* Uofficiel Black/White liste V3
|
Denne tråd er over 6 måneder gammel
Er du sikker på, at du har noget relevant at tilføje?
HJT sasserAf Monsterbruger Hullertman | 02-09-2005 12:58 | 1582 visninger | 30 svar, hop til seneste
Mojn Hol
Jeg får angreb der minder om blaster, men et minuts advasel om reboot.. dette kan stoppes med kør-cmd-shutdown -a..
Min maskine er busted med hvad jeg tror er sasser.. Jeg har scannet med opdaterede
Kaspersky Anti-virus Pro 5.0.372
Norton 2005
Spybot 1.4
Ad-aware 6.181
Smider en HJT log så der evt er en venlig sjæl der kan hjælpe mig med at komme problemet til livs så jeg er fri for tilfældige reboots.. På forhånd tak :)
Logfile of HijackThis v1.99.1
Scan saved at 12:57:36, on 02-09-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32RUNDLL32.EXE
C:WINDOWSSystem32CTHELPER.EXE
C:Program FilesD-Toolsdaemon.exe
C:Program FilesLogitechiTouchiTouch.exe
C:Program FilesLavasoftAd-aware 6Ad-watch.exe
C:Program FilesNetLimiterNetLimiter.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesLogitechMouseWaresystemem_exec.exe
C:Program FilesAdobeAcrobat 7.0Reader
eader_sl.exe
C:Program FilesLogitechSetPointKEM.exe
C:Program FilesLogitechSetPointKHALMNPR.EXE
C:Program FilesExecutive SoftwareDiskeeperDkService.exe
C:WINDOWSSystem32
vsvc32.exe
C:Program FilesAvant Browseravant.exe
C:WINDOWSsystem32cmd.exe
C:WINDOWSsystem32NOTEPAD.EXE
C:Documents and SettingsPappa LaustDesktophijackthisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://hol.dk[...]
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.dailyrush.dk[...]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM..Run: [DAEMON Tools-1033] "C:Program FilesD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [zBrowser Launcher] C:Program FilesLogitechiTouchiTouch.exe
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Ad-watch] "C:Program FilesLavasoftAd-aware 6Ad-watch.exe"
O4 - HKLM..Run: [eDonkey2000] "C:Program FileseDonkey2000edonkey2000.exe" -t
O4 - HKLM..Run: [KAVPersonal50] "C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Prokav.exe" /minimize
O4 - HKLM..Run: [NetLimiter] C:Program FilesNetLimiterNetLimiter.exe /s
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [DiskeeperSystray] "C:Program FilesExecutive SoftwareDiskeeperDkIcon.exe"
O4 - HKLM..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Reader
eader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:Program FilesLogitechSetPointKEM.exe
O8 - Extra context menu item: Add to AD Black List - C:Program FilesAvant BrowserAddToADBlackList.htm
O8 - Extra context menu item: Block All Images from the Same Server - C:Program FilesAvant BrowserAddAllToADBlackList.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 - Extra context menu item: Highlight - C:Program FilesAvant BrowserHighlight.htm
O8 - Extra context menu item: Open All Links in This Page... - C:Program FilesAvant BrowserOpenAllLinks.htm
O8 - Extra context menu item: Open In New Avant Browser - C:Program FilesAvant BrowserOpenInNewBrowser.htm
O8 - Extra context menu item: Search - C:Program FilesAvant BrowserSearch.htm
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb
elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb
elated.htm
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com[...] (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com[...]
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com[...]
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:Program FilesExecutive SoftwareDiskeeperDkService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Prokavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe
--
Hej
Din log er næsten ren, sæt flueben i denne
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
Tryk på Fix Checked - Luk HJT
Hent disse programmer og følg anvisningerne.
- Ewido Security Suite
http://www.ewido.net[...]
- FxSasser
http://securityresponse.symantec.com[...]
- FixBlast
http://securityresponse.symantec.com[...]
Anvisninger:
-----------------------
Ewido
Scan pc'en med programmet, husk at vælge ALLE pc'ens drev og lad den fixe det den finder
-----------------------
FxSasser
Kør filen
-----------------------
FixBlast
Kør filen
-----------------------
Kør så en diskoprydning.
(Start=> Programmer=> Tilbehør=> Systemværktøjer=> Diskoprydning. Sæt flueben ved temp-filer, temporary internet files og papirkurv).
-----------------------
Genstart pc'en - ingen ny log behøves -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter Hey igen og mange tak for hjælpen.. Desværre fandt sasserfix of blasterfix ikke noget på min computer, og jeg har lige haft endnu et shutdown jeg blev nød til at stoppe..
Der står at det var systemprocessen
C: [email protected]
der lukkede.. håber det kan hjælpe til at løse problemet.. ny log:
Logfile of HijackThis v1.99.1
Scan saved at 09:23:34, on 03-09-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32RUNDLL32.EXE
C:WINDOWSSystem32CTHELPER.EXE
C:Program FilesD-Toolsdaemon.exe
C:Program FilesLogitechiTouchiTouch.exe
C:Program FilesLavasoftAd-aware 6Ad-watch.exe
C:Program FilesNetLimiterNetLimiter.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:Program FilesLogitechMouseWaresystemem_exec.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesLogitechSetPointKEM.exe
C:Program FilesLogitechSetPointKHALMNPR.EXE
C:Program FilesExecutive SoftwareDiskeeperDkService.exe
C:Program Filesewidosecurity suiteewidoctrl.exe
C:Program Filesewidosecurity suiteewidoguard.exe
C:WINDOWSSystem32
vsvc32.exe
C:WINDOWSsystem32mspaint.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesWinampwinamp.exe
C:Program FilesAvant Browseravant.exe
C:WINDOWSsystem32
otepad.exe
C:Documents and SettingsPappa LaustDesktophijackthisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://hol.dk[...]
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.dailyrush.dk[...]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM..Run: [DAEMON Tools-1033] "C:Program FilesD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [zBrowser Launcher] C:Program FilesLogitechiTouchiTouch.exe
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Ad-watch] "C:Program FilesLavasoftAd-aware 6Ad-watch.exe"
O4 - HKLM..Run: [eDonkey2000] "C:Program FileseDonkey2000edonkey2000.exe" -t
O4 - HKLM..Run: [KAVPersonal50] "C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Prokav.exe" /minimize
O4 - HKLM..Run: [NetLimiter] C:Program FilesNetLimiterNetLimiter.exe /s
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [DiskeeperSystray] "C:Program FilesExecutive SoftwareDiskeeperDkIcon.exe"
O4 - HKLM..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Reader
eader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:Program FilesLogitechSetPointKEM.exe
O8 - Extra context menu item: Add to AD Black List - C:Program FilesAvant BrowserAddToADBlackList.htm
O8 - Extra context menu item: Block All Images from the Same Server - C:Program FilesAvant BrowserAddAllToADBlackList.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 - Extra context menu item: Highlight - C:Program FilesAvant BrowserHighlight.htm
O8 - Extra context menu item: Open All Links in This Page... - C:Program FilesAvant BrowserOpenAllLinks.htm
O8 - Extra context menu item: Open In New Avant Browser - C:Program FilesAvant BrowserOpenInNewBrowser.htm
O8 - Extra context menu item: Search - C:Program FilesAvant BrowserSearch.htm
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com[...] (file missing)
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk[...]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com[...]
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com[...]
O23 - Service: Diskeeper - Executive Software International, Inc. - C:Program FilesExecutive SoftwareDiskeeperDkService.exe
O23 - Service: ewido security suite control - ewido networks - C:Program Filesewidosecurity suiteewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:Program Filesewidosecurity suiteewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Prokavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe
-- Hej igen
Ja det hjalp en del med den information da netop den fil tilhører Sasser
Gå i fejlsikret tilstand og find denne (husk at slå skjulte filer til)
C:\WINDOWS\system32\Isass.exe >> Slet Filen
Vær opmærksom på at du også har en legal fil som hedder lsass.exe som IKKE må slettes
Tøm papirkurven.
Genstart pc'en - ingen ny log -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter Hmm tråden er gl. men nu er min com igen begyndt at genstarte..
Jeg har gennemgået ALT ovenstående på ny, men der findes ingen fil der hedder Isass.exe i
C:WINDOWSsystem32
har søgt efter en isass.exe på hele min computer, men jeg finder ingen fil. Jeg har taget alle filer med, skjulte og systemfiler.
Hvordan kan jeg løse probelemet?
//Hullertman -- Jeg ville prøve at scanne med:
http://vil.nai.com[...]
Den kender rigtig mange grimme vira/orme.
-- Nerd is just a word used by people who can't pronounce intellectual.
*Gigabyte GA-K8NXP-SLI ** AMD Athlon 64, 3500+ ** Geforce 6800 Ultra ** 2GB DUAL DDR PC3200 ** Audigy 4 Pro* eller det var måske dumt formuleret, for den kender faktisk ikke ret mange.
Men den er i stand til at fjerne alle de beskrevne typer 100 % da det er et smart lille all in one removal tool.
-- Nerd is just a word used by people who can't pronounce intellectual.
*Gigabyte GA-K8NXP-SLI ** AMD Athlon 64, 3500+ ** Geforce 6800 Ultra ** 2GB DUAL DDR PC3200 ** Audigy 4 Pro* #4
Smid en ny log og lad os se på det. -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter Oki her er den..
Logfile of HijackThis v1.99.1
Scan saved at 17:03:20, on 08-10-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32RUNDLL32.EXE
C:WINDOWSSystem32CTHELPER.EXE
C:Program FilesLogitechiTouchiTouch.exe
C:Program FilesLavasoftAd-aware 6Ad-watch.exe
C:Program FilesNetLimiterNetLimiter.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:Program FilesD-Toolsdaemon.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesLogitechMouseWaresystemem_exec.exe
C:Program FilesLogitechSetPointKEM.exe
C:Program FilesLogitechSetPointKHALMNPR.EXE
C:Program FilesExecutive SoftwareDiskeeperDkService.exe
C:Program Filesewidosecurity suiteewidoctrl.exe
C:WINDOWSSystem32
vsvc32.exe
C:Program FilesAvant Browseravant.exe
C:PROGRA~1COMMON~1TerraTecSCHEDU~1TTTimer.exe
C:Program FileseDonkey2000edonkey2000.exe
C:Program FilesWinampwinamp.exe
I:InstallationsfilerHijackthisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://hol.dk[...]
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.dailyrush.dk[...]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM..Run: [zBrowser Launcher] C:Program FilesLogitechiTouchiTouch.exe
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Ad-watch] "C:Program FilesLavasoftAd-aware 6Ad-watch.exe"
O4 - HKLM..Run: [KAVPersonal50] "C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Prokav.exe" /minimize
O4 - HKLM..Run: [NetLimiter] C:Program FilesNetLimiterNetLimiter.exe /s
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [DiskeeperSystray] "C:Program FilesExecutive SoftwareDiskeeperDkIcon.exe"
O4 - HKLM..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKLM..Run: [DAEMON Tools-1033] "C:Program FilesD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Reader
eader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:Program FilesLogitechSetPointKEM.exe
O4 - Global Startup: Winamp.lnk = C:Program FilesWinampwinamp.exe
O8 - Extra context menu item: Add to AD Black List - C:Program FilesAvant BrowserAddToADBlackList.htm
O8 - Extra context menu item: Block All Images from the Same Server - C:Program FilesAvant BrowserAddAllToADBlackList.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 - Extra context menu item: Highlight - C:Program FilesAvant BrowserHighlight.htm
O8 - Extra context menu item: Open All Links in This Page... - C:Program FilesAvant BrowserOpenAllLinks.htm
O8 - Extra context menu item: Open In New Avant Browser - C:Program FilesAvant BrowserOpenInNewBrowser.htm
O8 - Extra context menu item: Search - C:Program FilesAvant BrowserSearch.htm
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com[...] (file missing)
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk[...]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com[...]
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com[...]
O23 - Service: Diskeeper - Executive Software International, Inc. - C:Program FilesExecutive SoftwareDiskeeperDkService.exe
O23 - Service: ewido security suite control - ewido networks - C:Program Filesewidosecurity suiteewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Prokavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:Program FilesRealVNCVNC4WinVNC4.exe" -service (file missing)
-- #8
Hmm... ja den var værre.
Hvordan genstarter pc'en? Bare spontant, eller kommer der nogle meddelelser?
Prøv at hente disse programmer og følg anvisningerne
- Kaspersky Scanner
http://www.spywareinfo.dk[...]
- Spybot - Search & Destroy 1.4
http://www.softpedia.com[...]
- CWShredder
http://cwshredder.net[...]
Installer og opdater Spybot og CWShredder.
Gør følgende:
-----------------------
Installer og scan så med Kaspersky scanneren.
Sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
- og prik i følgende: All local drives og Scan all files. Klik på scan.
Du skal ikke klikke på Add to Startup folders, for så scannes din PC, hver gang du starter Windows op
-----------------------
Spybot S&D (Husk at update)
Åben programmet og tryk på "Check For Problems" efter scanningen trykker du på "Fix Selected Problems"
-----------------------
CWShredder
Installer og kør så CWShredder. Fix fundne elementer.
-----------------------
Kør så en diskoprydning.
(Start=> Programmer=> Tilbehør=> Systemværktøjer=> Diskoprydning. Sæt flueben ved temp-filer, temporary internet files og papirkurv).
-----------------------
Genstart pc'en, ingen ny log behøves. -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter #9
Jeg får 1 min´s advarsel i en grå box.. og derefter genstarter den. -- #10
Når 1 minuts boksen kommer frem så skriv shutdown -a (jeg går ud fra at det er den hvor den tæller ned fra 60 sek.)
Jeg vender tilbage senere når jeg hører mere fra dig, dvs. når du har kørt programmerne osv., det kunne jo være de kunne snuppe den. -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter #11 Aaarrh. jeg glemte at skrive at shutdown -a skulle skrives i Start => Kør -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter Så er jeg tilbage! Troede en overgang jeg var sluppet af med den sasser.. men det var jeg ikke på trods af Isass.exe ikke findes på min computer.
Jeg har gjort følgende idag:
Scannet med opdaterede:
Spybot 1.4
Ad-aware 6.181
Kaspersky Anti-virus Pro 5.0.372
Ewido security suite 3.5
og med
eScan ANtivirus Toolkit Utility Ver 4.4.7 (mwav.exe)
McAfee Stinger
CWShredder 2.15
Der blive ikke rigtigt fundet noget.
Jeg har brugt
Fixblast.exe
Fxsasser.exe
Uden de fandt noget..
Og kørt disk cleanup på computeren.
Jeg fik denne fejlmeddelse lige inden sasser slog til sidste gang:
http://peecee.dk[...]
Selv warning vinduet så sådan ud:
http://peecee.dk[...]
Jeg smider lige en HJT log her så der er noget at arbejde med:
Logfile of HijackThis v1.99.1
Scan saved at 19:59:25, on 18-10-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32RUNDLL32.EXE
C:WINDOWSSystem32CTHELPER.EXE
C:Program FilesLogitechiTouchiTouch.exe
C:Program FilesLavasoftAd-aware 6Ad-watch.exe
C:Program FilesNetLimiterNetLimiter.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:Program FilesD-Toolsdaemon.exe
C:Program FilesLogitechMouseWaresystemem_exec.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesLogitechSetPointKEM.exe
C:Program FilesWinampwinamp.exe
C:Program FilesLogitechSetPointKHALMNPR.EXE
C:Program FilesExecutive SoftwareDiskeeperDkService.exe
C:Program Filesewidosecurity suiteewidoctrl.exe
C:WINDOWSSystem32
vsvc32.exe
C:WINDOWSsystem32cmd.exe
C:Program FilesAvant Browseravant.exe
C:WINDOWSsystem32NOTEPAD.EXE
I:InstallationsfilerHijackthisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://hol.dk[...]
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.dailyrush.dk[...]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM..Run: [zBrowser Launcher] C:Program FilesLogitechiTouchiTouch.exe
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Ad-watch] "C:Program FilesLavasoftAd-aware 6Ad-watch.exe"
O4 - HKLM..Run: [KAVPersonal50] "C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Prokav.exe" /minimize
O4 - HKLM..Run: [NetLimiter] C:Program FilesNetLimiterNetLimiter.exe /s
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [DiskeeperSystray] "C:Program FilesExecutive SoftwareDiskeeperDkIcon.exe"
O4 - HKLM..Run: [DAEMON Tools-1033] "C:Program FilesD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Reader
eader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:Program FilesLogitechSetPointKEM.exe
O4 - Global Startup: Winamp.lnk = C:Program FilesWinampwinamp.exe
O8 - Extra context menu item: Add to AD Black List - C:Program FilesAvant BrowserAddToADBlackList.htm
O8 - Extra context menu item: Block All Images from the Same Server - C:Program FilesAvant BrowserAddAllToADBlackList.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 - Extra context menu item: Highlight - C:Program FilesAvant BrowserHighlight.htm
O8 - Extra context menu item: Open All Links in This Page... - C:Program FilesAvant BrowserOpenAllLinks.htm
O8 - Extra context menu item: Open In New Avant Browser - C:Program FilesAvant BrowserOpenInNewBrowser.htm
O8 - Extra context menu item: Search - C:Program FilesAvant BrowserSearch.htm
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com[...] (file missing)
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk[...]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com[...]
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com[...]
O23 - Service: Diskeeper - Executive Software International, Inc. - C:Program FilesExecutive SoftwareDiskeeperDkService.exe
O23 - Service: ewido security suite control - ewido networks - C:Program Filesewidosecurity suiteewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver1050Intel 32IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Prokavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:Program FilesRealVNCVNC4WinVNC4.exe" -service (file missing)
-- #13 windows update ! installere sp2.
http://www.microsoft.com[...] (deaktivere ms egen firewall når sygate er installeret)
installere en firewall (husk at tage netstikket fra)
http://www.spywarefri.dk[...]
husk at skrive shutdown som king har sagt. -- Når man kigger ind i evigheden, forstår man, der er vigtigere ting her i livet end dem, man bruger hele dagen på. Du kan eventuelt gå i regedit og søge efter Isass og slette det den finder, prøv at gøre dette:
Regedit
Gå i Start => Kør og skriv Regedit, tryk OK
Tryk på den øverste til venstre "My Computer/Denne Computer" derefter går du i Edit og trykker på Find og der skriver du nedenstående søgeord ind og søger på den.
Hvis den finder noget så slet det markerede med blåt i boksen, for at søge videre trykker du bare på F3. Den siger selv når den er færdig
Søgeord
Isass -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter #14
Jeg har kun hørt folk brokke sig over sp2.. Har også hørt at det skal installeres på en nyformateret pc hvis det skal fungere optimalt..
Hvordan skulle det hjælpe at installere en firewall? Er jeg ikke stadig inficeret med sasser selvom jeg trækker netkablet ud af min com?
"shutdown -a" i run.. er symptombehandling.. kan man ikke fjerne sygdommen i stedet for?
#15
Jeg får 11 hits på Isass i regedit.. ingen af dem er blå.. eller markerede.. det lille billede ved filerne er en lille ark teksten "AB skrevet med rødt..
I "data" kolonnen står der navne på nogle film, serier og musik jeg har/har haft.. Undtagen den ene hvor der står Isass..
Skal jeg slette de filer der er fundet eller hvordan? -- #16
Her ser du for eksempel hvordan det ser ud når jeg søger på "Maxtor".
Den ude til højre er markeret med blåt og derfor skal den slettes, dem der er markeret med blåt hos dig skal slettes.
http://peecee.dk[...]
Lige til sidst: Har du installeret alle de kritiske opdateringer til XP foruden SP1?
Det er i hvert fald nok til at lukke af for Sasser. -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter #17
Her er hvordan det ser ud.. jeg har været lidt kreativ der hvor der bare står filer jeg har og har haft..
http://peecee.dk[...]
Skal jeg slette den fil der er markeret der eller hvad?
Der er af uransagelige grunde ikke adgang til windows update fra min com..
Er et sasser hit noget der sker fra nettet til min computer.. eller er det noget der vil ske uanset om jeg har min computer slået til internettet eller ej? -- #18
Uransagelige grunde => Piratversion? ;)
Ja du sletter den "fil" der er markeret, altså den der hedder 000 -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter #19
Maybe..
Kender du svaret på hvorvidt sasser attack er afhængigt af internetforbindelse..? -- #20
Aaah sorry det glemte jeg at svare på.
Sasser og alt andet skidt kommer via Internettet. -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter #21
Ja det gør det.. men er selve angrebet.. altså den 1 minute warning udløst af noget fra nettet.. eller vil det også ske selvom jeg ikke har internetforbindelse.. -- #22
Nej, den warning er udløst af filen Isass.exe.
Og da du ikke kan finde Isass.exe i System32 med skjulte filer slået til, må det være noget den har efterladt et eller andet sted, som sagtens kunne være i registreringsdatabasen. -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter #23
Jeg takker dig mange gange for hjælpen! :) Håber det er væk nu.. -- #24 den her update du skal bruge
http://www.tipchannel.dk[...] -- Når man kigger ind i evigheden, forstår man, der er vigtigere ting her i livet end dem, man bruger hele dagen på. Jeg bemærker lige, at i de uploads du har lagt tidligt i tråden, står der ikke Isass (altså med stort I), men lsass (altså med lille l). lsass (med lille l) er en vigtig systemfil, som ikke skal fixes.
Den entry du finder i Registry er sandsynligvis blot en angivelse af, at du har "søgt" efter ordet "Isass". Den er derfor også helt harmløs.
Der er altså ikke tegn på sasser-orm, måske med undtagelse af indlægget fra 30/9: C: [email protected]
Har du selv skrevet det "I" eller er det et copy/paste ?
Min fornemmelse er, at du ikke har virus, men at dit system trænger til en opdatering. Enten et sfc-scan eller en repair:
1.
Klik på Start=>Kør skriv: SFC /scannow (husk mellemrum mellem SFC og /scannow)
Din windows skive skal sidde i drevet. Den tjekker og reparer dine systemfiler
http://www.hcma.dk[...]
2.
Lav en repair. Du skal bruge din XP-cd, og din CD-key: Boot op med din Windows XP-cd i drevet. husk at din bios skal stå til at have cdrom som first bootdevice.
1:Det første du skal gøre er at boote op på din Windows XP CD, husk at i din bios skal First bootdevice være sat til CDrom. Når den har installeret nogle foreløbige filer skal du;
2: springe det første tilbud om repair i Consolemode over og fortsætte din installation (nyinstalation)
3: Nu kan du så vælge hvilket drev din nye installation skal ligge på og her er det gerne dit C drev.
4: Og nu fortæller den dig der er et styresystem på dette drev og om du vil slette det (L) eller du vil lave en repair (R). Det er her du skal trykke på R.
5: Og du vil nu se, at den laver en helt ny installation, men den beholder alle dine nuværende indstillinger, dokumenter, programmer og skrivebordet udseende er også intakt, men nu skulle du gerne være sluppet af med dine fejl og mangler.
Dog skal der gøres opmærksom på at alle updates skal lægges ind igen. Desuden skal nye opdaterede drivere, som man selv har lagt ind, installeres igen.
Hvis din XP-cd er af ældre dato, og du har mulighed for det, vil det være en god ide, hvis du kan få brændt SP2 ned på en CD også, idet Repair fører din installation tilbage til det sikkerhedsniveau som er på CD'en -- og det er ikke så godt at være på nettet helt uden sikkeheds-opdateringer. Du finder SP2 som en løs fil (der kan brændes over på en CD og køres efter endt repair) her:
http://intern.sdu.dk[...] -- Udover at hjælpe til på HOL, bruger jeg også en del tid på eksperten.dk:
http://www.eksperten.dk[...] #26
Selvom at den ene registry er harmløs og ikke behøver slettes, kan de andre jo godt.
Og du siger at han ikke har virus eller andet, hvordan vil du så forklare http://peecee.dk[...] ?
Jeg er dog meget i tvivl om at det er Blaster eller Sasser, men de fleste hits på google siger Sasser og nogle få siger Blaster. -- Ses vi i BF2? Det tror jeg nok vi gør! Theking_DK
Hol.dk HJT Supporter Nu har jeg fået windows update til at virke.. så nu har jeg hente alle tilgængelige updates.. Men jeg har droppet sp2..
Jeg har også lavet SFC /scannow, men droppet repair..
Nu får vi at se om det hjælper på det.. ellers må jeg jo gå hele vejen med sp2 og repair.. eller en formatering.
Tak til alle der har hjulpet mig så langt indtil viddere :)
//Hullertman
-- #28:
Du har selvfølgelig ret i, at der *kan* ligge noget, isass et sted i registry, som ikke er harmløs. Min pointe i det ovenstående er også bare, at der ikke er tegn på det i de hidtidige posts. Og der findes en række problem-pc'ere i denne tid, som har problemer med at lsass lukker ned i løbet af 60 sekunder -- uden at der kan spores virus på computeren.
Hvis du kigger på det link, som du henviser til, så står der faktisk lsass (med lille l) og ikke Isass (med stort i).
Det med de 60 sekunder har iøvrigt ikke i sig selv noget med virussen at gøre. Hvis lsass.exe af nogen grund bliver forstyrret (fx. hvis man går ind i taskmanager og lukker den ned) vil du få den samme melding. Hvad problemet i dette tilfælde præcis skyldes ved jeg ikke, men jeg har prøvet at google på status-koden, og fandt følgende side, der dog henvender sig til Win2000 brugere.
http://support.microsoft.com[...]
Men her er rådet i hvert fald at få lagt de seneste Servicepacks ind. Men det kan også skyldes at der simpelthen er gået noget koks i systemfilerne. Derfor rådet med et sfc-scan/Repair...
Iøvrigt, så er isass typisk ikke et tegn på sasser:
http://www.bleepingcomputer.com[...]
http://www.bleepingcomputer.com[...]
Hvis det havde været sasser, mener jeg den burde have været synlig i HJT-loggen. Du kan se info på sasser her:
http://www.sophos.com[...]
en O4-entry med enten avserve.exe, avserve2.exe, skynetave.exe, lsasss.exe, napatch.exe. -- Udover at hjælpe til på HOL, bruger jeg også en del tid på eksperten.dk:
http://www.eksperten.dk[...]
Opret svar til indlægget: HJT sasser
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 255 personer har stemt - Mit energiselskab (Ewii f.eks) 12%
|
|
|