sasser ilmeisesti?

mun koneella on ilmeisesti sasseri mutkitellut viikon jo,
olen kaiken mahdollisen tehnyt mitä googlella löysin,vaihtanut 4 kertaa palomuuria ja virussuojaa,poistanut sasserin Stingerillä ym.

kone voi toimia kauan tai minuutin kerralla,kun tulee ilmoitus "LSA Shell (Export Version)" ja kone sammutetaan 60 sek. päästä.

viimeinen mahdollisuus on yrittää manuaalista poistoa :

http://www.ficora.fi/suomi/tietoturv...je-2004-03.htm

tuoltakin sivulta kaikki muu on tehty,ei apuja.

ongelma nyt on etten löydä XP:stä tehtävienhallintaa
CTRL+ALT+DEL sillä pitäs aueta,mutta ei mitään tapahdu,tuolla se aukesi aikanaan kun oli Win2000poro.

nyt on AVG virussuojana ja palomuurina GB-ware2.


Onko jollain ollut samaa ongelmaa?

Googlella olen 3 vrk etsinyt apuja ja kokeillut (eilen esimerkiksi 12 tuntia putkeen) mikään ei ole auttanut.

 

Katotaanpas tuolla mitä se sun kone on syönyt.

Käy hae HijackThis 1.99.1 ohjelma:

Asenna ohjelma omaan kansioon, nimeä HijackThis.exe--> Skanneri.exe:si.
Avaa ohjelma, valitse sieltä "Do a system scan and save a logfile", ohjelma tuottaa muistion jossa on logitiedosto, kopioi logi kokonaisuudessaan ja liitä se tänne seuraavaan vastaukseesi.

 

Tuota ennen:

Käynnistä -> suorita -> shutdown -a -> ok, että pysyy kone pystyssä edes sen aikaa

 

tämän laittaessa tulee ilmoitus ettei kohdetta löydy.?

 

nyt ei aukea mikään palomuuri,vaihdoin takaisin zone alarmiin kun se on toiminut aina hyvi,mutta: LSA Shelliä pukkaa.

Logfile of HijackThis v1.99.1
Scan saved at 20:24:22, on 3.1.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\urdvxc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\duovnf.exe
C:\WINDOWS\System32\lka.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
C:\Program Files\PokerOffice\bin\javaw.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Nevada\Työpöytä\skanneri.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\duovnf.exe
O4 - HKLM\..\Run: [Nord] C:\WINDOWS\System32\nordsys.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\testtestt.exe
O4 - HKLM\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Windows Update] lka.exe
O4 - HKLM\..\Run: [POEngine] "C:\Program Files\PokerOffice\POEngine.exe" C:\Program Files\PokerOffice
O4 - HKLM\..\Run: [Msn XP live Messanger] msnlive.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\testtestt.exe
O4 - HKLM\..\RunServices: [Windows Update] lka.exe
O4 - HKLM\..\RunServices: [Msn XP live Messanger] msnlive.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Nord] C:\WINDOWS\System32\nordsys.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O4 - HKCU\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe
O4 - HKCU\..\Run: [Windows Update] lka.exe
O4 - HKCU\..\Run: [Msn XP live Messanger] msnlive.exe
O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE
O4 - HKCU\..\RunServices: [Windows Update] lka.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: VC Poker - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\VCPOKE~1\client.exe (file missing)
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll (file missing)
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing)
O9 - Extra button: PacificPoker - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe (file missing)
O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file)
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - C:\Program Files\Bodog Poker\BPGame.exe (file missing)
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Program Files\Poker.com\Poker.exe (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {360E40AA-EE8B-4101-BA67-0CAD3F7A48DD} (Nyoko Downloader Class) - http://www.gamingclubpoker.com/download_helper/Nyoko.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {B10CBD8D-F9B6-11CF-9B38-0080AD11B667} (Ikonic Button Control) - http://www.sysgen.fi/bin/ikcntrls.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: CD-levyjen kirjoittamisen IMAPI COM -palvelu (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe (file missing)
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\snchost.exe (file missing)
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: NetMeeting etätyöpöydän jakaminen (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\System32\msdtc.exe (file missing)
O23 - Service: Windows Installer -ohjelma (MSIServer) - Unknown owner - C:\WINDOWS\System32\msiexec.exe (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Program Files\Sygate\SPF\smc.exe (file missing)
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe (file missing)
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
O23 - Service: Aseman tilannevedos (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: Windows MSN - Unknown owner - C:\WINDOWS\wmsnlivexp.exe (file missing)

 

Löytyykö tiedosto shutdown.exe windowsin haulla ?

EDIT: Bottiviidakko ja ei service pack 1:stä edes -> format c:
Muuta ei kannata tehdä.

 

ei löydy.

tuon login jälkeen ajoin koneen Escannilla (kaspersky) ja se löysi 820 virusta ja poisti.

nyt kone on ihan älyttömän hidas,nykii ym.

zonealarm ei jostain syystä asennu enää koneelle joten laitoin Minute Firewallin ja AVG on edelleen virussuojana.

 

Kuten -kemisti- ilmoitti,niin parasta on format C.

En ole ennen ikinä joutunut antamaan format C ohjetta, mutta kerta se on ensimmäinenkin

Vaikka puhdistat millä tahansa ohjelmalla tuota konetta niin et saa kaikkia saastuneita tiedostoja pois.Puhumattakkaan siitä, että KAIKKI tunnukset ja salasanat mitä olet koneessa / netissä käyttänyt ovat tiedossa.

 

sama onkelma mullakin on taitaa olla windowssi uudelleen asennuksen paikka ku ei tunnu minkään auttavan

 

Ulkomailla joutuu aina silloin tällöin (tai vähän useamminkin) kyllä antamaan forkkausohjeet

Eli zztoppi, vaihda salasanasi jostain puhtaasta koneesta ja ota yhteyttä verkkopankkiin/luottokorttifirmaan mikäli olet käyttänyt heidän palvelujaan tämän koneen kautta.

 

otin nyt toisen koneen käyttöön.

formatoinnin aloittaessani kone ilmoitti:

"alustamista ei voi suorittaa,koska toinen prosessi käyttää asemaa.
Alustaminen voidaan suorittaa jos tämä asema poistetaan käytöstä."

"MITKÄÄN AVOIMET KAHVAT EIVÄT KELPAA TÄMÄN JÄLKEEN.haluatko pakottaa tämän levyn poistamisen käytöstä K/E"

mitäs nämä KAHVAT on?

 

Yrititkö kenties formatoida winukan ollessa päällä? Buuttaa sillä XP levyllä se kone ja formatoi sitäkautta.

 

no niin nyt kiintolevy on formatoitu,asennettu XP, palomuuri+virussuoja ja sitten lyöty nettipiuha vasta kiinni.

mutta,kone on aivan käsittämättömän hidas!
mikähän nyt mättää?

mikään ei ole koskaan näin hidasta ollut.