Salve, sono nuovo del forum e mi sono iscritto dopo aver letto quasi tutta la notte a proposito degli attacchi di viris e malware, visto che sono neofita dell'argomento ed ho un problema con lsass.exe . L'antivirus ANTIVIR l'ha individuato alcuni giorni fa dentro la cartella D:\WINDOWS ( non la windows\system32 dove è corretto che sia ) con un pò di difficoltà l'ha eliminato infatti si è diffuso su tutte le partizioni, l'ho eliminato da ognuna e poi per eliminarlo definitivamente mi ha chiesto il riavvio del PC.
Riavviato XP SP2 è partito regolarmente, sembrava tutto a posto se non che quando apro qualsiasi partizione ad esclusione di D:\ mi esce il messaggio:

---Impossibile trovare il file "\lsass.exe".Verificare che il percorso e il nome del file siano corretti e ritentare.Per cercare un file fare clic sul pulsante Start, quindi scegliere trova.---

Scaricato HiJackThis ed ho cliccato fiix checked sulla voce:
O4 HKLM...Run "D:\windows\lsass.exe" e facendo analizzare il mio log non trova piu niente di sospetto .
Allego il log.

Ho anche provato con PrevxCSI e SDFix ma non mi sembra abbiano rilevano niente di infetto.
Dopo ho inserito anche la chiavetta USB per prova, l'antivir mi ha rilevato anche qui lsass, l'ha eliminato e da quel momento enrando nella chiavetta esce lo stesso messaggio: Impossibile trovare il file "\lsass.exe"...

Se vi devo postare altri log ditemi quali, se non ho rispettato qualche regola me ne scusa fin d'ora.

Grazie per l'aiuto.

Ciao benvenuto nel pronto soccorso di HU.

Per ripulire completamente il pc segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Leggi bene tutto questo post, e arriverai in fondo alla guida in perfetta autonomia
salvo in caso di problemi particolari...



Ricapitolando, dopo aver disabilitato il ripristino di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

log di Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) aggiornato ad oggi
log di A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) scaricato oggi oppure di F-Secure OnLine (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) scaricato oggi
log di ESET SysInspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)



Se il sistema è molto compromesso, e non dovessi riuscire a seguire la guida, prima prova con il rescue cd di avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812), a fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22), anche una memoria RAM con qualche giorno di vita può essere la causa di tutti i mali...


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log, qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu caricassi

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

Grazie wjmat e complimenti a tutti i senior member e collaboratori di questa sezione del forum .
Ho già cominciato a scaricare i programmi ma avendo la connessione lenta a 56k finirò per forza domani . La mia sensazione è quasi di non essere sotto attacco di lsass perchè non compare + nella scansione di AVIRA, nemmeno nessuna infezione rilevata con PrevxCSI, No rootkits found con AVENGER e niente con Malwarebytes' Anti-Malware di cui allego il log eseguito poco fa.
Il PC infatti non ha comportamenti strani ne all'avvio ne dopo ma è rimasta come la memoria della presenza del virus su tutti i dischi ad eccezione di D:\ e quando faccio il doppio clic per aprirli esce il messaggio: Impossibile trovare il file lsass.exe... quindi posso entrare nei dischi solo col tasto destro e apri.
Anche con la chiavetta USB che uso mi dava il messaggio, poi per prova l'ho formattata e ora è OK. I 2 hard disk non vorrei proprio formattarli perchè mi tocca spostare + di un centinaio di Giga .
Ho letto altri post su lsass ma a me sta accadendo diversamente .

mbam non è scansione completa

hijackthis non è aggiornato, nel link che ti ho dato c'è l'ultimo

se hai problemi a scaricare segui la voce portabilità e scarica tutto da un pc con adsl

Credo di aver risolto, ma per essere sicuro vi chiedo conferma.
Ho eseguito quanto chiesto, ho disattivato il ripristino della configurazione windows, ho fatto pulizia con ATF-Cleaner ed ho fatto lo scan di tutto il PC con i software indicati nell'ordine, ci ho messo molto perchè ho 2 hard disk da 250 GB abbastanza pieni .

Non ho capito dove devo copiare i log per inserirli in formato link, se me lo chiarite li allego con l'aggiunta del log avenger e l'event viewer di AVIRA.

In sostanza il mio PC è stato pulito da diversi worm e trojan, ma il virus
lsass.exe ovvero il Worm/VB.CN.45 era già stato debellato da AVIRA.
Ho scoperto che aveva infettato anche la chiavetta e usandola al lavoro
è stato identificato dal symantec 10.1 un altro worm: W32.sillyFDC
per fortuna debellato subito anche quello, poi ho formattato la chiavetta.
Il problema che mi ha fatto penare di + è stato che non riuscivo ad aprire
gli hard disk perchè usciva: Impossibile trovare il file lsass....
Il problema era nei file nascosti autorun.inf che forzavano come shellexecute
il famigerato lsass.exe e quindi è per quello che mi usciva l'errore.
Per vederli bisogna andare in Opzioni cartella_Visualizzazione e togliere la spunta da Nascondi i file protetti di sistema .

Spero che quanto riportato possa essere utile a chi si becca il maledetto lsass.exe, ringrazio wjmat e chiedo se possibile comunque un'analisi dei log che posterò per capire se devo fare altre azioni .

le modalità che ti ho linkato e che ho in firma mi sembrano di facile intepretazione dai....:D

Ecco i link dei log, ho letto come fare dalla discussione di pocoINformatico:

http://www.mediafire.com/?vn8cw1dmemf
http://www.mediafire.com/?r5ucxmz4izn
http://www.mediafire.com/?edd222mrwyl
http://www.mediafire.com/?juydl999yhm
http://www.mediafire.com/?xizxr9pzts4
http://www.mediafire.com/?5tdq2zi5zsj
http://www.mediafire.com/?jjkknixjamg
http://www.mediafire.com/?vly5di4m2km
http://www.mediafire.com/?rszjtmux0p0

Attendo conferma che sia tutto a posto.

non ho visto gmer
avenger non serve usarlo per i rootkit ;)
con avira magari fai una scansione completa e alleghi il Repot non gli event



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O4 - HKCU\..\Run: [swg] D:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.ex e
O4 - HKCU\..\Run: [AdobeUpdater] D:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = D:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O16 - tutte le voci

Mi sono dimenticato di caricare gmer :doh: , insieme a lui carico anche il report dello scan completo di AVIRA e il log di HijackThis ottenuto dopo le operazioni che mi hai suggerito.

http://www.mediafire.com/?vfwkzmtmjjm
http://www.mediafire.com/?ndankdoj45a
http://www.mediafire.com/?vzimiiezyym

antivir non mi sembra configurato come da guida

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Sì mi sembra di essere a posto, farò come mi consigli e verifico AVIRA,
puoi come ultima cosa indicarmi un link dove capire come va configurato ?
Per il resto tutto OK, ti ringrazio molto per tutto l'aiuto che mi hai dato.
Un saluto a te e a tutti i "boss" del forum .

Come non detto, su AVIRA si trova tutto nella guida al trattamento post
disinfestazione .
Ancora grazie, alla prossima.
Ciao.

di nulla, ciao