Zawirusowany komputer, podejrzany plik lsass.exe

Piano21 · 28 Lipiec 2010 11:01

Witam

Mam problem z zainfekowanym komputerem, moj Avast wykrywa wirusy ale ich nie usuwa,prosiłbym serdecznie o pomoc, ponizej wrzucam Loga z HiJacka:

Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 12:21:05, on 2010-07-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\DOCUME~1\agent\USTAWI~1\Temp\341.exe C:\WINDOWS\system\cndrive32.exe C:\Agencja\TimeSvr.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\cndrive32.exe C:\Program Files\Softwin\BitDefender10\vsserv.exe C:\Program Files\Softwin\BitDefender10\bdmcon.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Mozilla Firefox\firefox.exe c:\lsass.exe C:\WINDOWS\System32\msiexec.exe C:\WINDOWS\system32\msiexec.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ O4 - HKLM…\Run: [20704] C:\DOCUME~1\agent\USTAWI~1\Temp\341.exe O4 - HKLM…\Policies\Explorer\Run: [4cmjc] C:\DOCUME~1\agent\USTAWI~1\Temp\2488.exe O4 - HKLM…\Policies\Explorer\Run: [xxsc5] C:\DOCUME~1\agent\USTAWI~1\Temp\vpe0.exe O4 - HKLM…\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cndrive32.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - Startup: Skrót do Pub.exe.lnk = C:\Agencja\Pub.exe O4 - Startup: Skrót do TimeSvr.exe.lnk = C:\Agencja\TimeSvr.exe O4 - Startup: wwwqxk32.exe O17 - HKLM\System\CCS\Services\Tcpip…{004F9F6A-CB2E-47B1-B3F6-C1C9A3AAC407}: NameServer = 10.0.0.1 O17 - HKLM\System\CS1\Services\Tcpip…{004F9F6A-CB2E-47B1-B3F6-C1C9A3AAC407}: NameServer = 10.0.0.1 O17 - HKLM\System\CS2\Services\Tcpip…{004F9F6A-CB2E-47B1-B3F6-C1C9A3AAC407}: NameServer = 10.0.0.1 O20 - Winlogon Notify: crypt - crypts.dll (file missing) O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: IpSectPro service (darkness) - Unknown owner - C:\WINDOWS\system\lsass.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe (file missing) O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe – End of file - 3742 bytes

system · 28 Lipiec 2010 12:17

HijackThis to taki stary program nie używaj go [-X

pszeskanuj OTL

OTO LINK

http://www.dobreprogramy.pl/OTL,Program … 19450.html

Piano21 · 29 Lipiec 2010 08:48

Witam ponownie,

Próbowałem wygenerować loga z OTL wg instrukcji Admina, niestety po wcisnieciu “skanuj” pojawia się błąd : list index out of bounds (0).

jessica · 29 Lipiec 2010 08:59

Spróbuj tej wersji: http://www.itxassociates.com/OT-Tools/OTL.scr

system · 29 Lipiec 2010 09:07

Albo Malwarebytes Anti-Malware 1.46

LINK:http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Piano21 · 29 Lipiec 2010 09:16

witam ponownie,

Wydaje mi się iż udało się wygenerować loga, choć ten sam błąd wyskoczył. Oto log z OTL :

http://wklejto.pl/73257

dziękuję pięknie za pomoc,

Pozdrawiam

jessica · 29 Lipiec 2010 09:47

Masz bardzo zawirusowany komputer - nie wiem, czy uda się z tego wygrzebać.

Na dobry początek użyj TDSKiller >[http://www.fixitpc.pl/index.php?/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__6814entry6814](http://www.fixitpc.pl/index.php?/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814)

Daj z niego raport.

Zobaczę w nim, co udało się usunąć, i naprawić, a co pozostało

EDIT:

Użyj też USBFix, z opcji DELETION >[http://www.fixitpc.pl/index.php?/topic/8-kolekcja-narzedzi-usuwajacych/page__p__74entry74](http://www.fixitpc.pl/index.php?/topic/8-kolekcja-narzedzi-usuwajacych/page p 74)

Daj z niego raport.

Piano21 · 29 Lipiec 2010 09:56

Dzieki za zainteresowanie i odpowiedz, oto log z TDSSKiller:

http://wklejto.pl/73260

Czy w miedzyczasie system moze byc skanowany przez Malwarebytes anti-mailware?

pozdrawiam

jessica · 29 Lipiec 2010 10:15

Dlaczego dałeś na SKIP (POMIŃ) Czy tak było zproponowane domyślnie?

To musi zostać usunięte!

Zrób to jeszcze raz.

Poza tym w swoim poprzednim poście zaleciłam użycie USBFix

Piano21 · 29 Lipiec 2010 10:57

TDSSKiller usunął te pliki, USBFix zawiesza sie przy 28%, niema zadnej poprawy w pracy komputera, co mozemy zrobic dalej? dzieki i pozdrawiam

jessica · 29 Lipiec 2010 11:00

Masz zarażony plik Systemowy “ndis.sys”.

Ściągnij go stąd >http://www.speedyshare.com/files/23572897/ndis.sys, i umieść bezpośrednio na dysku C:\

Potem:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL SRV - [2010-05-06 15:12:57 | 000,044,544 | ---- | M] () [Auto | Running] – C:\WINDOWS\system\lsass.exe – (darkness) SRV - File not found [Disabled | Stopped] – C:\WINDOWS\System32\ipsecpooler.exe – (IPSecPooler) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\ipsecndis.sys – (IPSECNDISBRIDGE) DRV - [2010-07-15 08:54:47 | 000,142,464 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] – C:\WINDOWS\System32\drivers\cquaeh.sys – (cquaeh) DRV - [2010-07-15 08:53:49 | 000,020,480 | ---- | M] (NT Kernel Resources) [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\ndisrd.sys – (ndisrd) O4 - HKLM…\Run: [10242] C:\Documents and Settings\agent\Ustawienia lokalne\Temp\341.exe () O4 - Startup: C:\Documents and Settings\agent\Menu Start\Programy\Autostart\Skrót do Pub.exe.lnk = C:\Agencja\Pub.exe File not found O4 - Startup: C:\Documents and Settings\agent\Menu Start\Programy\Autostart\Skrót do TimeSvr.exe.lnk = C:\Agencja\TimeSvr.exe () O4 - Startup: C:\Documents and Settings\agent\Menu Start\Programy\Autostart\wwwqxk32.exe () F3 - HKLM WinNT: Run - (C:\WINDOWS\WCSMON.EXE) - C:\WINDOWS\WCSMON.EXE File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 4cmjc = C:\DOCUME~1\agent\USTAWI~1\Temp\2488.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: xxsc5 = C:\DOCUME~1\agent\USTAWI~1\Temp\vpe0.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Microsoft Driver Setup = C:\WINDOWS\cndrive32.exe () O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\agent\Dane aplikacji\ohydy.exe) - C:\Documents and Settings\agent\Dane aplikacji\ohydy.exe () O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew3.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew3.exe File not found O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe () O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp1g.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp1g.exe File not found O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe () O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe () O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mmdg.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mmdg.exe () O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe () O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyj3.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyj3.exe File not found O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\agent\Dane aplikacji\ohydy.exe) - C:\Documents and Settings\agent\Dane aplikacji\ohydy.exe () O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-7970630754-9641715774-467315781-1605\mgrls32.exe) - C:\RECYCLER\S-1-5-21-7970630754-9641715774-467315781-1605\mgrls32.exe () O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\agent\Dane aplikacji\Extensions\uac.exe) - C:\Documents and Settings\agent\Dane aplikacji\Extensions\uac.exe () O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main1.dll () O29 - HKLM SecurityProviders - (digiwet.dll) - File not found O20 - Winlogon\Notify\crypt: DllName - crypts.dll - File not found MsConfig - StartUpReg: cdoosoft - hkey= - key= - C:\DOCUME~1\agent\USTAWI~1\Temp\herss.exe File not found MsConfig - StartUpReg: WrtMon.exe - hkey= - key= - File not found [2010-07-27 17:57:39 | 000,198,144 | ---- | C] (Osgip) – C:\WINDOWS\System32\regedit.exe [2010-07-27 13:45:56 | 000,000,000 | —D | C] – C:\Documents and Settings\agent\Dane aplikacji\Extensions [2010-07-15 08:54:47 | 000,142,464 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\cquaeh.sys [2010-07-15 08:53:49 | 000,020,480 | ---- | C] (NT Kernel Resources) – C:\WINDOWS\System32\drivers\ndisrd.sys [2010-07-29 10:42:23 | 000,766,976 | ---- | M] () – C:\WINDOWS\System32\drivers\tgbvxrfb.sys [2010-07-29 10:42:22 | 000,585,472 | ---- | M] () – C:\WINDOWS\System32\drivers\fphquj.sys [2010-07-29 09:52:08 | 000,068,608 | RHS- | M] () – C:\WINDOWS\cndrive32.exe [2010-07-29 09:42:19 | 000,023,552 | ---- | M] () – C:\lsass.exe [2010-07-29 09:30:17 | 000,000,001 | ---- | M] () – C:\Documents and Settings\agent\oashdihasidhasuidhiasdhiashdiuasdhasd [2010-07-28 09:01:02 | 000,000,036 | ---- | M] () – C:\Documents and Settings\agent\Dane aplikacji\avdrn.dat [2010-07-27 18:00:26 | 000,198,144 | ---- | M] (Osgip) – C:\WINDOWS\System32\regedit.exe [2010-07-27 13:47:17 | 000,000,148 | ---- | M] () – C:\WINDOWS\System32\fjhdyfhsn.bat [2010-07-27 08:48:17 | 000,115,712 | RHS- | M] () – C:\Documents and Settings\agent\Dane aplikacji\ohydy.exe [2010-07-19 08:50:28 | 000,046,976 | ---- | M] () – C:\WINDOWS\System32\drivers\srenum.sys [2010-07-19 08:50:28 | 000,004,128 | ---- | M] () – C:\WINDOWS\System32\msrun.exe [2010-07-15 13:23:22 | 000,010,593 | ---- | M] () – C:\WINDOWS\CSTBox.INI [2010-07-15 09:18:12 | 000,036,865 | ---- | M] () – C:\WINDOWS\System32\msmxjchn.dll [2010-07-15 08:54:47 | 000,142,464 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\cquaeh.sys [2010-07-15 08:53:49 | 000,020,480 | ---- | M] (NT Kernel Resources) – C:\WINDOWS\System32\drivers\ndisrd.sys [2010-07-15 08:53:48 | 000,032,768 | ---- | M] () – C:\WINDOWS\System32\kccuifwc8.exe [2009-04-23 12:43:57 | 000,071,708 | RHS- | C] () – C:\WINDOWS\System32\nmdfgds1.dll [2009-04-23 12:43:03 | 000,075,465 | ---- | C] () – C:\WINDOWS\System32\nmdfgds0.dll [2009-05-15 12:59:44 | 000,011,776 | ---- | C] () – C:\WINDOWS\System32\pmsbfn32.dll [2004-08-04 14:00:00 | 000,062,635 | ---- | C] () – C:\WINDOWS\System32\e8main1.dll [2004-08-04 14:00:00 | 000,061,360 | ---- | C] () – C:\WINDOWS\System32\e8main0.dll :Files C:\Windows\System32\dllcache\ndis.sys|C:\ndis.sys /replace C:\Windows\System32\drivers\ndis.sys|C:\ndis.sys /replace C:\Documents and Settings\agent\Ustawienia lokalne\Temp\341.exe C:\RECYCLER :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “TaskMan”=- :Commands [emptytemp] [clearallrestorepoints] [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL , w pole Custom Scans/Fixes ( Własne opcje skanowania/Script ) wklej:

i dopiero wtedy kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Piano21 · 29 Lipiec 2010 11:41

Witaj

Dzieki wielkie za pomoc ale nie moge wkleic na dysk C tego pliku ndis.sys, jest odmowa dostepu, nawet w trybie awaryjnym…