Isass.exe ja koneen sammuminen

Discussion in 'Windows -ongelmat' started by Tapiox, Nov 4, 2005.

  1. Tapiox

    Tapiox Guest

    Eli käyttis yhtäkkiä ilmoittaa että prosessi lsass.exe on odottamattomasti loppunut ja järjestelmä sammutetaan. Mistähän johtuu? käyttis on Win XP Home.
     
    Last edited by a moderator: Nov 4, 2005
    Tapiox, Nov 4, 2005
    #1
  2. Faeryan

    Faeryan Regular member

    Joined:
    Oct 3, 2005
    Messages:
    282
    Likes Received:
    0
    Trophy Points:
    26
    Joku virus tykäksi muistaakseni tuota prosessia sammutella aina välillä. Jos tämä on kuitenkin vain kertalaatuinen tapaus niin sitten ei ole mitään hätää. Sitä sattuu muutenkin aina välillä.
    Katso kuitenkin toiseen topikkiisi kirjoittamani vastaus virusturvasta/spywaren poistajista niin tämäkin ongelma varmaan poistuu.
     
    Faeryan, Nov 4, 2005
    #2
  3. Hakkeri*

    Hakkeri* Guest

    Hakkeri*, Nov 4, 2005
    #3
  4. Hakkeri*

    Hakkeri* Guest

    ja tuo mun mielestä näyttäs olevan sasser mato.. sehän sammuttaa koneen just noin.. sullahan tulee sellainen ilmotus aina ennen ku sammuu?
     
    Hakkeri*, Nov 4, 2005
    #4
  5. Tapiox

    Tapiox Guest

    Minkä takia kone jumittaa kun yrittää sammuttaa sen? eli klikkaa "käynnistä" ja "sammuta" niin kone jää ihan jumiin. PRKLeen XP =(
     
    Tapiox, Nov 8, 2005
    #5
  6. spertti

    spertti Active member

    Joined:
    Jun 1, 2005
    Messages:
    1,222
    Likes Received:
    0
    Trophy Points:
    66
    Paina ctrl+alt+del ja katso prosesseista onko se tosiaan tuo otsikon mukainen Isass.exe (iso i ) vai lsass.exe ( pieni L )minkä olet viestiisi kirjoittanut. Isass.exe (iso i ) on sasser madon prosessi.

    Tuolla ohjeet sasserin poistoon > http://www.tietoturvaopas.fi/ajankohtaista/sassermato.html
     
    Last edited: Nov 8, 2005
    spertti, Nov 8, 2005
    #6
  7. Hakkeri*

    Hakkeri* Guest

    no koititko tota twister anti tronjan ohjelmaa?
    jos sulla on 2 lsass.exee niin sitte sulla on ainaski jotain sielä..koska mullakin oli ja sain pois tolla ohjelmalla..
    ja koita sitä ohjelmaa.. ja jos ei muu auta niin varmaa pitää kohta formatoida:OD eikä niitä voi olla 2 tiedoksi vaan ei sillä oo mitään väliä että on iso vai pieni.. se osaa naamioutua windowssin krittiseksi resurriksi..
    sitä ei voi sammuttaa ctrl+alt+del ydistelmällä..

    http://www.microsoft.com/finland/security/bulletins/sasser.asp

    kato toi linkki..
     
    Hakkeri*, Nov 9, 2005
    #7
  8. Hakkeri*

    Hakkeri* Guest

    Hakkeri*, Nov 9, 2005
    #8
  9. spertti

    spertti Active member

    Joined:
    Jun 1, 2005
    Messages:
    1,222
    Likes Received:
    0
    Trophy Points:
    66
    Hakkeri..... Onhan siinä aika paljon eroa onko se kirjoitettu iillä vai ällällä..... iillä kirjoitettu on satavarmasti sasserin prosessi, toisin kuin ällällä kirjoitettu, mikä voi olla myös winukan oma prosessi. Saitko nyt selville ajatukseni? Vertaa otsikkoa ja viestiä niin varmastikin ymmärrät mitä ajoin takaa.
     
    spertti, Nov 9, 2005
    #9
  10. Hakkeri*

    Hakkeri* Guest

    Joo ymmärsin.. mutta sä et näköjään ymmärtäny..
    mähän puhuin isoista kirjaimista enkä mistään iiistä tai llllästä..

     
    Hakkeri*, Nov 9, 2005
    #10
  11. spertti

    spertti Active member

    Joined:
    Jun 1, 2005
    Messages:
    1,222
    Likes Received:
    0
    Trophy Points:
    66
    Ei jaksa nyt taistella.... Ymmärsin kyllä mitä ajoit takaa. Mutta kun vertaat kuinka Tapiox kirjoitti prosessin otsikkoon ja omaan viestiinsä ymmärrät varmaan miksi takerruin tuohon asiaan. Odoitetaan nyt että Tapiox vastaa ketjuun, ja tapellaan sitten lisää =)
     
    spertti, Nov 9, 2005
    #11
  12. Tapiox

    Tapiox Guest

    Sorry tosta otsikosta, prosessin nimi alkaa isolla i:llä. prkle. en saa tehtävien hallintaa auki, (ctrl+alt+del) taitaa olla matoja koneella. En kokeillut vielä tuota twister-ohjelmaa, mutta kokeilen nyt.

    Vähän ongelmia kun ei kansioita pysty avaamaan. En pysty ajamaan setup.exeä, auttaisiko kovaleyn alustaminen jollain ohjelmalla joka kirjoittaa levyn täyteen ykkösiä tai nollia, niin että levy on IHAN tyhjä?
     
    Last edited by a moderator: Nov 9, 2005
    Tapiox, Nov 9, 2005
    #12
  13. -kemisti-

    -kemisti- Active member

    Joined:
    Jun 6, 2005
    Messages:
    6,305
    Likes Received:
    0
    Trophy Points:
    96
    Laita myös sen jälkeen HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne. Jollei muuten onnistu, niin yritä vikasietotilassa. Sinne pääsee painamalla F8 käynnistyksen yhteydessä.
     
    Last edited: Nov 9, 2005
    -kemisti-, Nov 9, 2005
    #13
  14. Tapiox

    Tapiox Guest

    Tuossa HiJack-loki, vikasietotilassa ajettuna:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:18:47, on 10.11.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Documents and Settings\ROOT\Työpöytä\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - Default URLSearchHook is missing
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
     
    Tapiox, Nov 10, 2005
    #14
  15. -kemisti-

    -kemisti- Active member

    Joined:
    Jun 6, 2005
    Messages:
    6,305
    Likes Received:
    0
    Trophy Points:
    96
    Eniten pistää tämä silmään:

    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Eli windows updateen hopi hopi heti kun mahdollista ;)

    Fixaa nämä(do a system scan only, merkkaa ja paina fix checked):

    R3 - Default URLSearchHook is missing
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    Poista tämä:

    C:\WINDOWS\web\==>related.htm<==

    Oletko skannannut tuolla ewidolla? Jos et, niin voisit skannata. Päivitä se ensin, jos onnistuu ja lähetä sen loki sitten tänne.

    Et millään saisi HjT-lokia ilman vikasietotilaa?
     
    -kemisti-, Nov 10, 2005
    #15
  16. Tapiox

    Tapiox Guest

    Tossa HiJack normaali tilassa ajettuna:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:55:48, on 11.11.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\Program Files\ewido\security suite\ewidoguard.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Netscape\Netscape\Netscp.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Common Files\Filseclab\FilMsg.exe
    C:\Program Files\Filseclab\Twister\Twister.exe
    C:\Documents and Settings\ROOT\Työpöytä\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [twister] "C:\Program Files\Filseclab\Twister\twister.exe" -a
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
    O4 - Global Startup: Filseclab Messenger.lnk = ?
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    ja tässä Ewidon:

    ---------------------------------------------------------
    ewido security suite - Scan report
    ---------------------------------------------------------

    + Created on: 12:08:16, 11.11.2005
    + Report-Checksum: 8AB75928

    + Scan result:

    :mozilla.17:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup
    :mozilla.18:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup
    :mozilla.19:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.2o7 : Cleaned with backup
    :mozilla.21:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
    :mozilla.22:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Atdmt : Cleaned with backup
    :mozilla.23:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup
    :mozilla.24:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup
    :mozilla.25:C:\Documents and Settings\ROOT\Application Data\Mozilla\Profiles\default\25urwisx.slt\cookies.txt -> Spyware.Cookie.Ru4 : Cleaned with backup


    ::Report End
     
    Tapiox, Nov 11, 2005
    #16
  17. -kemisti-

    -kemisti- Active member

    Joined:
    Jun 6, 2005
    Messages:
    6,305
    Likes Received:
    0
    Trophy Points:
    96
    Joo, ei tuossa muu pistä silmään kun, että lsass.exe ei ole aktiivisena.
    Ewido ei löytänyt kun evästeitä. Melkein ehdottaisin winukan korjausasennusta.
     
    -kemisti-, Nov 11, 2005
    #17
  18. Tapiox

    Tapiox Guest

    WTF

    Kun yritän sammuttaa koneen "käynnistä", "sammuta", niin tulee se sama "laatikko" kuin "käynnistä", "kirjaudu ulos", mistähän tuo johtuu. Eli en voi siis sammuttaa konetta, koska missään ei ole "sammuta tietokone" buttonia.

    Tota edellä mainittua ongelmaa ei enää oo. Päivitin XP:n, mutta samat ongelmat on vieläkin. Onkohan kovalevyllä jossakin jemmassa se mato, ku heti asennuksen jälkeen kone valitti "system erroreista"

    Keksin omasta mielestäni hel****n hyvän kikan. Poistin XP:n ja asensin Linuxin =) Eipä ole ollut ongelmia sen jälkeen.
     
    Last edited by a moderator: Nov 22, 2005
    Tapiox, Nov 11, 2005
    #18

Share This Page