Har jeg Sasser?

[B0hemen]

Jeg har søkt litt rundt, men finner ikke noe som virker så lager et nytt emne her.

 

Jeg tror jeg har fått Sasser, men jeg finner det ikke og får da heller ikke fjernet det.

 

Windows kjører normalt og så plutelig kommer det opp en melding (se bilde) trykker jeg Dont Send popper den 60-sekunder-saken (teller ned og slår av maskinen) opp, trykker jeg ikke går det noen minutter og så popper den opp like vel. Klarer å avbryte at den slår av maskinen ved run: shutdouwn -a, men etter det er systemet veldig ustabilt. Alle programmer slutter ganske raskt å fungere (Dont respond).

 

Når jeg søker gjennom med AVG finner den ingen virus, det samme gjelder et lite program fra Microsoft som sjekker om du har Sasser; den finner heller ingenting.

 

Kjører jeg Symantec FxSasser, finner den heller ingenting.

 

 

Noen tips??

 

[Jarmo]

Kan være MS-Blaster også...

http://www.avast.com/eng/avast-virus-cleaner.html

[norbat]

Hva med å kjøre en systemgjenoppretting til en dato der ting og tang virket ok? (tilbehør->systemverktøy->systemgjenoppretting)

 

Sjekk i prosesslisten (i oppgavebehandleren) om det er 'ukjente' prosesser som kjører / bruker mye cpu. Sjekk prosessnavnet (bruk google) og evt. steng det av/fjern det manuelt.

 

Last ned f.eks. DrWeb eller Mwav, begge såkalte 'engangsscannere'. Kjør programmet/ene fra sikker modus (tapp f8 under oppstart)

 

Post en Hijackthis-logg, så kanskje vi kan se hva som rører seg i det skjulte

Endret 16. januar 2007 av norbat

[B0hemen]

hijackthis.log

 

Der er HijackThis-loggen.. noen som ser noe skummelt?

 

Kjørte Avast Virus Cleaner nå. Den fant heller ingen ting, men det ironiske er at 60-skunderssaken poppet opp under søket, fikk stoppet den, men Avast fant altså ingenting.

Endret 16. januar 2007 av B0hemen

[norbat]

Last ned SAS, installer og oppdater. Lukk programmet.

 

Last ned DrWeb (se tidligere lenke)

 

Kjør HJT og fix:

O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\system32\imtqodk.dll (file missing)

O9 - Extra button: (no name) - {A4F64D63-3576-4754-8DD5-4D0A49345FD5} - (no file) (HKCU)

 

 

Restart i sikker modus (tapp f8 under oppstart)

 

Kjør drweb-cureit.exe (si ja til å kjøre en express scan)

Når dette er ferdig klikker du på Option -> Change settings.

Under fanearket Scan, fjerner du haken ved Heuristic analysis.

Under fanearket Actions, skal alle punkt under Malware settes til Rename.

Velg partisjon du vil scanne og klikk deretter på den grønne pilen for

å starte scanningen. Velg "yes to all" når det finner noe for første gang.

 

Kjør en full scan med SAS.

 

Restart i normal modus og post en ny HJT-logg (gjerne i dette forumet ) og evt. SAS-loggen (preferences->statistics/logs) om den finner noe annet enn cookies.

 

EDIT: PS! Du har spor av noen trojanere, men tvilsomt om dette er årsaken til nedtellingen. Det kan være noe som ligger skjult. Du kan prøve å laste ned og kjøre Combofix (fra normal modus). Den lager en logg som kunne vært interessant og sett.

 

EDIT2: Før du poster en evt. ny HJT-logg, forandrer du hijackthis.exe til noe annet, eks. test.exe før du kjører programmet.

Endret 16. januar 2007 av norbat

[B0hemen]

hijackthis2.log

 

Tusen takk for hjelp. Fulgte oppskriften din og DrWeb fant 2 Adware og SAS fant 1 (BHO).

 

Får bare vente litt og se om den popper opp igjen.. hvis den gjør det gir jeg opp og tar en formatering.

 

Edit: det har gått over 1 time nå uten at noe har skjedd, så kan se ut som det funket

Endret 17. januar 2007 av B0hemen

[norbat]

Kjør HJT og fix

O9 - Extra button: (no name) - {A4F64D63-3576-4754-8DD5-4D0A49345FD5} - (no file) (HKCU)

 

Last ned CCleaner og kjør en rens (+ noen ganger 'saker')

 

Restart og se om linja fortsatt ligger i HJT- loggen. Hvis, kan vi ta den fra registeret.