В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

lsass нагружает ЦП/использует много физической памяти

safetysafety
отредактировано May 2020 Раздел: Форум лечения заражений
Несколько тем ("lsass грузит ЦП") с форума virusinfo.info, которые подчеркивают уникальность функций Universal Virus Sniffer, в частности, обнаружение внедренных потоков в легальные, в том числе и системные процессы:
https://virusinfo.info/showthread.php?t=225067
https://virusinfo.info/showthread.php?t=224966

по второй ссылке решение, к сожалению, не было доведено до конца,
по первой ссылки у пользователя и хелперов хватило времени и терпения, чтобы проверить состояние системы из всех положений: нормального, безопасного, и пассивного из под Live USB

Образ автозапуска из uVS из нор. режима подтвердил наличие скрытого процесса, который внедряет потоки и нагружает процесс lsass.
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4256
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4280
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4284
tdsskiller ничего не обнаружил из норм. режима
19:02:56.0459 0x0d80 TDSS rootkit removing tool 3.1.0.28 Apr 9 2019 21:11:46
19:02:56.0974 0x0d80 ============================================================­
19:02:56.0974 0x0d80 Current date / time: 2020/05/22 19:02:56.0974

19:03:18.0373 0x0c24 ============================================================­
19:03:18.0373 0x0c24 Scan finished
19:03:18.0373 0x0c24 ============================================================­
19:03:18.0373 0x0dac Detected object count: 0
19:03:18.0373 0x0dac Actual detected object count: 0

FRST нашел заблокированные каталоги и файлы:
==================== FLock ==============================

2020-05-22 12:46 C:\Windows\speechstracing
2020-05-22 16:23 C:\Windows\system32\config\SYSTEM
2020-05-18 19:49 C:\Windows\system32\Drivers\Wdf10283.sys

обнаружить, удалить, или получить копию данного драйвера не получается из нормального, и безопасного режима,
зато из под winpe возможно уже легко обнаружить и зачистить систему.
C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
a variant of Win64/Agent.KD
Действительна, однако сертификат УСТАРЕЛ
Xtreaming Technology Inc.
HKLM\uvs_system\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}\ImagePath
system32\drivers\Wdf10283.sys
тип запуска: На этапе загрузки (0)

Цитата
Загружен скрипт: F:\Support\COMP.TXT
======= Начало исполнения скрипта =======
v400c
OFFSGNSAVE
zoo %Sys32%\DRIVERS\WDF10283.SYS
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
addsgn 9AFB8488CB82BB1509D49FC070335BDF939E470451A9F4BCFB99DF57546A­527C372C97CE664166E35C0A6FDBCA385911799153EBBE9E75957E639F66­9E993648 32 Trojan:Win64/CryptInject!MTB[Microsoft] 7
Добавлена сигнатура: Trojan:Win64/CryptInject!MTB[Microsoft]
chklst
Проверка списка...
Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL
Проверено файлов: 2942
Найдено вирусов: 1
delvir
Применение изменений...
Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
Удаление ссылок...
Удаление файлов...
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

В итоге:

Rootkit.Win64.Agent.bfi

Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Share on Google+
Войдите или Зарегистрируйтесь чтобы комментировать.