Wirus Exploit.LSASS.C
president_bartek - 16 Sie 2005 13:38
Witam! Mam problem z wirusem Exploit.LSASS.C. W żaden sposób nie mogę go usunąć z systemu. Działanie jego jakie odczuwam to wolna praca systemu i wyświetlanie komunikatu przy włączaniu pc-ta. Proszę o pomoc! Pozdrawiam! Bartek.
Kolobos - 16 Sie 2005 14:08
Wklej log z hijackthis na forum.
Przeskanuj tym:
http://download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
http://download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po przeskanowaniu odinstaluj.
Zamknij porty tym:
www.firewallleaktester.com/tools/wwdc.exe
http://www.mks.com.pl/files/pomoc/MksClean.exe
president_bartek - 16 Sie 2005 16:57
Witam! A mógłbym wiedzieć co to takiego ten " hijackthis" ? Bo nie mam pojęcia. Wtedy postaram się wkleić. Pozdrawiam!
Kolobos - 16 Sie 2005 17:20
Wpisz w szukaj albo w google hijackthis to sie dowiesz, tak samo dowiedzial bys sie jak pozbyc sie sassera z przyklejonego posty w tym dziale...
president_bartek - 16 Sie 2005 17:36
Logfile of HijackThis v1.99.1
Scan saved at 17:27:02, on 2005-08-16
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\system32\asn.exe
C:\WINDOWS\System32\svcsshost32.exe
C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Bartek\Pulpit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows Svshost Service Update 32] svcsshost32.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [Windows Svshost Service Update 32] svcsshost32.exe
O4 - HKLM\..\RunOnce: [Windows Svshost Service Update 32] svcsshost32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Svshost Service Update 32] svcsshost32.exe
O4 - HKCU\..\Run: [Win32 Driver] svchosts.exe
O4 - HKCU\..\RunOnce: [Win32 Driver] svchosts.exe
O4 - HKCU\..\RunOnce: [Windows Svshost Service Update 32] svcsshost32.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe
O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\system32\asn.exe
Witam! No to wkleiłem loga, ale muszę się przyznać że jeszcze nigdy się z czymś takim niespotkałem jak hijackthis. Fajne tylko czy to coś da. Proszę o pomoc! Bartek.
Interesant - 16 Sie 2005 17:41
Witam, zastartuj w trybie awaryjnym i usuń
O4 - HKLM\..\Run: [Windows Svshost Service Update 32] svcsshost32.exe
O4 - HKLM\..\RunServices: [Windows Svshost Service Update 32] svcsshost32.exe
O4 - HKLM\..\RunOnce: [Windows Svshost Service Update 32] svcsshost32.exe
O4 - HKCU\..\Run: [Windows Svshost Service Update 32] svcsshost32.exe
O4 - HKCU\..\Run: [Win32 Driver] svchosts.exe
O4 - HKCU\..\RunOnce: [Win32 Driver] svchosts.exe
O4 - HKCU\..\RunOnce: [Windows Svshost Service Update 32] svcsshost32.exe
ps niepomyl z SVCHOST.exe
i postępujesz jak kolega @KOLOBOS po wyżej napisał
ps. Co to są za usługi??
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\system32\asn.exe
president_bartek - 16 Sie 2005 17:46
no właśnie te asn.exe męczy mnie cały czas bo wyskakują komunikaty że ten plik jest zainfekowany. Spróbuję i zobaczę co da się zrobić. Na wieczór napiszę co i jak. Bartek
Kolobos - 16 Sie 2005 18:37
Interesant
asn to smiec, a ewido to skaner, ktory mu polecilem uzyc, ale mial odinstalowac po przeskanowaniu...
Yoga - 16 Sie 2005 18:41
Kolobos podczepię się do wątku i spytam o ewido security suite czym jest podyktowany wcześniejszy update przed skanowaniem?
Kolobos - 16 Sie 2005 19:21
Yoga
Chyba wiesz po co robi sie update programu anty* ? Po zainstalowaniu ewido nie ma najnowszych definicji virusow/trojanow itp.
president_bartek - 16 Sie 2005 19:33
Witam! No zrobiłem tak jak mi kazaliście. Usunełem w rejestrze te wpisy przeskanowałem podanymi programami nawet zamknęłem wszystkie porty i dalej wyskakują mi takie pliki jako zainfekowane: asn.exe, rpcmon.exe, ssprotecter.exe. Pomocy! Co mam robić? I prosiłbym łapatologiczne tłumaczenie bo nie jestem informatykiem.
Kolobos - 16 Sie 2005 20:12
Na poczatek wklej nowy log z hijackthis to zobaczymy co zostalo.
Pliki miales tez usunac z dysku, wiec usun asn.exe, rpcmon.exe oraz rpcmon.exe
Jakby jakis plik nie chcial sie usunac to uzyj:
http://www.downloads.subratam.org/KillBox.zip
(zaznacz delete on reboot i wybierz plik do kasacji).
president_bartek - 17 Sie 2005 08:26
Logfile of HijackThis v1.99.1
Scan saved at 07:31:57, on 2005-08-17
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\asn.exe
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Bartek\Pulpit\HijackThis.exe
C:\Program Files\AntiVirenKit\OnVirus.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allegro.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [SERV PacK2] nurp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe
O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\system32\asn.exe
Tu jest nowy log z hijackthis. A co do usunięcia plików to oto chodzi że są niewidoczne nawet jak włączyłem pokazywanie ukrytych plików i folderów. Dlatego nie mam jak usunąć i niewiem co robić. Czekam na dalsze rady i myślę że uratujemy mój komputer. Bartek
Dodano po 44 [minuty]:
DZIĘKUJĘ WSZYSTKIM ZA POMOC! UDAŁO MI SIĘ URATOWAĆ SYSTEM. SZCZEGÓLNIE POMOCNYMI PROGRAMAMI OKAZAŁY SIĘ "KILLBOX", "EWIDO...". POZDRAWIAM! BARTEK.
Yoga - 17 Sie 2005 09:58
Chyba wiesz po co robi się update programu anty* ? Po zainstalowaniu ewido nie ma najnowszych definicji virusow/trojanow itp.
Jasna sprawa źle Cię zrozumiałem myślałem, że sugerujesz update systemu (dlaczego właśnie przed ewido?) a nie bazy definicji wszystkich "śmieci". Stąd wzięło się moje pytanie bo było to dla mnie trochę dziwne. (Teraz sam się z siebie uśmiałem). Dzięki Kolobos.
Kolobos - 17 Sie 2005 10:57
president_bartek
Jeszcze pare rzeczy zostalo.
Uruchom:
Start->Uruchom->services.msc
odszukaj tam:
Remote Procedure Call (RPC) Monitoring (Rpcmon)
Wejdz we wlasciwosci tej uslugi i ustaw tryb uruchomienia na wylaczony.
Nastepnie w hijackthis->Open misc tools->delete nt service i tam wpisz Rpcmon
Jak juz to zrobisz to zakoncz w menadzerze zadan proces:
C:\WINDOWS\system32\asn.exe
i usun ten plik z dysku.
W hijackthis zostalo jeszcze to:
O4 - HKLM\..\RunServices: [SERV PacK2] nurp.exe <- plik usuwasz z dysku.
Nie mialbys takich problemow jakbys mial aktualizacje systemu.
president_bartek - 17 Sie 2005 15:53
Witam! No jednak trochę się pospieszyłem z tymi podziękowaniami bo jeszcze nie jest do końca czysto. Zrobiłem tak jak mi kazaliście. Wszystko pokolei, ale teraz program antywirusowy pokazuje mi takie coś: 1) Name: Trojan.Small, Type: Trojan Downloader, C:\UNMT.exe
2) Name: RBot.WindOwsSharing, Type: Backdoor. Jest tak namieszane, że już niewiem co robić, mój log w tej chwili wygląda tak:
Logfile of HijackThis v1.99.1
Scan saved at 15:39:20, on 2005-08-17
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\ssprotecter.exe
C:\WINDOWS\System32\cmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\asn.exe
C:\WINDOWS\System32\ssprotecter.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Documents and Settings\Bartek\Pulpit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Microsoft Update] asn.exe
O4 - HKLM\..\Run: [Wind0ws Sharing] ssprotecter.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] asn.exe
O4 - HKLM\..\RunServices: [Wind0ws Sharing] ssprotecter.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe
O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe
Co jeszcze jest nie tak? Zrobiłem jak mi kazaliście. Pozamykałem też wszystkie porty i nic! Bartek.
bonzo f - 17 Sie 2005 16:53
mysle ze jak walczysz z wirusami to jestes odlaczony od sieci.
Kolobos - 17 Sie 2005 21:48
president_bartek
Kupic oryginalny windows i go zaktualizowac po instalacji!
To kasujesz w hijackthis:
O4 - HKLM\..\Run: [Microsoft Update] asn.exe
O4 - HKLM\..\Run: [Wind0ws Sharing] ssprotecter.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] asn.exe
O4 - HKLM\..\RunServices: [Wind0ws Sharing] ssprotecter.exe
Procesy zamykasz w menadzerze zadan, a pliki usuwasz z dysku.
Zainstaluj sobie tez firewall:
http://www.kerio.com/us/kpf_home.html
I zmien przegladarke na Opere lub Firefox , IE nie uzywaj bo masz stare i bez aktualizacji jak i caly system!