Zarażony windows\system32\lsass.exe


(Sillette) #1

Witam,

avast wykrywa mi wirusa

c:\windows\system32\lsass.exe

Win32:Malware-gen

100901-1, 2010-09-01

Wirus/robak ,

nie mogę go usunąć ani naprawić ani dodać do kwarantanny, gdyż jest tylko do odczytu.

Przeskanowałam go również Malwarebytes Anti-Malware, on nic nie znalazł.

ale chyba coś się dzieje, bo na pulpicie pokazały mi się ukryte foldery.

Podaję loga z hijackthis http://wklejto.pl/75931

i z OTL; http://wklejto.pl/75933

w OTL jeszcze extras mi się pojawiło, jeśli trzeba to rano wkleję.

Uprzejmie proszę o pomoc w rozwiązaniu tego problemu.


(Virtualchameleon Cc) #2

Tutaj masz --> przeanalizowany log z HijackThis

Odnośnie OTLa, to wszystko wygląda na w porządku, ale mogą być problemy z plikiem c:\windows\system32\lsass.exe

Sprawdź kompa programem Runscanner, w którym jest możliwość analizy on-line przeskanowanego kompa. Jeśli dodatkowo masz zainstalowany VirusTotal Uploader, to możesz dodatkowo przesłać podejrzany plik do multiskanera on-line VirusTotal. Podejrzany plik możesz też przesłać do Greatis. Dobrym sposobem jest też zainstalowanie programów Process Explorer i AutoRun z pakietu Sysinternals firmy Microsoft. A jeszcze lepszym jest zastąpienie oryginalnego programu Menedżer Zadań systemu operacyjnego Windows(all right reserved) właśnie programem Process Explorer firmy Mark Russinovich (all right reserved).


(Sillette) #3

nie moge zainstalować runscannera, cos mu się hasło do konta administartora nie zgadza. Co do Virustotal Uploader to jest jakaś zaufana strona z której mogę go ściągnąć? bo tam nie widzę takiej opcji.

Generalnie jeśli chodzi o walkę z wirusami jestem zielona więc mam pytanie co oznacza, że mogą być problemy z tym plikiem?

a co do Greatis to przesłałam plik, ale nie mogę wejść w uloaded file name , bo avast krzyczy i nie pozwala.


(Sillette) #4

dobra, ściągnęłam virus Total Uploadera ale niestety nie może on otworzyć pliku lsass.exe :frowning:

-- Dodane 02.09.2010 (Cz) 15:36 --

Nadal jestem w tym samym miejscu co byłam i nie wiem co dalej.

i nie wiem jak to zrozumiec: O23 - Service: Menedżer kont zabezpieczeń (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe Kind Extremely nasty This service (lsass.exe) was identified as a good one. (analiza z hijackthis)

Może jeszcze ktos może pomóć?


(Virtualchameleon Cc) #5

Ściągnij program Process Explorer uruchom na prawach administratora. Znajdź z lewej strony plik lsass.exe i go zweryfikuj -> kliknij prawym przyciskiem myszy na pliku lsass.exe -> wybierz z menu Properties -> przejdź do zakładki Image i kliknij przycisk Verify (jeśli jest wyszarzałe jak na screenie to już zostało zweryfikowane). Powinno być tak jak na screenie. Jako, że jestem cienki w analizowaniu logów, jeśli problemy będą dalej po prostu skopiuj od kogoś prawidłowy plik lsass.exe , oczywiście odpowiedni do posiadanej przez ciebie wersji Windows.

Wg HijackThis problem jest z usługą lsass.exe, która została zakwalifikowana do grupy 023

Wszystkie usługi/pliki/katalogi w HijackThis są odpowiednio oznakowane, a w tym przypadku C:\WINDOWS\system32\lsass.exe został właśnie oznaczony jako 023 , co w rozumieniu HijackThis oznacza: 023 - Są to niestandardowe Usługi uruchamiane na systemach Windows NT/2000/XP/2003. Te wpisy pokazują tylko niestandardowe usługi czyli te dodane przez dodatkowy program. Bardzo często wykorzystywane przez różnego rodzaju robactwo!

Problemem jest nieznany właściciel pliku/usługi lsass.exe (Unknown owner - C:\WINDOWS\system32\lsass.exe)

Skopiuj prawidłowy plik lsass.exe od kogoś i już.


(Sillette) #6

dzięki, spróbuje i napszę jak dalej sprawy się mają:slight_smile:

tylko jeśli skopiuję od kogoś lsass.exe to ten stary będę musiała usunąc? a tego nie nie da rady zrobić..

dobra, sciągnełam program i go otworzyłam i szczerze to nie bardzo wiem o co w tym chodzi. a verify nie mogę klikąć, bo jest niedostępne...

musi sie to jakoś załadować? przy pliku lsass.exe nie ma żadnego opisu i company name. na razie tyle wiem.

-- Dodane 04.09.2010 (So) 22:01 --

Dobra, chyba się udało:)

ale DZIĘKUJĘ BARDZO ZA POMOC :slight_smile:

napiszę co dokładnie zrobiłam, bo ktoś miał podobny problem:

skopiowałam plik lsass.exe, oczywiście nie chciał mi zastąpić mojego, więc w starym pliku zmieniłam nazwę. system krzyczał, że tak nie wolno, następnie przeskanowałam plik ze zmienioną nazwą, wirus nadal tam był ale tym razem udało mi się go usunąć zaznaczając opcję usuń przy kolejnym włączeniu komputera. wł/wył kompa system sprawdził spójność i na razie wszytko gra:) Proces explorer teraz tez widzi to poprawnie.

Jeszcze skanuję dla pewności.

Jeszcze raz dzięki:)


(Virtualchameleon Cc) #7

Pliku lsass.exe nie da się normalnie usunąć, ponieważ jest to plik potrzebny do prawidłowego działania Windows, odpowiada on za różne potrzebne rzeczy. Żeby podmienić taki plik (systemowy) trzeba albo uruchomić komputer z dowolnej dystrybucji Linuxa i skopiować dany plik, mając wcześniej oryginał, albo "zabić proces" - plik lsass.exe jest cały czas używany przez system i nie da się go po prostu skopiować. Żeby "zabić proces" można użyć Process Explorera i z menu kontekstowego wybrać "Kill process" -> tyle, że pliki/usługi systemowe po zabiciu odradzają się ponownie. Innym sposobem na podmiane pliku jest metoda zastosowana przez ciebie.


(Sillette) #8

apocalytyPS3, niestety musiałam zrobić to na chłopski rozum, bo o innych sposobach nie miałam pojęcia a nawet gdyby to nie dałabym rady raczej.

Mati90-15 okazało sie że u mnie tez siedział nadal, bo go nie usunęłam,tylko przeniosłam ze zmienionym rozszerzeniem na vir, ale przy skanowaniu bez problemu się usunął, oprócz tego jeszcze w system volume siedział jeszcze jeden malware-gen ale ot tez został zlikwidowany:)

-- Dodane 05.09.2010 (N) 10:06 --

a jeśli avast juz nie czyta wira to chyba dobrze, bo przecież sam plik musi tam być.


(Virtualchameleon Cc) #9

Jeśli działa to dobrze, możesz dalej wchodzić na pornosy i warezy :smiley:

Jeśli po ponownym przeskanowaniu avast nie rozpoznaje żadnego zagrożenia, to go nie ma - swoją drogą to musiał być jakiś marny malware jak sie poddał bez walki :smiley: