LSASS sin eliminarse (SOLUCIONADO)

walone · Mensaje por **walone** » 26 Ene 2006, 13:50

Hola, mi problema es que aun habiendo pasado el elitrip sin ningun aviso de infeccion, aplicar el parche del lsass (eso si, ya no se me reinicia) al cabo de un tiempo conectado me empiezan a dar problemas del tipo que no funcione el explorer, instale el microsoft antispyware y alprincipio bien hasta que dejo de funcionar el no avisarme delas alertas y cada 5 segundos me sale el aviso de que bloquea al archivo LSASS y eso me satura el pc porque acumula los archivos, tengo dos LSASS.exe iniciados en el administrador de tareas y donde dice que debe estar el archivo no sale ningun rastro de el en c:/windows, pueden ayudarme?

Gracias de antemano.

Mensaje por **msc hotline sat** » 26 Ene 2006, 14:51

Donde está el LSASS.EXE del sistema operativo es en la carpeta de sistema, no en C:\windows, en cuyo caso se trata de un virus o de un troyano

Lance un Hijackthis y posteenos el resultado, que veremos si esta en uso y de donde lo carga

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Posteelo como respuesta de este Tema, gracias

saludos

ms, 26-1-2006

walone · Mensaje por **walone** » 26 Ene 2006, 15:25

Tambien me fije que tengo el programa ejecutado services y me ocupa unos 1.300Kb lei en otro post que era anormal, tengo solo un ordenador aver si podeis ayudarme gracias.

Bien pues este es el resultado

Logfile of HijackThis v1.99.1

Scan saved at 15:22:50, on 26/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\dllmgr64.exe

C:\WINDOWS\lsass.exe

C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\dllsys64.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\System32\MSWSA32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Razor\Razor.exe

C:\Archivos de programa\EA GAMES\Ultima Online Samurai Empire\client.exe

C:\Archivos de programa\eMule\emule.exe

C:\mIRC\mirc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Adrian\CONFIG~1\Temp\Rar$EX00.156\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe

O4 - HKLM\..\Run: [MS Windows System Alert] MSWSA32.exe

O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe

O4 - HKCU\..\Run: [CRACK] C:\WINDOWS\system32\config\crack.lnk

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MS Windows System Alert] MSWSA32.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137608964810

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3B8D1D5E-A0DB-428F-9050-7151026ABECF}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Mensaje por **msc hotline sat** » 26 Ene 2006, 16:34

Bingo !

Tiene dos procesos del LSASS.EXE. uno , normal desde c:\windows\system32, que es la carpeta de sistema en XP y otro desde C:\windows QUE ES UN MALWARE !!!

La clave que lo carga es:

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe

vea de eliminar o mover este fichero LSASS-EXE de C:\WINDOWS, no el otro !!! y tras reiniciar elimine la clave indicada. lanzando el HJT, selecionandola marcando a la izquierda de la misma y eliminandola con FIX

Uno de los malwares que usan un gusano con este nombre en dicha carpeta es el Windamg.B, un mal bicho como puede verse:

http://www.softdownload.org/fichas/masbuscados/virusreport/guias_de_seguridad/windang.b._2451.asp

Sea lo que fuere, saquese de encima esto antes de que sea demasiado tarde !!!

saludos

ms, 26-1-2006

NOTA: Para salir de la duda, envienos este fichero LSASS.EXE de C:\WINDOWS a zonavirus@satinfo.es anexado a un mail en cuyo texto nos indique la referencia REF WINLSASS y lo analizaremos e informaremos del resultado del analisis, como respuesta de este Tema. ms

walone · Mensaje por **walone** » 26 Ene 2006, 17:39

Pues la historia parece complicada, explico:Hice todo lo que bien me indicaste y tambien lo del troyano, pero loque ocurre esque el archivo creo quelo llegue a borrar o no esta en esa carpeta (lo archivos ocultos estan desactivados) lo hice en modo seguro y me decia al intentar borrarlo que era una tarea imprescindible en windows queno podia borrar que lo dejaba enel backups (algo asi)

me dirigi alli y lo elimine ya que no era el de system32, despues de eso reinicie pero me sigue apareciendo como si nada, tambien tengo nuevos archivos que intentan hacer intrusion por el firewall como: MSWSA32.exe y LSASS sigue queriendo acceder a la linea.

Te agradezco mucho la ayuda prestada.

P.D: No pude enviar el archivo ya que parece inexistente en la carpeta.

Mensaje por **msc hotline sat** » 26 Ene 2006, 19:05

Bueno, pues el del MSWSA32.exe es un RBOT que entra por muchos agujeros de seguridad de windows, comos e ve en la descripcion (seleccionar descripcion avanzada)

http://www.sophos.com/virusinfo/analyses/w32rbotbfn.html

El otro es una pena que no lompopdamos examinar, pero ya que estaba en lugar equivocado en el momento equivocado... era algun mal bicho !

Este MSWSA32.exe debe ser detectado por su antivirus y arrancando en modo seguro, eliminado por el mismo.

Si tiene problemas con él, envienoslo igual que le indicabamos para el otro, y si además en la papelera o en cualquier otra parte localiza el LSASS.EXE que no es el del sistema )lo verá por tamaño), incluyalo tambien y sabremos de qué se trataba.

Por lo menos tenemos centrados los dos gusanos que le estan incordiando, por cierto que este RBOT entra por los agujeros de seguridad... Lance un windowsupdate !!!

saludos

ms, 26-1-2006

walone · Mensaje por **walone** » 26 Ene 2006, 19:23

Pues muchas gracias porla ayuda ya hable con un amigo para que me deje el WXP SP2 ya que el mio no es original y no deja actualizarse :$ espero que con ello se arregle todo si me vuelve a pasar no dudare en enviaros el archivo para que podais examinarlo y saber de que trata un saludo :D ahora mi pc dentro de lo que cabe esta estable.

Mensaje por **msc hotline sat** » 26 Ene 2006, 19:29

Pues que dure :lol: ! Nos alegramos de ello y solucionado el problema, procedemos a cerrar el Tema

Si tienes algun problema ya sabes donde estamos, y si encientras las muestras, nos las envias conforme indicado

saludos

ms, 26-1-2006