Gdy otwieram CTRL+Alt+Del mam w procesach lsass(exe). To jest keyloggger ? W rejestrze (regedit) nie ma tego procesu. Co to jest ?

100% Nie keylogger bo kiedyś sam to sprawdzałem ;d

@Down
lsass.e x e to ni keylogger

"Proces Lsass***** odpowiada m.in. za zarządzanie uwierzytelnianiem domeny urzędu zabezpieczeń lokalnych i zarządzanie usługą Active Directory. Proces ten obsługuje uwierzytelnianie zarówno klienta, jak i serwera, a także steruje aparatem usługi Active Directory. Proces Lsass***** odpowiada m.in. za działanie następujących składników:

* Urząd zabezpieczeń lokalnych
* Usługa Logowanie do sieci
* Usługa Menedżer kont zabezpieczeń
* Usługa Serwer LSA
* Protokół SSL (Secure Sockets Layer)
* Protokół uwierzytelniania Kerberos v5
* Protokół uwierzytelniania NTLM

I pamietaj żeby tego niewylaczać bo to skłądnik systemu.

100% Nie keylogger bo kiedyś sam to sprawdzałem ;d

Czyli NIE MAM keyloggera ? Nie chciałbym stracić mojej postaci :/

I tu jestescie w bledzie

Wirus owntibii maskuje sie pod C:/WINDOWS/lsass*****

Systemowy plik miesci sie w C:/WINDOWS/system32/lsass*****

Isass = Robak (sasser)
Lsass = plik systemowy.
Czy przy odpalaniu systemu masz "Format Punktu Koncowego jest nieprawidłowy"? Chociaż nie sądze żeby to był sasser.

Pozdrawiam

A co, pornoski się ściągało? Następnym razem było wpisać to w google, a w ogóle co to za teoria żeby sprawdzać pliki w rejestrze?

/R3T : Ale widać czy proces jest uruchamiany przez użytkownika czy przez system...

Jak wkleisz log z hijacka wszystko się wyjaśni.

Isass = Robak (sasser)
Lsass = plik systemowy.
Czy przy odpalaniu systemu masz "Format Punktu Koncowego jest nieprawidłowy"? Chociaż nie sądze żeby to był sasser.

Pozdrawiam

Nie. Nie mam takiego komunikatu.

"Pornosków" też nie sciągałem.

Powiedzcie w końcu : to jest keylogger czy NIE owntibia deleter nic nie znalazl.

Wystarczy być na tyle sprytnym i keylogger lsass będzie traktowany jako plik systemowy. Sprawdź czy masz go w msconfig i tam odznacz.

zalezy w jakim jest folderze, jesli w system32 to jest wszystko dobrze

Jest w folderze system32.

jesli w windows takiego pliku nie ma jestes bezpieczny

Ej i ty mam cos takiego ma lsass*****.
W windows i system32
Plz o szybko odpowiedz czy ten w windows to jest kelogger wtedy czy jak!?
PLZ DACIE SZYBKO ODP!!!!

@up
polecam zerknac pare postow w gore

Wydaje Wam sie że mam keyloggera?

http://img156.imageshack.us/img156/5766/lsassjh3.th.png (http://img156.imageshack.us/my.php?image=lsassjh3.png)

tak, masz pewnie owntibia

A jak ten syf usunąć z kompa? Najlepiej bez formatowanie kompa.

przywracanie systemu do stanu sprzed paru miechow albo bawienie sie w trybie awaryjnym - tzn w msconfig wylaczasz autostart tego, usuwasz plik i powinno byc juz dobrze

A jak to przywrócić ?

Owntibia jak nic, polecam jak na razie nie logować się do tibii. Przywracanie systemu nic nie da gdyż nie usuwa ono istniejących plików, tylko przywraca już usunięte.. Ściągnij findit z głównej strony tibia.pl, powinien ją znaleźć i usunąć. Niezależnie od tego czy mu się uda przeskanuj kompa programem HijackThis i wklej wygenerowanego loga tutaj: http://www.hijackthis.de/. Użyj narzędzia "Fix it" na procesach zaznaczonych jako niebezpieczne. Potem by sie przydało wyczyścić porty i po sprawie :)

No właśnie tutaj sie zaczynają schody... A mianowicie Hijackthis nic nie wykrywa FindIT tez nic X( Combofix również...

P.S
http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=253095

Powstrzymaj się jak na razie i nie loguj do tibii, na forum dobreprogramy na pewno Ci pomogą :). A o przywracaniu systemu zapomnij..., nie ma po co.

Niestety ale już sie logowałem :/

Trudno to tylko gra...

może mi ktoś powiedzieć czy mam też wirusa? bo ściągnąłem jakiś film z tego forum i mi dziwnie komputer chodzi ;(

@up zmień hasło przes stronę tibia.com może akurat pomoże do czasu formatu
http://img167.imageshack.us/img167/5600/12798658rs7.jpg

Polecam:
Hijackthis
Combofix
Pełny skan antywirusem
Spyware Doctor
http://mks.com.pl/skaner/

findit nie jest aktualny...

100% Nie keylogger bo kiedyś sam to sprawdzałem ;d

@Down
lsass.e x e to ni keylogger

"Proces Lsass***** odpowiada m.in. za zarządzanie uwierzytelnianiem domeny urzędu zabezpieczeń lokalnych i zarządzanie usługą Active Directory. Proces ten obsługuje uwierzytelnianie zarówno klienta, jak i serwera, a także steruje aparatem usługi Active Directory. Proces Lsass***** odpowiada m.in. za działanie następujących składników:

* Urząd zabezpieczeń lokalnych
* Usługa Logowanie do sieci
* Usługa Menedżer kont zabezpieczeń
* Usługa Serwer LSA
* Protokół SSL (Secure Sockets Layer)
* Protokół uwierzytelniania Kerberos v5
* Protokół uwierzytelniania NTLM

I pamietaj żeby tego niewylaczać bo to skłądnik systemu.

Swieta Racja nie sluchaj noobow co ci gadaja ze to jest keylogger mam juz takie cos z pare lat i jakos mnie nie hakli.. PatoXd nie masz keya ale tytanos bardzo mi przyrko ale masz :(

Dzięki za pomoc!

Podsumowujac lsass*****

C:/WINDOWS/system32/lsass***** - plik systemowy w menadzerze urzadzen widoczny jako uruchamiany przez system
C:/WINDOWS/lsass***** - keylogger owntibia w menadzerze urzadzen widoczny jako uruchamiany przez uzytkownika

Dyskusja sie wyczerpala i mozna zamknac temat.

Ehhh wielkie thx bo mialem lsass w widnows i system32

Wikipedia.

Sasser to robak komputerowy (ang. computer worm), który pojawił się w 2004 roku i rozprzestrzenia się na komputerach z zainstalowanym systemem operacyjnym Windows 2000 lub Windows XP.

Pierwsze pojawienie robaka miało miejsce 30 kwietnia 2004 roku i pierwotną jego wersję oznaczono jako Sasser.A. W ciągu kilku następnych dni pojawiły się mutacje robaka oznaczane kolejnymi literami alfabetu Sasser.B-Sasser.D. Wirus nie wymaga interakcji ze strony użytkownika, wykorzystuje bezpośrednio porty 445 i 139 (NetBIOS). Jego obecność objawiała się m.in. nagłym wyłączaniem się komputera. Ofiarą robaka stała się m.in. niemiecka poczta.

Sasser wykorzystuje błąd typu buffer overflow w części systemu operacyjnego nazywanej LSASS (local security authority subsystem service).

Firma Microsoft w kwietniu 2004 roku wypuściła uaktualnienie do systemu operacyjnego zawierającą poprawkę błędu i przypuszcza się, że twórcy robaka za pomocą reverse engineering odkryli jego istnienie.

LSASS to po prostu proces systemu, jak wyłącza ci się nagle komputer (podczas połączenia z internetem), co godzinę, albo inaczej, tzn. masz wirusa i przeskanuj kompa. Wpisz sobie sasser w Ggl, ale zwykły antywirus powienien styczeć.

Sorki, nie zauważyłem że temat skończony. Ale to się przyda.

Skoro mam keyloggera może ktoś pomóc w skutecznym usunięciu...?

Napisz do mnie pw a wysle ci poradnik.

Proszę sprawdzić screena :)

Wydaje mi się żę wszystko jest już dobrze. A mianowicie nie mam procesy lsass uruchamianego przez użytkownika tylko przez system.

Dodam ze po prostu usunołem w taki sposób: Prawy myszk -> usun -> a nastepnie oprożniłem kosz. Po tej operacji proces zniknoł z meadrzera i dysku (TAK MI SIE TYLKO WYDAJE)

http://img410.imageshack.us/my.php?image=f8wr2.png

Jesli nie ma takiego procesu no to wporzadku, chociaz powinienes trzymac sie poradnika :p

R3T niestety albo i stety :p Nie mogłem sie zastosować do Twojego poradnika (Za którego dostajesz ode mnie 10/10. Naprawdę SUPER!) Ponieważ HijackThis nie wykrywał mi lsass. Czyli wychodzi na to że tego keya nie ma... Mam racje? Czy może sie mylę?