ZverDVD - Лучшая сборка во всем Рунете!
 http://forum.zverdvd.org/viewtopic.php?p=1179Правила конференции 
 ТемыТемы   FAQFAQ   ПоискПоиск   ГруппыГруппы   РегистрацияРегистрация 

Заражены системные файлы
Если ваш антивирус нашел что то подозрительное в сборке!!!
 
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
 
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция -> О вирусах, антивирусах, безопасности и чистоплотности
Предыдущая тема :: Следующая тема  
Автор Сообщение
garif12
Ёжик



Стаж: 8 лет 8 месяцев и 29 дней
Сообщения: 2
Благодарности: 0/3
Откуда: Казань
ICQ: 360755405

Сообщение17.04.2011 10:57  Заражены системные файлы Ответить с цитатой

Где то подцепил заразу-троянов.
Хотел бы узнать что лучше делать? AVG палит но не лечит(
вот отчет проверки данных файлов
Вернуться к началу
garif12 сейчас оффлайн Посмотреть профиль Отправить личное сообщение   Посетить сайт автора
Eastoop
Гость







ICQ: 360755405

Сообщение17.04.2011 11:07   Ответить с цитатой

C:\Program Files\Common Files\Service Share\lsass.exeX
1. Загрузиться с Alkid SE
2. Запустить редактор реестра из ERD, чтобы открылся реестр базовой системы.
3. Запустить поиск записей "lsass.exeX"
4. Если обнаружатся записи в секциях Run, удалить, если в winlogon, смотреть, в каком ключе и принимать меры к восстановлению исходного состояния ключа.
5. Удалить файл C:\Program Files\Common Files\Service Share\lsass.exeX
6. Просканировать утилитой cureit системный диск на предмет хвостов этого вируса.
Найдите также папку Автозагрузка в профиле пользователя и в профиле allusers и посмотрите на предмет подозрительных ярлыков.

*** Какие ключи в winlogon подвергаются изменениям от вирусов и их истинные значения можете найти в антивирусном разделе.

Добавлено спустя 5 минут 15 секунд:

Отыскать, откуда идет запуск этого файла в принципе можно и на запущенной системе, и, если вирус не восстанавливает свой автозапуск, можно удалить ключ/ярлык запуска вируса, переименовать сам файл и после перезагрузки удалить его.
Вернуться к началу
garif12
Ёжик



Стаж: 8 лет 8 месяцев и 29 дней
Сообщения: 2
Благодарности: 0/3
Откуда: Казань
ICQ: 360755405

Сообщение17.04.2011 13:08   Ответить с цитатой

Eastoop писал(а):
C:\Program Files\Common Files\Service Share\lsass.exeX
1. Загрузиться с Alkid SE
2. Запустить редактор реестра из ERD, чтобы открылся реестр базовой системы.
3. Запустить поиск записей "lsass.exeX"
4. Если обнаружатся записи в секциях Run, удалить, если в winlogon, смотреть, в каком ключе и принимать меры к восстановлению исходного состояния ключа.
5. Удалить файл C:\Program Files\Common Files\Service Share\lsass.exeX
6. Просканировать утилитой cureit системный диск на предмет хвостов этого вируса.
Найдите также папку Автозагрузка в профиле пользователя и в профиле allusers и посмотрите на предмет подозрительных ярлыков.

*** Какие ключи в winlogon подвергаются изменениям от вирусов и их истинные значения можете найти в антивирусном разделе.

Добавлено спустя 5 минут 15 секунд:

Отыскать, откуда идет запуск этого файла в принципе можно и на запущенной системе, и, если вирус не восстанавливает свой автозапуск, можно удалить ключ/ярлык запуска вируса, переименовать сам файл и после перезагрузки удалить его.

cureit нечего не нашел через полную проверку, lsass.exeX - удалил. AVG все равно палит LSASS.EXE как троян, но я запрет через AVG на него поставил. Вот такие успехи.
Вернуться к началу
garif12 сейчас оффлайн Посмотреть профиль Отправить личное сообщение   Посетить сайт автора
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 34
Стаж: 10 лет 7 месяцев и 15 дней
Сообщения: 1066
Благодарности: 745/576
Откуда: Санкт-Петербург


Сообщение17.04.2011 13:24   Ответить с цитатой

garif12

Замеченные симптомы. В ряде папок появляется файл tmp.tmp нулевого размера. Одна из этих папок - \\Windows\System32, откуда этот файл удалить нельзя. Простое исследование показывает, что файл "держит" процесс lsass.exe.
Также начинает дико тормозить процесс Веб-серфинга. TCPView показывает, что lsass.exe ломится на десяток ip-шников в интернете на 80-й порт, статус соединений - SYN_SENT.

Лечение.
Вирусная библиотека, скорее всего, имеет случайное имя и загружается в память lsass через ключ реестра HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders
Оригинальное содержимое ключа: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll. На зараженой машине было: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mogcrfuc.dll. После удаления данного файла из \\Windows\System32 и реестра все описанные выше симптомы чудесным образом исчезли.

С форума сисадминов.
 Скрытый текст 
Попробуйте, возможно поможет...

_________________
Не профи, но для любителя тоже неплохо...
Поблагодарили(1): BONTON
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция -> О вирусах, антивирусах, безопасности и чистоплотности Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы не можете скачивать файлы
 

Anti Bot Question MOD - phpBB MOD against Spam Bots
Заблокировано регистраций / сообщений: 192769 / 329


Powered by phpBB © 2001, 2005 phpBB Group
Яндекс.Метрика