Если ваш антивирус нашел что то подозрительное в сборке!!!
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
|
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
garif12 Ёжик
Стаж: 13 года 3 месяца и 6 дней Сообщения: 2 Благодарности: 0/3 Откуда: Казань ICQ: 360755405
|
17.04.2011 10:57 Заражены системные файлы |
|
|
Где то подцепил заразу-троянов.
Хотел бы узнать что лучше делать? AVG палит но не лечит(
вот отчет проверки данных файлов
|
|
Вернуться к началу |
|
|
|
|
Eastoop Гость
ICQ: 360755405
|
17.04.2011 11:07 |
|
|
C:\Program Files\Common Files\Service Share\lsass.exeX
1. Загрузиться с Alkid SE
2. Запустить редактор реестра из ERD, чтобы открылся реестр базовой системы.
3. Запустить поиск записей "lsass.exeX"
4. Если обнаружатся записи в секциях Run, удалить, если в winlogon, смотреть, в каком ключе и принимать меры к восстановлению исходного состояния ключа.
5. Удалить файл C:\Program Files\Common Files\Service Share\lsass.exeX
6. Просканировать утилитой cureit системный диск на предмет хвостов этого вируса.
Найдите также папку Автозагрузка в профиле пользователя и в профиле allusers и посмотрите на предмет подозрительных ярлыков.
*** Какие ключи в winlogon подвергаются изменениям от вирусов и их истинные значения можете найти в антивирусном разделе.
Добавлено спустя 5 минут 15 секунд:
Отыскать, откуда идет запуск этого файла в принципе можно и на запущенной системе, и, если вирус не восстанавливает свой автозапуск, можно удалить ключ/ярлык запуска вируса, переименовать сам файл и после перезагрузки удалить его.
|
|
Вернуться к началу |
|
|
garif12 Ёжик
Стаж: 13 года 3 месяца и 6 дней Сообщения: 2 Благодарности: 0/3 Откуда: Казань ICQ: 360755405
|
17.04.2011 13:08 |
|
|
Eastoop писал(а): | C:\Program Files\Common Files\Service Share\lsass.exeX
1. Загрузиться с Alkid SE
2. Запустить редактор реестра из ERD, чтобы открылся реестр базовой системы.
3. Запустить поиск записей "lsass.exeX"
4. Если обнаружатся записи в секциях Run, удалить, если в winlogon, смотреть, в каком ключе и принимать меры к восстановлению исходного состояния ключа.
5. Удалить файл C:\Program Files\Common Files\Service Share\lsass.exeX
6. Просканировать утилитой cureit системный диск на предмет хвостов этого вируса.
Найдите также папку Автозагрузка в профиле пользователя и в профиле allusers и посмотрите на предмет подозрительных ярлыков.
*** Какие ключи в winlogon подвергаются изменениям от вирусов и их истинные значения можете найти в антивирусном разделе.
Добавлено спустя 5 минут 15 секунд:
Отыскать, откуда идет запуск этого файла в принципе можно и на запущенной системе, и, если вирус не восстанавливает свой автозапуск, можно удалить ключ/ярлык запуска вируса, переименовать сам файл и после перезагрузки удалить его. |
cureit нечего не нашел через полную проверку, lsass.exeX - удалил. AVG все равно палит LSASS.EXE как троян, но я запрет через AVG на него поставил. Вот такие успехи.
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 1 месяц и 23 дня Сообщения: 1171 Благодарности: 780/579
|
17.04.2011 13:24 |
|
|
garif12
Замеченные симптомы. В ряде папок появляется файл tmp.tmp нулевого размера. Одна из этих папок - \\Windows\System32, откуда этот файл удалить нельзя. Простое исследование показывает, что файл "держит" процесс lsass.exe.
Также начинает дико тормозить процесс Веб-серфинга. TCPView показывает, что lsass.exe ломится на десяток ip-шников в интернете на 80-й порт, статус соединений - SYN_SENT.
Лечение.
Вирусная библиотека, скорее всего, имеет случайное имя и загружается в память lsass через ключ реестра HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders
Оригинальное содержимое ключа: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll. На зараженой машине было: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mogcrfuc.dll. После удаления данного файла из \\Windows\System32 и реестра все описанные выше симптомы чудесным образом исчезли.
С форума сисадминов. Скрытый текст
Попробуйте, возможно поможет... _________________ Не профи, но для любителя тоже неплохо...
Поблагодарили(1): BONTON | |
|
|
Вернуться к началу |
|
|
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы
|
Заблокировано регистраций / сообщений: 618126 / 329
Powered by phpBB © 2001, 2005 phpBB Group
|
|
|