Notifikationer

Markér alle som læst Log ud

sugemallen Nybegynder

12. oktober 2004 - 21:53 Der er 7 kommentarer og
1 løsning

vedr. wmiprvse.exe og 100% cpu usage

Vil en af jer løbe denne hijackthislog igennem, jeg har scannet vores server for virus/adaware uden noget resultat!
Serveren dør mærkeligt nok efter en uges tid med wmiprvse.exe, som belaster systemet for vildt. Jeg er nød til at afslutte processen for at den kører normalt igen!

Logfile of HijackThis v1.97.7
Scan saved at 21:19:34, on 12-10-2004
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
C:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE
C:\Program Files\VERITAS\Backup Exec\NT\beremote.exe
C:\Program Files\SAV\DefWatch.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SBSMONITORING\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SBSMONITORING\Binn\sqlagent.EXE
C:\Program Files\SAV\Rtvscan.exe
C:\Program Files\Microsoft Windows Small Business Server\monitoring\WbLogSvc.exe
C:\WINDOWS\System32\wins.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe
D:\Program Files\Exchsrvr\bin\mad.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Exchsrvr\bin\store.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VERITAS\VxUpdate\VxTaskbarMgr.exe
C:\PROGRA~1\SAV\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\dllhost.exe
c:\windows\system32\inetsrv\w3wp.exe
D:\Program Files\Exchsrvr\bin\exmgmt.exe
e:\fpm\WorkDir\LaserNet.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\logon.scr
C:\WINDOWS\system32\taskmgr.exe
E:\Users Shared Folders\sp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\COMMON~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Program Files\VERITAS\VxUpdate\VxTaskbarMgr.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\VPTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Server Management.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: Opslag (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37940.2680208333
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://xxxxx.webex.com/client/latest/support/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxx.local
O17 - HKLM\Software\..\Telephony: DomainName = xxxx.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{20B08AC5-870C-48EB-920F-0440FF3D781C}: NameServer = 10.1.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{6358B939-31E7-4B79-8C01-4F1CABE790E6}: NameServer = 10.1.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{844891CF-0330-4DE3-9E6A-70460F0B42E5}: NameServer = 10.1.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1B68E67-80C7-47A3-87D0-12F19681ABE4}: NameServer = 10.1.1.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxx.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{20B08AC5-870C-48EB-920F-0440FF3D781C}: NameServer = 10.1.1.5
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxxx.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{20B08AC5-870C-48EB-920F-0440FF3D781C}: NameServer = 10.1.1.5
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxxx.local
O17 - HKLM\System\CS3\Services\Tcpip\..\{20B08AC5-870C-48EB-920F-0440FF3D781C}: NameServer = 10.1.1.5

Synes godt om

sugemallen Nybegynder

12. oktober 2004 - 22:20 #1

det er iøvrigt en sbs2003

Synes godt om

tonnybrandt Nybegynder

13. oktober 2004 - 19:36 #2

Hent denne Kaspersky scanner.
http://danborg.org/spy/mwav/mwav.exe - Virusscanner.

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt

Prøv lige at hente den nyeste version af HiJackThis her:
http://www.spywarefri.dk/vaerktoj.htm
Lav en ny log og kopier den herind.

Synes godt om

sugemallen Nybegynder

14. oktober 2004 - 08:53 #3

Her er den nye log:
Jeg har dog ikke lige kunnet gennemføre scanningen i safe mode!
Vi er jo nogle der skal arbejde her i ferien :o)

Logfile of HijackThis v1.98.2
Scan saved at 08:17:18, on 14/10/2004
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
C:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE
C:\Program Files\VERITAS\Backup Exec\NT\beremote.exe
C:\Program Files\SAV\DefWatch.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SBSMONITORING\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SBSMONITORING\Binn\sqlagent.EXE
C:\Program Files\SAV\Rtvscan.exe
C:\Program Files\Microsoft Windows Small Business Server\monitoring\WbLogSvc.exe
C:\WINDOWS\System32\wins.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe
D:\Program Files\Exchsrvr\bin\mad.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Exchsrvr\bin\store.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VERITAS\VxUpdate\VxTaskbarMgr.exe
C:\PROGRA~1\SAV\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\dllhost.exe
c:\windows\system32\inetsrv\w3wp.exe
D:\Program Files\Exchsrvr\bin\exmgmt.exe

C:\WINDOWS\system32\logon.scr
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
e:\fpm\WorkDir\LaserNet.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\Desktop\hijackthis2.exe
C:\WINDOWS\system32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\COMMON~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Program Files\VERITAS\VxUpdate\VxTaskbarMgr.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\VPTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Server Management.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://xxxxx.webex.com/client/latest/support/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxx.local
O17 - HKLM\Software\..\Telephony: DomainName = xxxxx.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{20B08AC5-870C-48EB-920F-0440FF3D781C}: NameServer = 10.1.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{6358B939-31E7-4B79-8C01-4F1CABE790E6}: NameServer = 10.1.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{844891CF-0330-4DE3-9E6A-70460F0B42E5}: NameServer = 10.1.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1B68E67-80C7-47A3-87D0-12F19681ABE4}: NameServer = 10.1.1.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxx.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{20B08AC5-870C-48EB-920F-0440FF3D781C}: NameServer = 10.1.1.5
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxxxx.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{20B08AC5-870C-48EB-920F-0440FF3D781C}: NameServer = 10.1.1.5
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxxxx.local
O17 - HKLM\System\CS3\Services\Tcpip\..\{20B08AC5-870C-48EB-920F-0440FF3D781C}: NameServer = 10.1.1.5

Synes godt om

tonnybrandt Nybegynder

29. oktober 2004 - 12:45 #4

Sorry, jeg må have misset nogle mails på et tidspunkt for der er nogle spørgsmål jeg ikke har fået mails fra og dette er et af dem.

Disse bør du fixe i HiJackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb

Men ellers er loggen ren.

Synes godt om

sugemallen Nybegynder

29. oktober 2004 - 12:50 #5

Hej Tonny

Tak fordi du lige løb den igennem, hvad gør shdoclc.dll?
Jeg tror nu nok jeg har fundet fejlen! Vores zywall 10 har jeg skiftet ud med en ny 5'er. Problemet ser mærkeligt nok ud til at være væk, men man kan jo aldrig vide sig sikker :o)

Send et svar så gir jeg en omgang point

Synes godt om

tonnybrandt Nybegynder

29. oktober 2004 - 13:44 #6

Velbekomme.

Du har muligvis haft denne virus inde: http://www.sophos.com/virusinfo/analyses/w32sonebotb.html

Den passer rimeligt godt med beskrivelsen, men den er ikke at finde i loggen, så din virusscanner må have nappet den på et tidspunkt.

Den ekstra gennemgang af loggen, vist også at jeg havde overset denne linie:
O14 - IERESET.INF: START_PAGE_URL=http://companyweb

Den skal også lige fixes.

Men her kommer svaret :)

Synes godt om

sugemallen Nybegynder

21. september 2005 - 14:45 #7

Bedre sent end aldrig :o)

Synes godt om

tonnybrandt Nybegynder

21. september 2005 - 14:55 #8

Jeps, takker for point :)

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus	22	26/11/202510:42	23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus	8	31/08/202519:08	01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus	10	03/02/202514:20	04/02/202511:05
mulig ukendt virus Af jackie18 i Virus	3	18/01/202514:07	18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus	13	18/01/202511:40	20/01/202517:53

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS