Eli käyttis yhtäkkiä ilmoittaa että prosessi lsass.exe on odottamattomasti loppunut ja järjestelmä sammutetaan. Mistähän johtuu? käyttis on Win XP Home.
Joku virus tykäksi muistaakseni tuota prosessia sammutella aina välillä. Jos tämä on kuitenkin vain kertalaatuinen tapaus niin sitten ei ole mitään hätää. Sitä sattuu muutenkin aina välillä. Katso kuitenkin toiseen topikkiisi kirjoittamani vastaus virusturvasta/spywaren poistajista niin tämäkin ongelma varmaan poistuu.
koita tolla ohjelmalla.. pitäs lähtee.. http://www.download.com/Twister-Anti-TrojanVirus/3000-2239_4-10400295.html pistä tänne takas sit et lähtikö?
ja tuo mun mielestä näyttäs olevan sasser mato.. sehän sammuttaa koneen just noin.. sullahan tulee sellainen ilmotus aina ennen ku sammuu?
Minkä takia kone jumittaa kun yrittää sammuttaa sen? eli klikkaa "käynnistä" ja "sammuta" niin kone jää ihan jumiin. PRKLeen XP =(
Paina ctrl+alt+del ja katso prosesseista onko se tosiaan tuo otsikon mukainen Isass.exe (iso i ) vai lsass.exe ( pieni L )minkä olet viestiisi kirjoittanut. Isass.exe (iso i ) on sasser madon prosessi. Tuolla ohjeet sasserin poistoon > http://www.tietoturvaopas.fi/ajankohtaista/sassermato.html
no koititko tota twister anti tronjan ohjelmaa? jos sulla on 2 lsass.exee niin sitte sulla on ainaski jotain sielä..koska mullakin oli ja sain pois tolla ohjelmalla.. ja koita sitä ohjelmaa.. ja jos ei muu auta niin varmaa pitää kohta formatoida:OD eikä niitä voi olla 2 tiedoksi vaan ei sillä oo mitään väliä että on iso vai pieni.. se osaa naamioutua windowssin krittiseksi resurriksi.. sitä ei voi sammuttaa ctrl+alt+del ydistelmällä.. http://www.microsoft.com/finland/security/bulletins/sasser.asp kato toi linkki..
ja koita tota vielä microsoftin joku oma poisto työkalu.. http://www.microsoft.com/downloads/...E0-E72D-4F54-9AB3-75B8EB148356&displaylang=fi
Hakkeri..... Onhan siinä aika paljon eroa onko se kirjoitettu iillä vai ällällä..... iillä kirjoitettu on satavarmasti sasserin prosessi, toisin kuin ällällä kirjoitettu, mikä voi olla myös winukan oma prosessi. Saitko nyt selville ajatukseni? Vertaa otsikkoa ja viestiä niin varmastikin ymmärrät mitä ajoin takaa.
Joo ymmärsin.. mutta sä et näköjään ymmärtäny.. mähän puhuin isoista kirjaimista enkä mistään iiistä tai llllästä..
Ei jaksa nyt taistella.... Ymmärsin kyllä mitä ajoit takaa. Mutta kun vertaat kuinka Tapiox kirjoitti prosessin otsikkoon ja omaan viestiinsä ymmärrät varmaan miksi takerruin tuohon asiaan. Odoitetaan nyt että Tapiox vastaa ketjuun, ja tapellaan sitten lisää =)
Sorry tosta otsikosta, prosessin nimi alkaa isolla i:llä. prkle. en saa tehtävien hallintaa auki, (ctrl+alt+del) taitaa olla matoja koneella. En kokeillut vielä tuota twister-ohjelmaa, mutta kokeilen nyt. Vähän ongelmia kun ei kansioita pysty avaamaan. En pysty ajamaan setup.exeä, auttaisiko kovaleyn alustaminen jollain ohjelmalla joka kirjoittaa levyn täyteen ykkösiä tai nollia, niin että levy on IHAN tyhjä?
Laita myös sen jälkeen HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne. Jollei muuten onnistu, niin yritä vikasietotilassa. Sinne pääsee painamalla F8 käynnistyksen yhteydessä.
Tuossa HiJack-loki, vikasietotilassa ajettuna: Logfile of HijackThis v1.99.1 Scan saved at 16:18:47, on 10.11.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\ROOT\Työpöytä\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Eniten pistää tämä silmään: Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Eli windows updateen hopi hopi heti kun mahdollista Fixaa nämä(do a system scan only, merkkaa ja paina fix checked): R3 - Default URLSearchHook is missing O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm Poista tämä: C:\WINDOWS\web\==>related.htm<== Oletko skannannut tuolla ewidolla? Jos et, niin voisit skannata. Päivitä se ensin, jos onnistuu ja lähetä sen loki sitten tänne. Et millään saisi HjT-lokia ilman vikasietotilaa?
Tossa HiJack normaali tilassa ajettuna: Logfile of HijackThis v1.99.1 Scan saved at 11:55:48, on 11.11.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\ewido\security suite\ewidoctrl.exe C:\Program Files\ewido\security suite\ewidoguard.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Netscape\Netscape\Netscp.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Common Files\Filseclab\FilMsg.exe C:\Program Files\Filseclab\Twister\Twister.exe C:\Documents and Settings\ROOT\Työpöytä\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [twister] "C:\Program Files\Filseclab\Twister\twister.exe" -a O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Filseclab Messenger.lnk = ? O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe ja tässä Ewidon: --------------------------------------------------------- ewido security suite - Scan report --------------------------------------------------------- + Created on: 12:08:16, 11.11.2005 + Report-Checksum: 8AB75928 + Scan result: :mozilla.17:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup :mozilla.18:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup :mozilla.19:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup :mozilla.21:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup :mozilla.22:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Atdmt : Cleaned with backup :mozilla.23:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup :mozilla.24:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup :mozilla.25:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup ::Report End
Joo, ei tuossa muu pistä silmään kun, että lsass.exe ei ole aktiivisena. Ewido ei löytänyt kun evästeitä. Melkein ehdottaisin winukan korjausasennusta.
WTF Kun yritän sammuttaa koneen "käynnistä", "sammuta", niin tulee se sama "laatikko" kuin "käynnistä", "kirjaudu ulos", mistähän tuo johtuu. Eli en voi siis sammuttaa konetta, koska missään ei ole "sammuta tietokone" buttonia. Tota edellä mainittua ongelmaa ei enää oo. Päivitin XP:n, mutta samat ongelmat on vieläkin. Onkohan kovalevyllä jossakin jemmassa se mato, ku heti asennuksen jälkeen kone valitti "system erroreista" Keksin omasta mielestäni hel****n hyvän kikan. Poistin XP:n ja asensin Linuxin =) Eipä ole ollut ongelmia sen jälkeen.