie i po przeskanowaniu jeszcze raz malwerebytes’em - “ctfmon.ink” (w uruchamianych jest element startowy ctfmon ze ścieżką “C:\Qoobox\QUARAN~1\C\DOCUME~1\ALLUSE~1\DANEAP~1\LSASSE~1.VIR C:\DOCUME~1\Dom\USTAWI~1\Temp\wpbt0.dll,GOF1”). Aha, jeszcze jedno, przy instalacji comboFix zainstalowałem jakieś g… “Funmoods”. niby usunąłem ile się dało wg porad, toolbar’a już nie ma - sam jeszcze z rejestru powywalałem ręcznie wszystko co znalazłem, ale w przeglądarce jako opcja wyszukiwania nadal jest możliwy wybór poprzez 'Funmoods" i nie wiem już jak się tego pozbyć!

a oto logi z combofix oraz otl:

http://www.wklejto.pl/139385 - combofix

http://www.wklejto.pl/140012 - Extras

http://www.wklejto.pl/140013 - OTL

Co z tym zrobić?

Atis · 27 Listopad 2012 20:49

Plik ComboFix.exe musi być zapisany na dysku, bo inaczej komenda uninstall nie działa.

Odinstaluj:

Ask Toolbar

AVG Security Toolbar

McAfee Security Scan Plus

Norton Security Scan

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Delete.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\Dom\USTAWI~1\Temp\catchme.sys – (catchme) FF - prefs.js…browser.search.defaultenginename: “Funmoods” FF - prefs.js…browser.search.order.1: “Ask.com” [2012-11-22 22:08:38 | 000,002,341 | ---- | M] () – C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\3o6bz205.default\searchplugins\Funmoods.xml O4 - HKU\S-1-5-21-1960408961-861567501-725345543-1003…\Run: [Mobile Partner] C:\Program Files\PLAY Web partner\PLAY Web partner File not found O4 - Startup: C:\Documents and Settings\Dom\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Dane aplikacji\lsass.exe.vir (Microsoft Corporation) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Value error.) [2012-11-23 23:42:13 | 000,000,440 | -H-- | M] () – C:\WINDOWS\tasks\Norton Security Scan for Dom.job [2011-02-12 15:15:12 | 000,000,000 | —D | M] – C:\Documents and Settings\Dom\Dane aplikacji\Ixme [2011-02-13 13:33:28 | 000,000,000 | —D | M] – C:\Documents and Settings\Dom\Dane aplikacji\Qixaib [2012-10-10 06:34:55 | 000,000,000 | —D | M] – C:\Documents and Settings\Dom\Dane aplikacji\Yhinpa :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

babakut · 27 Listopad 2012 21:30

Nie mogę odinstalować AVG Security Toolbar - nic się nie dzieje jak daję na odinstaluj.

“Plik ComboFix.exe musi być zapisany na dysku, bo inaczej komenda uninstall nie działa.” - wrzuciłem plik instalacyjny na pulpit no i zadziałało ale na końcu pikało ostrzeżenie o włączonym antywirusie i żeby go wyłączyć, ale to zignorowałem i niby wystąpił błąd ale po chwili wyskoczyło powiadomienie, że odinstalowało.

http://www.wklejto.pl/140031 - OTL All processes killed

http://www.wklejto.pl/140034 - AdwCleaner

http://www.wklejto.pl/140036 - OTL Extras

http://www.wklejto.pl/140038 - OTL

Atis · 27 Listopad 2012 21:43

Wklej i kliknij Wykonaj skrypt:

:OTL SRV - [2012-11-09 12:32:04 | 000,711,112 | ---- | M] () [Auto | Running] – C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe – (vToolbarUpdater13.2.0) DRV - [2012-11-09 12:32:05 | 000,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] – C:\WINDOWS\system32\drivers\avgtpx86.sys – (avgtp) IE - HKLM…\SearchScopes,DefaultScope = IE - HKU.DEFAULT…\SearchScopes,DefaultScope = IE - HKU\S-1-5-18…\SearchScopes,DefaultScope = IE - HKU\S-1-5-19…\SearchScopes,DefaultScope = IE - HKU\S-1-5-20…\SearchScopes,DefaultScope = IE - HKU\S-1-5-21-1960408961-861567501-725345543-1003…\SearchScopes{B5DABED8-0C4B-4F92-B8F2-769E552681DC}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=E947ECDD-5C2B-4332-9BF1-DF0AFE2B1810&apn_sauid=B9C2C277-4F22-41EA-A3AB-C91E80D8510A IE - HKU\S-1-5-21-1960408961-861567501-725345543-1003…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = https://isearch.avg.com/search?cid={B1E264BD-E0F1-4835-A553-4CA2A7F08A87}&mid=e7066ecc005a47d081f4d1567c38f0b8-8db315066af15dc407317f988ece470bbb4dd609〈=pl&ds=xn011&pr=sa&d=2012-10-04 19:20:01&v=13.0.0.7&sap=dsp&q={searchTerms} O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll File not found O3 - HKLM…\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll File not found O3 - HKU.DEFAULT…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1960408961-861567501-725345543-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1960408961-861567501-725345543-1003…\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. [2012-11-25 20:43:33 | 000,000,000 | —D | C] – C:\WINDOWS\System32\drivers\NSS [2012-11-25 20:43:33 | 000,000,000 | —D | C] – C:\Program Files\Norton Security Scan [2012-11-25 20:43:33 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Menu Start\Programy\Norton Security Scan [2012-11-25 20:42:17 | 000,000,000 | —D | C] – C:\Program Files\Common Files\AVG Secure Search [2012-11-25 20:42:10 | 000,000,000 | —D | C] – C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\AVG Secure Search [2012-11-25 20:42:03 | 000,000,000 | —D | C] – C:\Program Files\NortonInstaller [2012-11-23 10:26:31 | 000,000,000 | —D | C] – C:\Program Files\Norton Security Scan(2) [2012-11-22 21:15:39 | 000,000,000 | —D | C] – C:\Program Files\AVAST Software [2012-11-22 21:15:39 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software [2012-11-27 22:08:34 | 000,000,458 | -H-- | M] () – C:\WINDOWS\tasks\User_Feed_Synchronization-{63C784D2-19AA-4773-A456-24468E2B9233}.job :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG Secure Search]

Odinstaluj:

Java 6 Update 20

Java 7 Update 7

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Zainstaluj:

Java

Flash Player Internet Explorer i Plugin-based browsers

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/08/27/2012-08-27_234556.png

babakut · 27 Listopad 2012 22:20

Niestety z Avirą mam problem, bo ją kiedyś próbowałem odinstalować i chyba przez przywracanie systemu teraz tak się porobiło:

Przy próbie uruchomienia programu też taka informacja wyskakuje…Nie wiem, zainstalować jeszcze raz ten program? Bo w sumie nie wiem, który mu zostawić Avirę czy Avast?

Malwarebytes Anti-Malware - nic nie znalazło.

Atis · 27 Listopad 2012 22:33

Pobierz instalator programu Avira i w ten sposób spróbuj naprawić instalację.

Jeżeli nadal będzie problem to usuń ręcznie w trybie awaryjnym:

http://www.avira.com/en/download/produc … trycleaner

Aktualizuj program Firefox.

babakut · 27 Listopad 2012 22:39

Się rozumie.

Wielkie dzięki za pomoc i mam nadzieję, że jutro nie będę miał takiej niespodzianki jak wcześniej miałem, tzn. pusty pulpit, bo teraz nie mam przywracania systemu i trzeba byłoby działać inaczej

Jeszcze raz DZIĘKI!

Atis · 27 Listopad 2012 22:45

Przywracanie miałeś wyłączyć tylko na chwilę.

Wszystkie programy > Akcesoria > Narzędzia systemowe > Przywracanie systemu > Utwórz punkt przywracania

babakut · 28 Listopad 2012 09:28

Wiem, wiem, chodziło mi o wcześniejsze punkty, które zostały usunięte.