Jump to content
Wojtech

Plik lsass - czy jest szkodliwy?

Recommended Posts

Witam, mam kłopot z wirusem, którego niestety nie mogę wywalić. Wiem, że killbox powinien sobie poradzić, ale pisze, bo nie wiem i nie pamiętam do końca jak te czynności wykonać. Do tego mam wielką prośbę, o sprawdzenie logów z HJT.

ogfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:37:30, on 2010-09-22

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\AVAST Home Edition PL\aswUpdSv.exe

D:\AVAST Home Edition PL\ashServ.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\AVASTH~1\ashDisp.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\runservice.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\UAService7.exe

D:\AVAST Home Edition PL\ashWebSv.exe

D:\AVAST Home Edition PL\ashMaiSv.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Program Files\neostrada tp\neostradatp.exe

C:\Program Files\neostrada tp\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Toaster.exe

C:\PROGRA~1\NEOSTR~1\Inactivity.exe

C:\PROGRA~1\NEOSTR~1\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\neostrada tp\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

D:\guitar pro\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Jan\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avast!] D:\AVASTH~1\ashDisp.exe

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{019125DA-29D3-45D8-B98E-1025BEC41EBC}: NameServer = 194.204.159.1 194.204.152.34

O17 - HKLM\System\CS1\Services\Tcpip\..\{019125DA-29D3-45D8-B98E-1025BEC41EBC}: NameServer = 194.204.159.1 194.204.152.34

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\AVAST Home Edition PL\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\AVAST Home Edition PL\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\AVAST Home Edition PL\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\AVAST Home Edition PL\ashWebSv.exe

O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Logowanie do sieci (Netlogon) - Unknown owner - C:\WINDOWS\System32\lsass.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: Usługa NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\System32\lsass.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Usługi IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\System32\lsass.exe

O23 - Service: Magazyn chroniony (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Menedżer kont zabezpieczeń (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

--

End of file - 6990 bytes

Tak na marginesie, Avast zaznacza mi jeden wirus w tym pliku: O23 - Service: Usługi IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\System32\lsass.exe

Pozdrawiam serdecznie

Link to post
Share on other sites

Logi z HijackThis to już obecnie raczej przeżytek. Poproszę nieco inny zestaw logów.

1. Jeśli masz programy emulujące napędy, to ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów.

2. W OTL w sekcji Rejestr - skan dodatkowy zaznacz opcję Użyj filtrowania, poza tym pozaznaczaj również opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników i kliknij skanuj.

3. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

Logi powstałe w krokach 2 oraz 3 (czyli dwa logi z OTL oraz log z GMERa) wrzuć na forum. Najlepiej jako załącznik do posta, albo na wklej.org i daj linki na forum.

W razie problemów z GMERem spróbuj go odpalić w trybie awaryjnym, jeśli i tam będzie sprawiał kłopoty, to daj znać.

Poza tym nie podczepiaj się do cudzych programów tematów.

Link to post
Share on other sites

Całkiem ciekawy rootkit, zdaje się wykradające dane do banku. Zaraz go wykończymy.

1. Ściągnij program rustbfix.exe na Pulpit (to jest istotne) i go uruchom.

2. Program coś tam będzie mielił, parę razy zresetuje system.

Po zakończeniu pracy programu otrzymasz dwa logi. Wrzuć je na forum i do tego dorzuć nowe logi z OTL oraz GMERa. Wszystko wygenerowane w ten sam sposób co poprzednio, tylko pomiń krok z Deffogerem.

PS Miałem napisać tematów, a nie programów. Źle mi się napisało.

Link to post
Share on other sites

Witam,

Nie ukrywam, że troszkę mnie przestraszyłeś tym, że ten wirus może mieć dostęp do danych bankowych. Nie obawiałbym się, gdyby tam nic nie było. Czy coś mogło już nastąpić?

W załączniku są logi. Jedno ale. Program rustbfix nie zadziałał tak jak napisałeś. Zapisałem na pulpicie, odpaliłem i nagle pokazał się log, z jednym zdaniem. W sumie sam zobaczysz. Pozdrawiam.

pelog.txt

gmer_log.txt

OTL.Txt2222.txt

Extras.Txt22222.txt

Link to post
Share on other sites

Dziwne, bo jednocześnie po logach widać, że sam plik rootkita jest usunięty, ale są wpisy w rejestrze, które też wypada skasować. Czy w międzyczasie podejmowałeś inne akcje? Jeśli tak, to jakie?

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL 
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ccdcmb.sys -- (nmwcd)
O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\WebBrowser: (no name) - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - No CLSID value found.
O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]

:Commands
[clearallrestorepoints]
[emptyflash]
[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Wrzuć go na forum do tego daj nowy zestaw logów. Poza tym wykonaj skanowanie systemu programami Malwarebytes' Anti-Spyware oraz SUPERAntispyware Free i wklej na forum logi z ich pracy.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...