pls. kontrola logu LSSAS.EXE

[tre-SKA]

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\smgcwe.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fns.uniba.sk/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\lssas.exe
O4 - HKLM\..\Run: [Microsoft Windows Services] winservces.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Services] winservces.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [user] C:\Documents and Settings\user\user.exe /i
O4 - HKCU\..\RunServices: [UpdteCenter] hvaufkxngcdgl.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6456572504
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F999961-909B-4B2B-ACCE-611FDB2D650C}: NameServer = 158.195.40.1,158.195.2.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F999961-909B-4B2B-ACCE-611FDB2D650C}: NameServer = 158.195.40.1,158.195.2.2

--
End of file - 2642 bytes

[Reklama]

[jaro3]

Log není celý, schází začátek , nicméně je to pěkně zavirovaný , nejprve:
Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[tre-SKA]

sorry tu je ten vrch

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53:07, on 21.5.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

a este prikaladam virustotal: http://www.virustotal.com/cs/analisis/0 ... 91ccdfa88e

[jaro3]

fajn, je v system32 ?
Udělej nejprve ten MbAM.

[tre-SKA]

Malwarebytes' Anti-Malware 1.36
Verzia databázy: 2161
Windows 5.1.2600 Service Pack 2

21.5.2009 11:11:59
mbam-log-2009-05-21 (11-11-54).txt

Typ kontroly: Rýchla
Objektov kontrolovaných: 82514
Uplynutý cas: 5 minute(s), 9 second(s)

Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 5
Infikovaných registracných hodnôt: 2
Infikovaných registracných údajov položiek: 0
Infikovaných priecinkov: 0
Infikovaných súborov: 2

Infikovaných procesov pamäte:
(Žiadne škodlivé položky)

Infikovaných modulov pamäte:
(Žiadne škodlivé položky)

Infikovaných registracných klúcov:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysdrv32 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED (Backdoor.Bot) -> No action taken.

Infikovaných registracných hodnôt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\local security authority service (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Services (Backdoor.Bot) -> No action taken.

Infikovaných registracných údajov položiek:
(Žiadne škodlivé položky)

Infikovaných priecinkov:
(Žiadne škodlivé položky)

Infikovaných súborov:
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\lssas.exe (Backdoor.Bot) -> No action taken.

[tre-SKA]

fajn, je v system32 ?
Udělej nejprve ten MbAM.

jj.. je v system32

joj a este som zabudol vypnut nod32 vadi to moc?

[jaro3]

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log z MbAM.

Vypni rez. ochranu u NOD32.
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
******************************************************************************************************************************************
Start-spustit-napiš: notepad .do něho vlož tento celý text:

Kód: Vybrat vše

dir \lsass.exe /a h /s > File.txt

uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.

budu tady na chvíli asi za 1-2hodiny , pak až večer..

[jaro3]

nevadí..ale budu až večer..

[tre-SKA]

Malwarebytes' Anti-Malware 1.36
Verzia databázy: 2161
Windows 5.1.2600 Service Pack 2

21.5.2009 14:01:07
mbam-log-2009-05-21 (14-01-07).txt

Typ kontroly: Rýchla
Objektov kontrolovaných: 82390
Uplynutý cas: 4 minute(s), 48 second(s)

Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 5
Infikovaných registracných hodnôt: 2
Infikovaných registracných údajov položiek: 0
Infikovaných priecinkov: 0
Infikovaných súborov: 2

Infikovaných procesov pamäte:
(Žiadne škodlivé položky)

Infikovaných modulov pamäte:
(Žiadne škodlivé položky)

Infikovaných registracných klúcov:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED (Backdoor.Bot) -> Quarantined and deleted successfully.

Infikovaných registracných hodnôt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\local security authority service (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Services (Backdoor.Bot) -> Quarantined and deleted successfully.

Infikovaných registracných údajov položiek:
(Žiadne škodlivé položky)

Infikovaných priecinkov:
(Žiadne škodlivé položky)

Infikovaných súborov:
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lssas.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

[tre-SKA]

ComboFix 09-05-20.A0 - user 21.05.2009 14:13.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.421.1033.18.223.86 [GMT 2:00]
Running from: c:\documents and settings\user\Desktop\ComboFix.exe
AV: Eset NOD32 Antivirus 2.70 *On-access scanning enabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Fonts\shruti.ttf
c:\windows\IE4 Error Log.txt
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\drmstor.dll
c:\windows\system32\foxokkwc.exe
c:\windows\system32\ipomwe.exe
c:\windows\system32\ntlsapi.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSDRV32


((((((((((((((((((((((((( Files Created from 2009-04-21 to 2009-05-21 )))))))))))))))))))))))))))))))
.

2009-05-21 09:02 . 2009-05-21 09:02 -------- d-----w c:\documents and settings\user\Application Data\Malwarebytes
2009-05-21 09:02 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-21 09:02 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-21 09:02 . 2009-05-21 09:02 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-05-21 09:02 . 2009-05-21 09:02 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-21 07:37 . 2009-05-21 07:37 87552 ----a-w c:\windows\system32\smgcwe.exe
2009-05-07 11:11 . 2009-05-07 11:11 20970 ----a-w c:\windows\system32\raeyhab.exe
2009-05-07 10:53 . 2009-05-07 10:53 20970 ----a-w c:\windows\system32\azbp.exe
2009-05-07 10:44 . 2009-05-07 10:44 20970 ----a-w c:\windows\system32\klmmp.exe
2009-05-07 10:37 . 2009-05-07 10:37 20970 ----a-w c:\windows\system32\wwlrejf.exe
2009-05-07 09:43 . 2009-05-07 09:43 20970 ----a-w c:\windows\system32\vswygr.exe
2009-05-07 07:34 . 2009-05-07 07:34 20970 ----a-w c:\windows\system32\zjaxbe.exe
2009-05-06 08:18 . 2009-05-06 08:18 20970 ----a-w c:\windows\system32\bthavxyo.exe
2009-05-05 10:44 . 2009-05-05 10:44 20970 ----a-w c:\windows\system32\aamtvnl.exe
2009-05-04 13:11 . 2009-05-04 13:11 20970 ----a-w c:\windows\system32\hndfonio.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 12:02 . 2004-10-06 12:26 -------- d-----w c:\program files\ESET
2009-05-11 11:18 . 2004-11-24 09:42 -------- d-----w c:\program files\Common Files\Adobe
2009-04-02 10:53 . 2009-04-02 10:53 102446 ----a-w c:\windows\system32\msvcrt2.dll
2009-03-06 14:44 . 2003-03-31 12:00 283648 ----a-w c:\windows\system32\pdh.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2004-01-15 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\VTTimer.exe"=
"c:\\WINDOWS\\system32\\smgcwe.exe"=

R3 PSched;QoS Packet Scheduler;c:\windows\system32\drivers\psched.sys [31.3.2003 14:00 69120]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-user - c:\documents and settings\user\user.exe
HKCU-RunServices-UpdteCenter - hvaufkxngcdgl.exe
SafeBoot-netmon32


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.fns.uniba.sk/
TCP: {3F999961-909B-4B2B-ACCE-611FDB2D650C} = 158.195.40.1,158.195.2.2
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-21 14:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


c:\docume~1\user\LOCALS~1\Temp\Perflib_Perfdata_300.dat 0 bytes

scan completed successfully
hidden files: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(1652)
c:\windows\system32\msi.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\CNAB4RPK.EXE
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Completion time: 2009-05-21 14:21 - machine was rebooted
ComboFix-quarantined-files.txt 2009-05-21 12:21

Pre-Run: 35 962 130 432 bytes free
Post-Run: 16 adresárov, 36 071 514 112 voľných bajtov

107 --- E O F --- 2009-05-21 12:07

[tre-SKA]

Zväzok v jednotke C nemá žiadnu menovku.
Sériové číslo zväzku je 5CD9-3092

Výpis adresára C:\WINDOWS\$NtServicePackUninstall$

31.03.2003 14:00 11 776 lsass.exe
1 súborov, 11 776 bajtov

Výpis adresára C:\WINDOWS\ServicePackFiles\i386

04.08.2004 09:56 13 312 lsass.exe
1 súborov, 13 312 bajtov

Výpis adresára C:\WINDOWS\SoftwareDistribution\Download\cf8ec753e88561d2ddb53e183dc05c3e

14.04.2008 02:12 13 312 lsass.exe
1 súborov, 13 312 bajtov

Výpis adresára C:\WINDOWS\system32

04.08.2004 09:56 13 312 lsass.exe
1 súborov, 13 312 bajtov

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
File::
c:\windows\system32\smgcwe.exe
c:\windows\system32\raeyhab.exe
c:\windows\system32\azbp.exe
c:\windows\system32\klmmp.exe
c:\windows\system32\wwlrejf.exe
c:\windows\system32\vswygr.exe
c:\windows\system32\zjaxbe.exe
c:\windows\system32\bthavxyo.exe
c:\windows\system32\aamtvnl.exe
c:\windows\system32\hndfonio.exe
c:\windows\system32\msvcrt2.dll

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\smgcwe.exe"=-


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
*****************************************************************************************************************************************
Toto otestuj na Virustotal
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\system32\dllcache\lssas.exe --nejspíše tam není , dle výpisu..
C:\WINDOWS\ServicePackFiles\i386\lssas.exe
Vlož sem pak odkazy výsledků.