/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
lsass.exe - Hijackthis
Fra : Nuserpigen 		Vist : 321 gange
500 point
Dato : 01-11-04 16:22
Hejsa

Sidder på en venindes computer, som lukker ned efter 60 sek... Der står at det er lsass.exe.....
Hvordan er det lige man får den fjernet??

Her er en log:
Logfile of HijackThis v1.98.2
Scan saved at 16:07:05, on 1-11-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\System32\hphmon04.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINNT\System32\internat.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\HPHipm11.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINNT\System32\wuauclt.exe
C:\Documents and Settings\Jørn Holst\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programmer\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099321203861
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

På forhånd tak

Hilsner fra Nuserpigen





 
 
Kommentar
Fra : berpox

Dato : 01-11-04 17:27
Den skal da ikke fjernes... altså lsass.exe

http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/

mvh Berpox

Kommentar
Fra : xick

Dato : 01-11-04 17:32
Kommentar
Fra : xick

Dato : 01-11-04 17:34
Citat fra: http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

Citat
Note: The execution of the worm causes LSASS.EXE to crash on some systems. The result of this is that the system may undergo a reboot. The fixtool can be successfully run only after the system has completed the reboot.


Kommentar
Fra : berpox

Dato : 01-11-04 17:35
ja okay - dér var jeg lidt for hurtig .... trækker mig lige tilbage i sneglehuset og græmmer mig....der kan jo være et problem.

mvh Berpox

Kommentar
Fra : BjarneD

Dato : 01-11-04 17:38
Den ægte vare hedder LSASS.exe mens den farlige kan hedde ISASS.exe
sasser ormen fjernes ved at opdatere computeren på Windows update efter man har standset evt. genstart med shutdown -a i KØR

Kommentar
Fra : xick

Dato : 01-11-04 17:43
Der må have været nogle problemer med Kandu, for jeg har skrevet 3 indlæg før de 2 der er registreret

Men jeg prøver igen: Det er sasser, og den skal fixes med det første link jeg gav, og hvis den ikke fjerner det, kan du prøve med de tools fra 2. link ...

Hvis du ikke kan nå at gøre det der skal til inden systemet lukker ned, kan du annullere nedlukningen ved at åbne en kommandoprompt og skrive shutdown -a .. det gøres sådan: Start > Kør > skriv: cmd > skriv i cmd'en(kommandoprompten): shutdown -a

Kommentar
Fra : Nuserpigen

Dato : 01-11-04 18:06
Hejsa....
Jeg har prøvet sasser removal.... den siger at der ikke er sasser på computeren.... har prøvet både i fejlsikret tilstand og normalt.... når den kommer frem og vil lukke, skriver den C:\WINNT\SYSTEM32\lsass.exe med statuskode 1073741819
Har kørt onlinescan med housecall, og kørt onlinescan med x-cleaner....
Har installeret norton antivirus, den vil kun hente nogle af opdateringerne.....
Den vil ikke køre windows update, den skriver fejl....

Hvad gør jeg så?
format c?

Hilsner fra Nuserpigen


Kommentar
Fra : Nuserpigen

Dato : 01-11-04 18:16
Nu vil Norton ikke slå Auto Protect til... den skriver fejl.....

Kommentar
Fra : xick

Dato : 01-11-04 18:33
Hvis du ikke kan opdatere, kan du evt bestille (eller selv brænde fra en anden computer) en cd med SP2 ...

Har du prøvet alle de tools her: http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html ?

Kommentar
Fra : BjarneD

Dato : 01-11-04 18:39
Det er ikke SP2 der behøves, men SP1

Kommentar
Fra : Nuserpigen

Dato : 01-11-04 20:10
Har fået Norton Auto Protect til og virke....
Sidder ikke ved min veninde´s puter mere.... kommer først til og kigge på den i morgen eller senere....
Men I foreslår og få fat i SP1 og så derefter prøve alle de tools som xick skriver?
Jeg har prøvet et af de tools som xick skriver, men ved desværre ikke hvilken det var, da det var fra en diskette....

Hilsner fra Nuserpigen


Accepteret svar
Fra : xick
Modtaget 500 point
Dato : 01-11-04 21:37
SP2 lukker alle sikkerhedshuller (og dermed også de huller som SP1 lukkede) så derfor burde det virke ved bare at installere SP2 .. SP2 kan som sagt bestilles gratis på en cd, hvis I ikke kan downloade den fra den "syge" computer

//xick

Godkendelse af svar
Fra : Nuserpigen

Dato : 21-11-04 21:25
Tak for svaret xick.
Jeg formaterede..... så nu virker den

Takker for hjælpen

Hilsner fra Nuserpigen
                        

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177547
Tips : 31968
Nyheder : 719565
Indlæg : 6408797
Brugere : 218887
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.