Hvilke problemer oplever du?

Prøv eventuelt Stinger: http://vil.nai.com/vil/stinger/

Hej

Windows forsøger at lukke ned, når jeg går på nettet. lsass.exe er beskeden på skærmen.

Har kørt spybot, stinger og hijackthis og har sendt log-filen…

Mvh nørrelund

Kopier logfilen herind i tråden, så kigger vi på den i morgen. Forum lukker her fra midnat og 3 timer frem, mens der ryddes op.

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/LEXBCES.EXE
C:/WINDOWS/Explorer.EXE
C:/WINDOWS/system32/LEXPPS.EXE
D:/Norton/Navw32.exe
C:/WINDOWS/system32/spoolsv.exe
C:/Program Files/Common Files/Symantec Shared/ccSetMgr.exe
D:/Norton/AdvTools/NPROTECT.EXE
C:/Program Files/Common Files/Symantec Shared/CCPD-LC/symlcsvc.exe
C:/Program Files/Common Files/Symantec Shared/ccEvtMgr.exe
C:/Program Files/Winamp/Winampa.exe
C:/WINDOWS/System32/spool/DRIVERS/W32X86/2/printray.exe
C:/Program Files/Common Files/Symantec Shared/ccApp.exe
C:/WINDOWS/System32/ctfmon.exe
C:/Program Files/Messenger/msmsgs.exe
C:/Program Files/Internet Explorer/iexplore.exe
D:/Norton/navapsvc.exe
D:/Norton/SAVScan.exe
D:/HijackThis.exe

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = http://find.tdconline.dk/msie_google.php
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.tdconline.dk/start
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://www.tdconline.dk/start
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:/Norton/NavShExt.dll
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:/Norton/NavShExt.dll
O4 - HKLM/../Run: [WinampAgent] “C:/Program Files/Winamp/Winampa.exe”
O4 - HKLM/../Run: [PrinTray] C:/WINDOWS/System32/spool/DRIVERS/W32X86/2/printray.exe
O4 - HKLM/../Run: [ccApp] “C:/Program Files/Common Files/Symantec Shared/ccApp.exe”
O4 - HKLM/../Run: [Advanced Tools Check] D:/Norton/AdvTools/ADVCHK.EXE
O4 - HKLM/../Run: [UserFaultCheck] %systemroot%/system32/dumprep 0 -u
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - HKCU/../Run: [MSMSGS] “C:/Program Files/Messenger/msmsgs.exe” /background
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000
O9 - Extra ‘Tools’ menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra ‘Tools’ menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.tdconline.dk/start
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM/System/CCS/Services/Tcpip/../{1280C1B8-0C53-49A0-91DB-B83E32F54607}: NameServer = 193.162.153.164 194.239.134.83
O17 - HKLM/System/CS1/Services/Tcpip/../{1280C1B8-0C53-49A0-91DB-B83E32F54607}: NameServer = 193.162.153.164 194.239.134.83

det øverste af din log mangler, så vi kan ikke se dit styresystem, samt om det er opdateret. Det er vigtigt at vi får det øverste med også.

Logfile of HijackThis v1.97.7
Scan saved at 20:09:29, on 17-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/LEXBCES.EXE
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/system32/LEXPPS.EXE
C:/WINDOWS/Explorer.EXE
C:/Program Files/Common Files/Symantec Shared/ccSetMgr.exe
D:/Norton/AdvTools/NPROTECT.EXE
C:/Program Files/Winamp/Winampa.exe
C:/WINDOWS/System32/spool/DRIVERS/W32X86/2/printray.exe
C:/Program Files/Common Files/Symantec Shared/ccApp.exe
C:/WINDOWS/System32/ctfmon.exe
C:/Program Files/Messenger/msmsgs.exe
C:/Program Files/Common Files/Symantec Shared/CCPD-LC/symlcsvc.exe
C:/Program Files/Common Files/Symantec Shared/ccEvtMgr.exe
D:/HijackThis.exe

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = http://find.tdconline.dk/msie_google.php
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.tdconline.dk/start
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://www.tdconline.dk/start
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:/Norton/NavShExt.dll
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:/Norton/NavShExt.dll
O4 - HKLM/../Run: [WinampAgent] “C:/Program Files/Winamp/Winampa.exe”
O4 - HKLM/../Run: [PrinTray] C:/WINDOWS/System32/spool/DRIVERS/W32X86/2/printray.exe
O4 - HKLM/../Run: [ccApp] “C:/Program Files/Common Files/Symantec Shared/ccApp.exe”
O4 - HKLM/../Run: [Advanced Tools Check] D:/Norton/AdvTools/ADVCHK.EXE
O4 - HKCU/../Run: [CTFMON.EXE] C:/WINDOWS/System32/ctfmon.exe
O4 - HKCU/../Run: [MSMSGS] “C:/Program Files/Messenger/msmsgs.exe” /background
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000
O9 - Extra ‘Tools’ menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra ‘Tools’ menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.tdconline.dk/start
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

Hej Noerrelund

Din log ser pæn ud. Prøv lige at køre denne kommando her, som vil rep. evt. ødelagte eller mistede filer.

Gå i start - kør - skriv: sfc /scannow - tast enter
Din Xp cd skal ligge i drevet under denne kommando her.
Og det mellemrum mellem sfc og / skal være der.

Hjalp det dig?

har lige fundet ud af at det er w32.sasser wormen der er på maskinen.

Hvorfor har jeg ikke en knap i system properties der hedder system restore eller remote. De er væk????

Mvh Nørrelund

Hej Noerrelund

Lige før lå den orm ikke på din maskine, men det kan komme hurtigt det skidt. Har du prøvet at køre den sfc?

Jep og jeg har genstartet, har fundet et removal tool på symantecs hjemmeside, men den fandt ikke nogen orm.

Mærkeligt….?

Jeg har dog stadig samme problem… Fejlen hedder lsass.exe og kommer ganske kort tid efter jeg logger på nettet.
Den stooper jeg så med run -> shutdown -a…

Nu prøver jeg at installere windows updates, for at se om det hjælper..

Har du/I andre idéer…?

Mvh Anders

Hej igen

Det lyder bare så underligt det der, for jeg kan heller ikke se den i din log. Prøv at køre med maskinen i dag, sørg for at køre den sfc (det har du vist gjort) få opdateret windows og så kan du også med fordel lukke for dcom: http://www.spywarefri.dk/tipsogtricks.htm#DCom prøv så at se hvad der sker, og kom gerne med en ny log, men vent til i morgen, når du har surfet lidt på Nettet.

Har du stadig problemer, eller er det tid til at lukke spørgsmålet igen?