Services, lsass zainfekowane


(Sieciech) #1

http://wklej.org/id/2253/

Witam

mam następujący problem, przyniosłem sobie na pendrivie wirusa, który poprzez services.exe ściągnął jakieś szkodniki

teraz wygląda to tak, że otwiera się osobny proces lsass.exe (drugi) który otwiera child process lsass.exe oraz plik losowanazwa.tmp (dane z ProcessExplorera), który chce się łączyć z 62.179.1.60:DNS

lphcrshj0e35j c:\windows\system32\lphcrshj0e35j.exe <--- taki wpis jest w autoruns (dodaje się za każdym uruchomieniem systemu.

AVG nic nie wykrywa. Instalacja naprawcza XP nic nie pomogła, próbowałem usuwać killboxem services.exe, ale to też nie pomogło

z góry dziękuję za jakieś wskazówki

pozdrawiam

fallout13


(Leon$) #2

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 uruchom dwuklikiem daj log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

:slight_smile:


(Sieciech) #3

http://wklej.org/id/2258/

Log z comboFixa, niestety, nie zauważyłem że zostawiłem spybota włączonego, coś tam się na końcu pytał czy pozwolić na zmiany w rejestrze. Zrobić loga jeszcze raz czy lepiej nie?

:), pousuwał mi linuxowe komendy.


(Leon$) #4

i co pozwoliłeś czy nie

:slight_smile:


(Sieciech) #5

Oczywiście pozwoliłem.

Wirus tak jakby się "odświeżył". Jest to co na początku.

services.exe chcą do internetu 208.66.194.232 HTTP

lsass.exe otwiera lsass.exe oraz gjs2.tmp (w drzewie procesów tan lsass.exe nie ma parenta) w przeciwieństwie do normalnego lsass.exe

pozdrawiam


(Sieciech) #6

Mam prośbę, może ktoś wie jak sprawdzić czy plik nie jest zainfekowany?

services.exe wersja 5.1.2600.2180

rozmiar u mnie 108 544

XP SP2.

czy mógłby ktoś potwierdzić że plik jest w porządku


(Kambor4) #7

Sprawdź go na --> http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html. :wink:

====================

K.


(Leon$) #8

wpisy

usuń HijackThisem >> Fix checked

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Sieciech) #9

Wielkie dzięki!

komputer czysty jak łza

Log z comboFixa

http://wklej.org/id/2310/

pozdrawiam


(Gutek) #10

Wklej do Notatnika:

File::

C:\WINDOWS\system32\shaunu32.dll

C:\WINDOWS\system32\services.rar

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Wykonaj skan Dr. Web CureIt


(Sieciech) #11

te pliki już się ręcznie usuwają (jeden nawet sam zrobiłem)

zakumałem już o co chodzi z tym wirusem, to w driverach siedziało

R0 Dim04;Dim04;C:\WINDOWS\system32\Drivers\Dim04.sys [2008-09-01 15:22]

to chyba nie był nawet rootkit, nie?

reszta to były tylko jakieś pochodne.

dzięki jeszcze raz, następnym razem już pewnie sam dam radę :smiley:


(Gutek) #12

Daj raport ze skanu Dr. Web CureIt jak czysty to Ok