0 / 0 / 0
Регистрация: 20.07.2010
Сообщений: 67
|
|
1 | |
c:\win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor13.08.2010, 15:52. Показов 10250. Ответов 15
Метки нет (Все метки)
Вирус создает на флешке папки.ехе, а сами папки становятся скрытыми. Др веб с обновленными базами не находит, тоже самое с dr curelt. Касперский определяет файлы папки.ехе как вирусы, удаляет, но при повторной вставке флешки они создаются заново.
Avz находит следующее 2. Проверка памяти Количество найденных процессов: 32 c:\win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor ( 0B59855B 0F0C4140 00226166 00222B73 551669) Количество загруженных модулей: 373 Проверка памяти завершена 3. Сканирование дисков C:\Win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor ( 0B59855B 0F0C4140 00226166 00222B73 551669) Вирус находится на компе, и действует черезе процесс lsass.exe (таких у меня два процесса, система не дает завершит тот процесс которой идет от пользователя). Этот вирус мучает уже несколько месяцев. На работе почти все компы заражены. Как избавится от нее?
0
|
13.08.2010, 15:52 | |
Ответы с готовыми решениями:
15
Подозрение на Trojan-Spy.Win32.KeyLogger.cor C:\Windows\CIDD_P\lsass.exe » AUTOIT » script.au3 - Win32/Spy.KeyLogger.NEQ подозрение на Trojan ,подозрение на Exploit.Win32.IH_Infector.12 и Маскировка процесса Trojan-Spy.Win32.Carberp |
0 / 0 / 0
Регистрация: 20.07.2010
Сообщений: 67
|
|
16.08.2010, 12:26 [ТС] | 3 |
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
16.08.2010, 12:39 | 4 |
Скачать вресию AVZ 4.34 обновить базы!! (запуск AVZ -> файл -> обновить базы)
Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. ____________________ !!! После выполнения скрипта обязательно перезагрузите компьютер. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip. мы хотим видеть от вас два архива AVZ: virusinfo_syscure.zip и virusinfo_syscure.zip а так же отчет работы RSIT Запустите RSIT. Выберите проверку файлов за последние три месяца и нажмите продолжить (подробнее можно прочитать в этом сообщении) После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска. !!! если программа RSIT не запускается или работает не корректно, тогда подготовьте лог HijackThis
1
|
0 / 0 / 0
Регистрация: 20.07.2010
Сообщений: 67
|
|
16.08.2010, 13:46 [ТС] | 5 |
Все выполнил, вот логи и отчет
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
16.08.2010, 14:20 | 6 |
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\win\lsass.exe'); QuarantineFile('c:\win\lsass.exe',''); DeleteFile('c:\win\lsass.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. повторите пожалуйста логи
0
|
0 / 0 / 0
Регистрация: 20.07.2010
Сообщений: 67
|
|
16.08.2010, 15:27 [ТС] | 7 |
Выполнил все как вы сказали. Вот заново выполненные логи
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
16.08.2010, 16:15 | 8 |
проверьте пожалуйста на http://www.virustotal.com/ файл C:\WINDOWS\system32\drivers\vdmyodc1.sys
что с проблемами?? ждем результат анализа данного файла и отчет по карантину
0
|
0 / 0 / 0
Регистрация: 20.07.2010
Сообщений: 67
|
|
16.08.2010, 16:35 [ТС] | 9 |
Отправил я этот файл, но никакого ответа не получил
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
16.08.2010, 16:40 | 10 |
ждем, что у вас показало при проверке C:\WINDOWS\system32\drivers\vdmyodc1.sys на вирус тотале??
0
|
0 / 0 / 0
Регистрация: 20.07.2010
Сообщений: 67
|
|
16.08.2010, 16:45 [ТС] | 11 |
Ничего не показало. Загрузил файл, страница обновилась и все
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
16.08.2010, 17:40 | 12 |
стоп, давайте попробуем еще раз, Вы нажимаете (на вирус тотале) выбрать файл, появляется форма с помощью которой вы выбираете файл, а дальше вы должны кликнуть send file
у вас как то по другому происходит?
0
|
0 / 0 / 0
Регистрация: 20.07.2010
Сообщений: 67
|
|
17.08.2010, 09:22 [ТС] | 13 |
Нет. Все как вы сказали. Нажимаю на обзор, загружается несколько секунд. Затем нажимаю на send после чего страница просто обновляется.
0
|
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
|
|
17.08.2010, 11:48 | 14 |
знаете в логах заражения больше не вижу, если проблемы остались то будем их искать другими средствами.
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению."
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
17.08.2010, 14:45 | 15 |
0
|
0 / 0 / 0
Регистрация: 20.07.2010
Сообщений: 67
|
|
17.08.2010, 15:06 [ТС] | 16 |
В этом нет необходимости)! Хотя и находит те же проблемы, но от вируса похоже избавился, наконец-то. Процесс lsass исчез. Флешку тоже в порядок привел (удалил "папки.ехе", сделал через тотал командер скрытие(системные) папки видимыми), при обратной вставке ничего не меняется(не появляются "папки.ехе"), т.е. компьютер излечился. Похоже, помогли обновления. СПАСИБО за помощь, Arbitr!
0
|
17.08.2010, 15:06 | |
17.08.2010, 15:06 | |
Помогаю со студенческими работами здесь
16
Trojan-Spy.Win32.SpyEyes.cto не могу от него избавиться Trojan.Siggen7 как lsass.exe подозрение на Trojan.Win32.Agent2.byu вирус Trojan.Siggen7 как lsass.exe Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |