Søg
Avatar billede mads375 Juniormester
13. december 2003 - 23:39 Der er 16 kommentarer og
1 løsning

kan ikke fjerne svchost.exe

Hej alle sammen.
Jeg håber virkelig i kan hjælpe mig.
jeg bruger Windows XP Pro Dansk.
Jeg kan ikke opdatere Windows og jeg har fundet ud af at de skyldtes en virus. Min virus scanner "Mcafee 7.o" fandt "gaobot worm" og jeg slettede dem selvfølgelig. Jeg har siddet i dagevis nu og har prøvet alle ting, været inde og downloade programmer, læst om det og om hvordan man fjerner resterne af den "sådan som jeg forstår det". Jeg har prøvet at slette hele min harddisk 2 gange og installeret Windowes igen, men den er der med det samme igen eller rettere sagt: Der står noget med (RPC og computeren lukker om 1 min). Hvis jeg går ind i taskmanager og prøver at afslutte "svchost.exe" popper den bare op igen og den begynder at tælle ned.
Hvad gør jeg? hvordan får jeg det væk?, jeg er ved at blive sindsyg over det??..

M.V.H
Mads
Avatar billede arlet Juniormester
13. december 2003 - 23:39 #1
Du har fået besøg af blaster ormen eller en variant

1. Klik start og klik kør
2. Skriv i feltet : shutdown -a

så genstarter den ikke mere

luk først Dcom http://grc.com/files/DCOMbob.exe
Kør det, tryk på fanebladet "DCOMbobulate me" tryk på "Disable DCOM" og genstart
læs mere om dcom her : http://www.spywarefri.dk/tipsogtricks.htm#DCom


Windows har nogle huller, som blaster og andre virusser angriber igennem,
de kan lukkes ved at hente samtlige opdateringer på windows update


hent disse 2 updates
blaster sikkerhedsbristen : http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
sp1 : http://www.it-service.sdu.dk/vis.php?side=84


Så er der lukket af for yderligere angreb af blasterormen,


Prøv først at slette blasterormen med stinger http://vil.nai.com/vil/stinger/ det sker engang i mellem at stinger ikke finder den, så må vi ty til hijackthis.

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm
Avatar billede mads375 Juniormester
14. december 2003 - 00:11 #2
Det var et hurtigt svar, mange tak for det.

Logfile of HijackThis v1.97.7
Scan saved at 00:09:04, on 14-12-2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Network Associates\Common Framework\FrameworkService.exe
C:\Programmer\Network Associates\VirusScan\Mcshield.exe
C:\Programmer\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Virus\Winrar\WinRAR.exe
C:\Programmer\Virus\Winrar\WinRAR.exe
C:\DOCUME~1\AL\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.008i.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.008i.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.008i.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.008i.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.008i.com/search.html
R3 - URLSearchHook: ViewSource Class - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\Documents and Settings\AL\Application Data\winshow\winshow.dll
O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\Documents and Settings\AL\Application Data\winshow\winshow.dll
O2 - BHO: winlink module - {6CC1C91A-AE8B-4373-A5B4-28BA1851E39A} - C:\Documents and Settings\AL\Application Data\winlink\winlink.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programmer\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37966.4876157407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
14. december 2003 - 00:13 #3
Løber den lige igennem
Avatar billede mads375 Juniormester
14. december 2003 - 00:16 #4
Arlet du er en gud
Avatar billede arlet Juniormester
14. december 2003 - 00:21 #5
Tak tak*S*

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.008i.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.008i.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.008i.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.008i.com/search.html
R3 - URLSearchHook: ViewSource Class - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\Documents and Settings\AL\Application Data\winshow\winshow.dll
O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\Documents and Settings\AL\Application Data\winshow\winshow.dll
O2 - BHO: winlink module - {6CC1C91A-AE8B-4373-A5B4-28BA1851E39A} - C:\Documents and Settings\AL\Application Data\winlink\winlink.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede mads375 Juniormester
14. december 2003 - 00:36 #6
Logfile of HijackThis v1.97.7
Scan saved at 00:34:33, on 14-12-2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Network Associates\Common Framework\FrameworkService.exe
C:\Programmer\Network Associates\VirusScan\Mcshield.exe
C:\Programmer\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programmer\Virus\Winrar\WinRAR.exe
C:\DOCUME~1\AL\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programmer\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37966.4876157407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
14. december 2003 - 08:48 #7
Du er ren nu og kan aktiver din systemgendannelse igen

Kan se at du ikke har installeret SP1 til windows, det er meget vigtigt, ellers er der mulighed for at ormen kommer tilbage

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende freeware programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Empty Temp Folders

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, Du kan følge med hvornår programmet sidst er opdateret nederst på www.spywarefri.dk.

Det er meget vigtigt at du også holder dit windows og IE opdateret.

du skal lige sørge for at få lukket Dcom. Her kan du se hvordan du skal gøre det : http://www.spywarefri.dk/tipsogtricks.htm#DCom

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.
Avatar billede mads375 Juniormester
14. december 2003 - 13:45 #8
Mange mange tak for hjælpen, men jeg kan stadigvæk ikke downloade updates fra Windows Update, der står der er en update fejl.
det er ikke sådan du har lyst til at prøve at lave det over fjernsupport eller se om du kan se hvad der er galt?
Jeg vil meget gerne give dig penge for det.
M.V.H
Mads
Avatar billede arlet Juniormester
14. december 2003 - 13:48 #9
Hent først sp1 her : http://www.it-service.sdu.dk/vis.php?side=84
Avatar billede arlet Juniormester
14. december 2003 - 13:49 #10
Den henter du ned og installerer, så skulle du kunne hente det fra windows update, det sidste
Avatar billede mads375 Juniormester
14. december 2003 - 14:01 #11
Den har jeg hentet:
Logfile of HijackThis v1.97.7
Scan saved at 14:00:59, on 14-12-2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\DeltTray.exe
C:\Programmer\Diverse Download\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Network Associates\Common Framework\FrameworkService.exe
C:\Programmer\Network Associates\VirusScan\Mcshield.exe
C:\Programmer\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\DavCData.exe
C:\Programmer\Virus\Winrar\WinRAR.exe
C:\DOCUME~1\AL\LOKALE~1\Temp\Rar$EX00.828\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\PROGRA~1\DIVERS~1\POPUPS~1\POPUPP~1\PopLib.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Diverse Download\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37966.4876157407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede mads375 Juniormester
14. december 2003 - 14:02 #12
Den skulle da gerne være installeret???.
M.V.H
Mads
Avatar billede arlet Juniormester
14. december 2003 - 14:04 #13
ja, det er den i den sidste log.

Så prøv og gå ind og opdater og hvis den kommer med en fejl, så skriv det ned og læg det ind her, så kan jeg måske hjælpe dig
Avatar billede mads375 Juniormester
14. december 2003 - 14:07 #14
Windows Update-fejl

Windows Update har opdaget en fejl og kan ikke vise den anmodede side.

Vælg en af følgende sider for at få oplysninger om Windows Update-tjenester, eller send os feedback.

Startside for Windows Update
Om Windows Update
Supportoplysninger



Du kan også få onlinesupport, hvis du har problemer med Windows Update.


Send fejlnummer til Microsoft (0x800A138F)
Bemærk! Dermed sendes oplysninger om fejlen, men der oprettes ikke en supportrapport. Du modtager måske eller måske ikke et svar.
Avatar billede arlet Juniormester
14. december 2003 - 14:08 #15
Prøv lige at klikke på uret nede i hjørnet og se om datoen står rigtigt, eller ret datoen og så kører det..
Avatar billede mads375 Juniormester
14. december 2003 - 14:11 #16
AAAAAAAAAAAAAAAAAAAAARRRRRRRRRRRRRRRRRRRRRGGGGGGGGGGGGGGGGGGGGGGGGGGGGHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH.

DET VIRKER NU.
MANGE TAK FOR HJÆLPEN; DU ER VIRKELIG EN GUD. TAK FORDI DU TOG TIDEN TIL DET.
MANGE MANGE TAK.
M.V.H
MADS
Avatar billede arlet Juniormester
14. december 2003 - 14:20 #17
Hehe, du er ikke den første*S*

Velbekommen og tak for point
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 11:00 IIS på Win10 64 bit Af bsn i Webservere
I går 09:01 Bitlocker Af Chevy396 i Windows
18/0501:57 Tjek alle checkbox i form Af bsn i ASP
17/0521:35 Lidt simpel (håber jeg) Photoshop hjælp Af fcs i Billedbehandling
16/0516:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
White papers
Flere white papers »