Søg
Avatar billede pfp Nybegynder
20. april 2004 - 19:34 Der er 25 kommentarer og
2 løsninger

CPU load 100%

Min computer er ekstremt presset, min svchost bruger mellem 80-100% af min CPU kraft.

Jeg har forsøgt at scanne med Panda Antivirus onlinescan (men den blev ved med at give error). Jeg har scannet med online spyware tools fra denne side, men det fandt ingenting. Så ledte jeg lidt i forummet, og læste lidt om Housecall. Jeg har prøvet at scanne med den også og den finder:

WORM_AGOBOT.GEN | CanNotAccess | C:\Windows\system32\svchost.exe
WORM_AGOBOT.CC | Non Cleanable | C:\Windows\system32\winhlpp32.exe

Til sidst har jeg også scannet med hijackThis og det giver følgende:

Logfile of HijackThis v1.97.7
Scan saved at 18:36:23, on 20-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svhosts.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\DavCData.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Peter F. Poulsen.LAPTOP\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe /0
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.5807986111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Nogen gang kommer der også en box frem der siger der en fejl og at den vil lukke min maskine inden for 60 sekunder. Troede egentlig det var blaster, men har hentet et blaster fix fra Microsoft, og XP's indbyggede firewall er slået til, men det gør åbentbart ingen forskel.

Er der nogen der kan hjælpe mig?

På forhånd tak.
Avatar billede arlet Juniormester
20. april 2004 - 19:37 #1
løber den igennem
Avatar billede andersenph Nybegynder
20. april 2004 - 19:37 #2
Løber den igennem for dig
Avatar billede andersenph Nybegynder
20. april 2004 - 19:37 #3
HAHAHA
Avatar billede arlet Juniormester
20. april 2004 - 19:37 #4
hehe so slow*S*
Avatar billede pfp Nybegynder
20. april 2004 - 19:38 #5
Tak til jer begge :)
Avatar billede andersenph Nybegynder
20. april 2004 - 19:39 #6
Arlet kører med klatten jeg trækker mig...
Jeg skal lige tude lidt....
Avatar billede arlet Juniormester
20. april 2004 - 19:39 #7
Flyt først filen Hijackthis til en mappe oprettet kun til den.

Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.


O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe


Find og slet:


C:\WINDOWS\System32\svhosts.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede arlet Juniormester
20. april 2004 - 19:41 #8
andersenph: http://www.soze.dk/tude/  husk lyd
Avatar billede pfp Nybegynder
20. april 2004 - 19:51 #9
Min nye log:
Logfile of HijackThis v1.97.7
Scan saved at 19:50:51, on 20-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\drivers\svchost.exe
C:\Documents and Settings\Peter F. Poulsen.LAPTOP\Skrivebord\HiJack\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [SpySweeper] C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.5807986111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

svhosts.exe kunne ikke slettes, men jeg fandt Dr. Delete frem og den kunne :)
Avatar billede arlet Juniormester
20. april 2004 - 19:53 #10
Fint. Det havde været min næste kommentar at bruge dr.delete, hvis den ikke kunne slettes*S*


Så er du ren og kan aktiver din systemgendannelse igen

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm
Avatar billede pfp Nybegynder
20. april 2004 - 19:56 #11
Tak for hjælpen.

Kan jeg også slå min firewall fra nu. Der er nogle ting som jeg ikke kan pga. af firewallen..
Avatar billede arlet Juniormester
20. april 2004 - 19:57 #12
ja, men jeg anbefaler ikke at slå den fra...

men du kan godt...
Avatar billede stig3 Mester
20. april 2004 - 20:01 #13
husk at opdatere med ms03-039 inden du slår firewallen fra.........ellers går det galt igen.
Avatar billede stig3 Mester
20. april 2004 - 20:02 #14
Den ligger på windowsupdate som arlet henviser til og ellers kan den hentes her:
http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=5fa055ae-a1ba-4d4a-b424-95d32cfc8cba
Avatar billede pfp Nybegynder
20. april 2004 - 20:03 #15
det var så for sent :(

Jeg er ikke "clean" længere, min svchost.exe ligger mellem 70-80% i cpu load.

stig -> hvad er ms03-039?
Avatar billede pfp Nybegynder
20. april 2004 - 20:04 #16
Okay, den installerer jeg lige og så prøver jeg lige at genstarte.
Avatar billede arlet Juniormester
20. april 2004 - 20:08 #17
Prøv lige at genstarte, så skulle den falde til ro.

ellers prøv dette:
klik på Start=>Kør skriv: SFC /scannow  (husk mellemrum mellem SFC og /scannow)
Din windows skive skal sidde i drevet.

Den tjekker og reparer dine systemfiler
Avatar billede pfp Nybegynder
20. april 2004 - 20:13 #18
Jeg har prøvet at genstarte efter jeg deaktiverede firewallen. Jeg prøver lige stigs forslag og så genstarter jeg og så vender jeg tilbage...
Avatar billede stig3 Mester
20. april 2004 - 20:17 #19
Du skal fjerne virussen igen på samme måde som før og med firewall på. Derefter kan du installere opdateringen.

Til sidst kan man så slå firewallen fra, men det er stadig ikke tilrådeligt. Det er bedre at åbne for de porte der er brug for.....
Avatar billede pfp Nybegynder
20. april 2004 - 20:44 #20
Jeg tror umiddelbart det er væk nu, det vil tiden vise....nej nu kom den boks der vil lukke min pc automatisk. Men cpu loaden er helt normal nu
Avatar billede pfp Nybegynder
20. april 2004 - 20:49 #21
Nu er cpu loaden oppe på 100% igen :(
Avatar billede pfp Nybegynder
20. april 2004 - 20:54 #22
stig3 jeg er ikke sikker på at jeg får den sikkerhedspakke installeret rigtigt. Den starter sådan en installationsprocess, og så skriver den "Undersøger konfiguration" eller sådan noget og så lukker den bare uden videre..
Avatar billede pfp Nybegynder
20. april 2004 - 20:56 #23
Jeg har lige scannet med hijackthis igen, og nu ser det hele næsten værre ud syntes jeg:
Logfile of HijackThis v1.97.7
Scan saved at 20:56:28, on 20-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\overproof.exe
C:\WINDOWS\System32\esoh123.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svhosts.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\drivers\svchost.exe
C:\WINDOWS\System32\sndloader.exe
C:\Documents and Settings\Peter F. Poulsen.LAPTOP\Skrivebord\hijack\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\Run: [OverProof Loader] overproof.exe
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\RunServices: [OverProof Loader] overproof.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.5807986111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede stig3 Mester
20. april 2004 - 21:03 #24
ups ja alle dem under runservices:
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\Run: [OverProof Loader] overproof.exe
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\RunServices: [OverProof Loader] overproof.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe

er forskellige varianter af gaobot/agobot

Den måde jeg synes det er nemmest at fjerne dem på er at starte op i fejlsikret med netværk og køre www.bitdefender.com. Den pleje at tage dem. Derefter tager du netkablet ud, genstarter, sætter firewall på og sætter netkablet i igen.

Du kan så installere ms03-039 fra linket jeg gav før.
Avatar billede pfp Nybegynder
20. april 2004 - 22:41 #25
Nu tror jeg endelig at jeg er clean. Jeg forsøgte BitDefender men den fandt ingenting. Jeg brugte så istedet Dr. Delete til at slette filerne manuelt. Genstartede og kørte den opdatering som stig henviste til, og denne gang gennemførte den installeringsprocessen.

Så nu må jeg bare vente og se om maskinen holder sig "clean".

Jeg må nok hellere installere den sikkerhedspakke som du nævner arlet.

stig -> Smid et svar så i kan dele point.

Tusind tak for hjælpen begge to.
Avatar billede stig3 Mester
20. april 2004 - 22:44 #26
oki - tillykke med din "nye" maskine :)
Avatar billede pfp Nybegynder
20. april 2004 - 23:47 #27
Tak! :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 16:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
I går 14:50 Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
15/0511:50 Vælg indstilling - blå skærm med med flere muligheder for fejlretning Af Uvanga i Windows
14/0523:24 Google sheets beregning udfra dato Af rickiegrayholm i Office & Kontorpakker
White papers
Flere white papers »