Isass.exe?

Prøv følgene link: http://www.eksperten.dk/spm/496452 :)

Som du allerede har fået at vide én gang:
http://www.eksperten.dk/spm/577614

...isass.exe er virus, og bør fjernes. Gør sådan her:

Download Hijackthis:
http://danborg.org/spy1/HJT/hijackthis.exe

Kør Hijackthis.exe fra en mappe som du opretter til formålet:
Klik på "Do a systemscan and save a logfile"
(det kan være at du bliver ført direkte ind til hovedprogrammet - så klikker du bare Scan - save log)
Kopiér indholdet af denne logfil herind i denne tråd.
Jeg vil fraråde at du selv begynder at fixe noget.

(det ville også være fint, hvis du lige lukker den anden tråd)

Ved godt den her er skrevet med lille i, men er det samme! ;-)

Evindh har ret med hensyn til spørgsmålene. Hvis ikke du ved hvordan man lukker en tråd kan du ses her: www.expfaq.1go.dk :)

Hey Ejvindh...

Har lukket det andet spørgsmål om isass.exe...
har hente programmet osv.. hva gør jeg så, når jeg har logfilen osv.. ?

Logfile of HijackThis v1.99.1
Scan saved at 16:59:34, on 05-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\pia\Skrivebord\virus\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://exp.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Jeg kigger den lige igennem.

ok

Hva virkede mit ikke ? :S

Hmm. Der er faktisk ikke tegn på skidt i din log. Du har en lsass.exe, men den er helt legal (modsat isass.exe).

Du kan lige fixe denne linie, men det er mest oprydning, fordi det ser ud til at være en rest fra noget, der er blevet fjernet:

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked.
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

Hvis du vil være helt sikker på, om der er snavs på computeren, så prøv at køre denne scanner, og meld tilbage hvad den finder:

Download og gem denne scanner på skrivebordet. http://www.spywareinfo.dk/download/mwav.exe
Genstart til fejlsikret tilstand. Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files. Klik på scan clean. Når scanneren er færdig med at scanne, så kopier indholdet af vinduet "Virus Log Information" herind (marker det, og tast ctrl-c)

-aco-
hehe... nu prøver jeg lige Ejvindh´s først ;)

Ejvindh..

Okay... det lyder da altid godt det ikk er en ondsindet virus..
meeen står sku li i madlavningen.. så jeg melder tilbage om en halvanden times tid er det okay... så ska du nok få dine point hvis den er go.. :)

Ejvindh..

har kørt programmet igen, og sat flueben ved linjen
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file).
og klikket på fixed checked...

men i joblisten er Isass.exe der stadig ??

og har haft genstartet computeren..

Er du sikker på, at det ikke er Lsass.exe, der er i joblisten. HJT-listen gengiver jo også joblisten, og her er kun Lsass.exe -- og ikke isass.exe

Men ellers så prøv at køre mwav, og se om den finder noget, som jeg ikke kan se i loggen :-)

Jeg er også lidt væk nu, men vender tilbage senere i aften :-)

jep.. det er jeg... se her:

Logfile of HijackThis v1.99.1
Scan saved at 17:45:58, on 05-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\pia\Skrivebord\virus\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://exp.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mærkeligt ikk!?

C:\WINDOWS\system32\lsass.exe    er altså LSASS.EXE  (bare med små bogstaver) og den SKAL være der.

hahaha :D okay tak for det catbody...

tak for hjælpen pale

ligesom system32 er med et lille s så er lsass med et lille l.
lsass er den process der checker dit password og tildeler dig brugerrettigheder i Windows. Det er en nødvendig komponent som Windows ikke kan fungere uden.
Det står for Local Security Authority Subsystem Service

du kan også læse om den her:  http://www.answersthatwork.com/Tasklist_pages/tasklist_l.htm  (scroll ned til Lsass (1)
Helt generelt står der en masse om Task List Programs her: http://www.answersthatwork.com/Tasklist_pages/tasklist.htm

hvis lsass.exe ligger et andet sted, er det stor sandsynlighed for at det er en virus, men din ligger det helt rigtige sted :o)

Som hcma og strych9 påpeger, så er den sidste log også ren.Godt at det blev opklaret :-) -- jeg kan trøste dig med, at du ikke er den første, der begår denne fejl ;-D

Jeg takker for point. Det var jo en rundhåndet uddeling for ikke så meget arbejde, så hvis der er andre i tråden, der godt ville have haft andel i dem, siger I bare til.

jeg holder mig ydmygt tilbage :o)

nah... kom jo egentlig først da det hele var overstået... Det er ligemeget.