c:\win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor

@Arsen87 · Регистрация: 20.07.2010

Author24 — интернет-сервис помощи студентам

Вирус создает на флешке папки.ехе, а сами папки становятся скрытыми. Др веб с обновленными базами не находит, тоже самое с dr curelt. Касперский определяет файлы папки.ехе как вирусы, удаляет, но при повторной вставке флешки они создаются заново.
Avz находит следующее
2. Проверка памяти
Количество найденных процессов: 32
c:\win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor ( 0B59855B 0F0C4140 00226166 00222B73 551669)
Количество загруженных модулей: 373
Проверка памяти завершена
3. Сканирование дисков
C:\Win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor ( 0B59855B 0F0C4140 00226166 00222B73 551669)
Вирус находится на компе, и действует черезе процесс lsass.exe (таких у меня два процесса, система не дает завершит тот процесс которой идет от пользователя). Этот вирус мучает уже несколько месяцев. На работе почти все компы заражены. Как избавится от нее?

@thyrex · 13.08.2010, 16:08

Выполните правила и предоставьте логи

@Arsen87 · 16.08.2010, 12:26 **[ТС]**

Сообщение от thyrex

Выполните правила и предоставьте логи

Я, конечно, судорожно извеняюсь, но что такое логи?

@arbitr · 16.08.2010, 12:39

Скачать вресию AVZ 4.34 обновить базы!! (запуск AVZ -> файл -> обновить базы)
Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
____________________
!!! После выполнения скрипта обязательно перезагрузите компьютер.

Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
мы хотим видеть от вас два архива AVZ: virusinfo_syscure.zip и virusinfo_syscure.zip

а так же отчет работы RSIT
Запустите RSIT. Выберите проверку файлов за последние три месяца и нажмите продолжить (подробнее можно прочитать в этом сообщении)

После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска.
!!! если программа RSIT не запускается или работает не корректно, тогда подготовьте лог HijackThis

@Arsen87 · 16.08.2010, 13:46 **[ТС]**

Все выполнил, вот логи и отчет

@arbitr · 16.08.2010, 14:20

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\win\lsass.exe');
 QuarantineFile('c:\win\lsass.exe','');
 DeleteFile('c:\win\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
повторите пожалуйста логи

@Arsen87 · 16.08.2010, 15:27 **[ТС]**

Выполнил все как вы сказали. Вот заново выполненные логи

@arbitr · 16.08.2010, 16:15

проверьте пожалуйста на http://www.virustotal.com/ файл C:\WINDOWS\system32\drivers\vdmyodc1.sys
что с проблемами??
ждем результат анализа данного файла и отчет по карантину

@Arsen87 · 16.08.2010, 16:35 **[ТС]**

Отправил я этот файл, но никакого ответа не получил

@arbitr · 16.08.2010, 16:40

Сообщение от Arsen87

Отправил я этот файл, но никакого ответа не получил

ждем, что у вас показало при проверке C:\WINDOWS\system32\drivers\vdmyodc1.sys на вирус тотале??

@Arsen87 · 16.08.2010, 16:45 **[ТС]**

Ничего не показало. Загрузил файл, страница обновилась и все

@arbitr · 16.08.2010, 17:40

стоп, давайте попробуем еще раз, Вы нажимаете (на вирус тотале) выбрать файл, появляется форма с помощью которой вы выбираете файл, а дальше вы должны кликнуть send file
у вас как то по другому происходит?

@Arsen87 · 17.08.2010, 09:22 **[ТС]**

Нет. Все как вы сказали. Нажимаю на обзор, загружается несколько секунд. Затем нажимаю на send после чего страница просто обновляется.

@arbitr · 17.08.2010, 11:48

знаете в логах заражения больше не вижу, если проблемы остались то будем их искать другими средствами.
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

@thyrex · 17.08.2010, 14:45

Хватит мучать человека

Сообщение от arbitr

C:\WINDOWS\system32\drivers\vdmyodc1.sys

дравер AVZ

@Arsen87 · 17.08.2010, 15:06 **[ТС]**

В этом нет необходимости)! Хотя и находит те же проблемы, но от вируса похоже избавился, наконец-то. Процесс lsass исчез. Флешку тоже в порядок привел (удалил "папки.ехе", сделал через тотал командер скрытие(системные) папки видимыми), при обратной вставке ничего не меняется(не появляются "папки.ехе"), т.е. компьютер излечился. Похоже, помогли обновления. СПАСИБО за помощь, Arbitr!

@Arsen87 0 / 0 / 0 Регистрация: 20.07.2010 Сообщений: 67
		1
	c:\win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor 13.08.2010, 15:52. Показов 10250. Ответов 15 Метки нет (Все метки) Вирус создает на флешке папки.ехе, а сами папки становятся скрытыми. Др веб с обновленными базами не находит, тоже самое с dr curelt. Касперский определяет файлы папки.ехе как вирусы, удаляет, но при повторной вставке флешки они создаются заново. Avz находит следующее 2. Проверка памяти Количество найденных процессов: 32 c:\win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor ( 0B59855B 0F0C4140 00226166 00222B73 551669) Количество загруженных модулей: 373 Проверка памяти завершена 3. Сканирование дисков C:\Win\lsass.exe >>> подозрение на Trojan-Spy.Win32.KeyLogger.cor ( 0B59855B 0F0C4140 00226166 00222B73 551669) Вирус находится на компе, и действует черезе процесс lsass.exe (таких у меня два процесса, система не дает завершит тот процесс которой идет от пользователя). Этот вирус мучает уже несколько месяцев. На работе почти все компы заражены. Как избавится от нее? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	13.08.2010, 16:08	2
	Выполните правила и предоставьте логи 0

@Arsen87 0 / 0 / 0 Регистрация: 20.07.2010 Сообщений: 67
	16.08.2010, 12:26 [ТС]	3
	Сообщение от thyrex Выполните правила и предоставьте логи Я, конечно, судорожно извеняюсь, но что такое логи? 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	16.08.2010, 12:39	4
	Скачать вресию AVZ 4.34 обновить базы!! (запуск AVZ -> файл -> обновить базы) Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. ____________________ !!! После выполнения скрипта обязательно перезагрузите компьютер. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip. мы хотим видеть от вас два архива AVZ: virusinfo_syscure.zip и virusinfo_syscure.zip а так же отчет работы RSIT Запустите RSIT. Выберите проверку файлов за последние три месяца и нажмите продолжить (подробнее можно прочитать в этом сообщении) После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска. !!! если программа RSIT не запускается или работает не корректно, тогда подготовьте лог HijackThis 1

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	16.08.2010, 14:20	6
	• Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\win\lsass.exe'); QuarantineFile('c:\win\lsass.exe',''); DeleteFile('c:\win\lsass.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После всех процедур выполните скрипт Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. повторите пожалуйста логи 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	16.08.2010, 16:15	8
	проверьте пожалуйста на http://www.virustotal.com/ файл C:\WINDOWS\system32\drivers\vdmyodc1.sys что с проблемами?? ждем результат анализа данного файла и отчет по карантину 0

@Arsen87 0 / 0 / 0 Регистрация: 20.07.2010 Сообщений: 67
	16.08.2010, 16:35 [ТС]	9
	Отправил я этот файл, но никакого ответа не получил 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	16.08.2010, 16:40	10
	Сообщение от Arsen87 Отправил я этот файл, но никакого ответа не получил ждем, что у вас показало при проверке C:\WINDOWS\system32\drivers\vdmyodc1.sys на вирус тотале?? 0

@Arsen87 0 / 0 / 0 Регистрация: 20.07.2010 Сообщений: 67
	16.08.2010, 16:45 [ТС]	11
	Ничего не показало. Загрузил файл, страница обновилась и все 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	16.08.2010, 17:40	12
	стоп, давайте попробуем еще раз, Вы нажимаете (на вирус тотале) выбрать файл, появляется форма с помощью которой вы выбираете файл, а дальше вы должны кликнуть send file у вас как то по другому происходит? 0

	17.08.2010, 15:06

@Arsen87 0 / 0 / 0 Регистрация: 20.07.2010 Сообщений: 67
	17.08.2010, 09:22 [ТС]	13
	Нет. Все как вы сказали. Нажимаю на обзор, загружается несколько секунд. Затем нажимаю на send после чего страница просто обновляется. 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	17.08.2010, 11:48	14
	знаете в логах заражения больше не вижу, если проблемы остались то будем их искать другими средствами. Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	17.08.2010, 14:45	15
	Хватит мучать человека Сообщение от arbitr C:\WINDOWS\system32\drivers\vdmyodc1.sys дравер AVZ 0

@Arsen87 0 / 0 / 0 Регистрация: 20.07.2010 Сообщений: 67
	17.08.2010, 15:06 [ТС]	16
	В этом нет необходимости)! Хотя и находит те же проблемы, но от вируса похоже избавился, наконец-то. Процесс lsass исчез. Флешку тоже в порядок привел (удалил "папки.ехе", сделал через тотал командер скрытие(системные) папки видимыми), при обратной вставке ничего не меняется(не появляются "папки.ехе"), т.е. компьютер излечился. Похоже, помогли обновления. СПАСИБО за помощь, Arbitr! 0