CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Sasser – dziwne objawy.

Sasser – dziwne objawy.

Mam problemik.
Wszystko wskazuje na to, źe podłapałem Sassera, ale nie moźna go usunąć.
Objawy mam typowe, tzn. błąd Isass.exe, czas do zamknięcia 60 s.
ale...
1. Nie mam źadnego podejrzanego procesu, ani avserve ani xxxx_up – więc nic nie mogę wyłączyć
2. Żaden z fix–ów podanych parę topiców wyźej nic nie wykrywa, Panda antivirus Platinum 7. dzisiaj aktualizowana – teź nic
3. Nie mogę usunąć go "ręcznie" bo.......w rejestrze nie ma nic o nazwie – avserve lub inne podobne.
4. Łatka Micro$ nic nie daje :(

Moźe ktoś z Was wie jak sobie z tym poradzić, ale bez format c: – mam za mało czasu na zabawę z tym.

P.S. Narazie dam screen z podglądu zdarzeń, bo jakoś nie "złapał" mi się z akcji wirusa.

Odpowiedzi: 6

Jednak poradziłem sobie z tym "czymś".
Uźyłem wszystkich moźliwych programów i w końcu udało mi się dojść z tym do ładu, ale do tej pory nie mam pojęcia czy to był Sasser czy cosik innego.
P.S. – Rady dla innych z podobnym problemem
Wykonałem po kolei:
1.Uruchomienie windy w trybie awaryjnym (bez sieci)
2.Zeskanowanie dysków wszystkimi dostępnym "anty – sasserami".
3.Zeskanowanie dysków i pamięci antivirem ( w moim przypadku była to Panda Platinum 7.0)
4.Zeskanowanie Rejestru Ad Aware
5.Wyczyszczenie rejestru (ja to robiłem ręcznie, ale polecam programik jv16 power tools)

I teraz źadnych problemów.
Marycha
Dodano
07.05.2004 12:09:41
Doskonale radzi sobie z takowymi infekcjami,z Sasser`em teź,program STINGER [firmy McAfee].
Pobrać i skanować:

http://vil.nai.com/vil/stinger/

8)
Anonymous
Dodano
06.05.2004 22:38:08
Do naprawy :


O2 – BHO: (no name) – {8F4E5661–F99E–4B3E–8D85–0EA71C0748E4} – C:WINDOWSwsem217.dll – DyFuCa Dialer

O2 – BHO: NavErrRedir Class – {A045DC85–FC44–45be–8A50–E4F9C62C9A84} – C:PROGRA~1PERFEC~1BHOPERFEC~1.DLL (file missing) – niewiem co to jest, ale pliku do którego odwołuje się BHO juź nie ma.

O2 – BHO: (no name) – {F7F808F0–6F7D–442C–93E3–4A4827C2E4C8} – C:WINDOWS em214.dll – DyFuCa Dialer.

O3 – Toolbar: &SearchBar – {0494D0D9–F8E0–41ad–92A3–14154ECE70AC} – C:Program FilesMyWaymyBar1.binMYBAR.DLL (file missing) – pozostałość po Search Web Bar /Spyware.

Reszta log`u jest OK.
McScr@by
Dodano
06.05.2004 17:42:27
Mam podobna sytuacje, choc troche inaczej to u mnie pisze, ze cos tam spowodowalo blad nr w pliku Windows/System32/Isass.exe i za 59 sek nastapi restart komputera. Wyglada jak blaster albo cos takiego,ale zaden program antivir nic nie wykrywa,podobnie jak narzedzie Symanteca do sassera.
No i nie wiem o co chodzi. Oczywiscie poki firewall jest wlaczony to nie ma problemu. Ale jak to zlikwidowac ?
Ponizej zamieszczam log z Hi Jack This.


Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:Program FilesNorton Internet SecurityNISUM.EXE
C:WINDOWSsystem32spoolsv.exe
C:WebserverApache2inApache.exe
C:Program FilesNorton Internet SecurityccPxySvc.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:WINDOWSSystem32 vsvc32.exe
E:ProgramyMy PrivacyMyPrivacympsvc.exe
C:WebserverApache2inApache.exe
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesKoalaKAntyDialer.exe
E:ProgramyMy PrivacyMyPrivacyMyPrivacyNT.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesMessengermsmsgs.exe
E:Programymemturbomemturbo.exe
C:WINDOWSSystem32CMMON32.EXE
E:ProgramyWinampwinamp3.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FileswincmdWINCMD32.EXE
E:ProgramySpybot – Search & Destroy!InneHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.interia.pl/
O2 – BHO: (no name) – {0000CC75–ACF3–4cac–A0A9–DD3868E06852} – E:PROGRAMYDAPdapbho.dll
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {08442457–929D–4522–AE24–9D3E4664A0C1} – C:Program FilesIE URL Spoofing PatchIEWorkaround3.dll
O2 – BHO: (no name) – {8F4E5661–F99E–4B3E–8D85–0EA71C0748E4} – C:WINDOWSwsem217.dll
O2 – BHO: NavErrRedir Class – {A045DC85–FC44–45be–8A50–E4F9C62C9A84} – C:PROGRA~1PERFEC~1BHOPERFEC~1.DLL (file missing)
O2 – BHO: (no name) – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:program filesgooglegoogletoolbar.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O2 – BHO: (no name) – {F7F808F0–6F7D–442C–93E3–4A4827C2E4C8} – C:WINDOWS em214.dll
O3 – Toolbar: &SearchBar – {0494D0D9–F8E0–41ad–92A3–14154ECE70AC} – C:Program FilesMyWaymyBar1.binMYBAR.DLL (file missing)
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:program filesgooglegoogletoolbar.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [KAntyDialer] C:Program FilesKoalaKAntyDialer.exe
O4 – HKLM..Run: [MyPrivacy] "E:ProgramyMy PrivacyMyPrivacyMyPrivacyNT.exe"
O4 – HKLM..Run: [Openwares LiveUpdate] "C:Program FilesLiveUpdateLiveUpdate.exe"
O4 – HKLM..Run: [Startup Manager Scanner] "E:ProgramyStartup MechanicStartupScanner.exe"
O4 – HKLM..Run: [NvCplDaemon] "RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup"
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – Startup: MemTurbo.lnk = E:Programymemturbomemturbo.exe
O4 – Startup: Power GG.lnk = C:Program FilesGadu–GaduPowerGG.exe
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 – Extra context menu item: &Download with &DAP – E:PROGRAMYDAPdapextie.htm
O8 – Extra context menu item: &Google Search – res://C:Program FilesGooglegoogletoolbar.dll/cmsearch.html
O8 – Extra context menu item: Backward &Links – res://C:Program FilesGooglegoogletoolbar.dll/cmbacklinks.html
O8 – Extra context menu item: Cac&hed Snapshot of Page – res://C:Program FilesGooglegoogletoolbar.dll/cmcache.html
O8 – Extra context menu item: Download &all with DAP – E:PROGRAMYDAPdapextie2.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~1Office10EXCEL.EXE/3000
O8 – Extra context menu item: Si&milar Pages – res://C:Program FilesGooglegoogletoolbar.dll/cmsimilar.html
O8 – Extra context menu item: Translate into English – res://C:Program FilesGooglegoogletoolbar.dll/cmtrans.html
O9 – Extra button: Run DAP (HKLM)
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 – Plugin for .pdf: C:Program FilesInternet ExplorerPLUGINS ppdf32.dll
O16 – DPF: ING Bank Online – https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 – DPF: komentator – http://sport.onet.pl/komentator.cab
O16 – DPF: {1D6711C8–7154–40BB–8380–3DEA45B69CBF} (Web P2P Installer) –
O16 – DPF: {33564D57–0000–0010–8000–00AA00389B71} – http://download.microsoft.com/download/F/6/E/F6E491A6–77E1–4E20–9F5F–94901338C922/wmv9VCM.CAB
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLMSystemCCSServicesTcpip..{265AA2E2–CAF3–47A8–B075–9B4E00A696CB}: NameServer = 217.30.129.149 217.30.137.200

qazy
Dodano
05.05.2004 16:48:22
Marycha :

Umieść log z Hi Jack This, zobaczymy co u Ciebie siedzi.
McScr@by
Dodano
05.05.2004 01:57:02
U mnie bylo to samo :!: :!:
Ani kaspersky ani nic innego nie wykrylo wirusa.
Do objawow doszly dodatkowo niebieskie ekrany podczas zamykania komputera.

Sciagnalem z strony Microsoftu dwie latki:
WindowsXP–KB828741–x86–ENU
WindowsXP–KB835732–x86–ENU

Najpierw kilkakrotnie instalowalem podany wszedzie patch i nagle po jakims czasie system znow sie zamykal.
W koncu zainstalowalem obie w/w latki przy wylaczonym internecie, wczesniej zastosowalem narzedzie symanteca do wywalania sassera (nic nie wykrylo).
Dzisiaj zaczynam trzeci dzien bez restartow ale niestety blue screen dzisiaj podczas zamykania windowsow znow sie pojawil :(
Te dwie rzeczy niestety musza byc ze soba jakos powiazane – ale jak ? Nie mam pojecia.
Sprobuj zrobic jak ja zrobilem – nie wiem czy pomoze ale powodzenia :wink:
Anonymous
Dodano
05.05.2004 01:53:39
Marycha
Dodano:
04.05.2004 18:19:48
Komentarzy:
6
Strona 1 / 1