Services, lsass zainfekowane

fallout13 · 1 Wrzesień 2008 13:38

Witam

mam następujący problem, przyniosłem sobie na pendrivie wirusa, który poprzez services.exe ściągnął jakieś szkodniki

teraz wygląda to tak, że otwiera się osobny proces lsass.exe (drugi) który otwiera child process lsass.exe oraz plik losowanazwa.tmp (dane z ProcessExplorera), który chce się łączyć z 62.179.1.60:DNS

lphcrshj0e35j c:\windows\system32\lphcrshj0e35j.exe <— taki wpis jest w autoruns (dodaje się za każdym uruchomieniem systemu.

AVG nic nie wykrywa. Instalacja naprawcza XP nic nie pomogła, próbowałem usuwać killboxem services.exe, ale to też nie pomogło

z góry dziękuję za jakieś wskazówki

pozdrawiam

fallout13

Leon1 · 1 Wrzesień 2008 13:48

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 uruchom dwuklikiem daj log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

fallout13 · 1 Wrzesień 2008 14:00

http://wklej.org/id/2258/

Log z comboFixa, niestety, nie zauważyłem że zostawiłem spybota włączonego, coś tam się na końcu pytał czy pozwolić na zmiany w rejestrze. Zrobić loga jeszcze raz czy lepiej nie?

:), pousuwał mi linuxowe komendy.

Leon1 · 1 Wrzesień 2008 14:43

i co pozwoliłeś czy nie

fallout13 · 1 Wrzesień 2008 14:53

Oczywiście pozwoliłem.

Wirus tak jakby się “odświeżył”. Jest to co na początku.

services.exe chcą do internetu 208.66.194.232 HTTP

lsass.exe otwiera lsass.exe oraz gjs2.tmp (w drzewie procesów tan lsass.exe nie ma parenta) w przeciwieństwie do normalnego lsass.exe

pozdrawiam

fallout13 · 1 Wrzesień 2008 15:24

Mam prośbę, może ktoś wie jak sprawdzić czy plik nie jest zainfekowany?

services.exe wersja 5.1.2600.2180

rozmiar u mnie 108 544

XP SP2.

czy mógłby ktoś potwierdzić że plik jest w porządku

djarta · 1 Wrzesień 2008 15:25

Sprawdź go na --> http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

====================

K.

Leon1 · 1 Wrzesień 2008 15:26

wpisy

usuń HijackThisem >> Fix checked

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

fallout13 · 1 Wrzesień 2008 20:04

Wielkie dzięki!

komputer czysty jak łza

Log z comboFixa

http://wklej.org/id/2310/

pozdrawiam

Gutek · 1 Wrzesień 2008 21:07

Wklej do Notatnika:

File::

C:\WINDOWS\system32\shaunu32.dll

C:\WINDOWS\system32\services.rar

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Wykonaj skan Dr. Web CureIt

fallout13 · 1 Wrzesień 2008 21:21

te pliki już się ręcznie usuwają (jeden nawet sam zrobiłem)

zakumałem już o co chodzi z tym wirusem, to w driverach siedziało

R0 Dim04;Dim04;C:\WINDOWS\system32\Drivers\Dim04.sys [2008-09-01 15:22]

to chyba nie był nawet rootkit, nie?

reszta to były tylko jakieś pochodne.

dzięki jeszcze raz, następnym razem już pewnie sam dam radę

Gutek · 1 Wrzesień 2008 21:42

Daj raport ze skanu Dr. Web CureIt jak czysty to Ok