/ Forside/ Teknologi / Operativsystemer / MS Windows / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
Problemer med svchost.exe
Fra : GTD
Vist : 787 gange
40 point
Dato : 30-12-03 22:26

Filen genere en fejl så jeg ikke kan bruge link og lukke forbindelsen, men jeg har følgende log fra HiJackThis

Logfile of HijackThis v1.97.7
Scan saved at 17:37:45, on 30-12-2003
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\RunDll32.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINNT\loadqm.exe
C:\Programmer\PopUp Killer\popupkiller.EXE
C:\Programmer\Fælles filer\CMEII\CMESys.exe
C:\WINNT\System32\internat.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Fælles filer\GMT\GMT.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\CyberLink\PowerDVD\PowerDVD.exe
C:\WINNT\system32\svchost.exe
C:\Documents and Settings\Kristian Pedersen\Skrivebord\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Programmer\PopUp Killer\popupkiller.EXE
O4 - HKLM\..\Run: [CMESys] "C:\Programmer\Fælles filer\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: GStartup.lnk = ?
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37981.3939351852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Er der nogen der kan hjælpe?

 
 
Kommentar
Fra : arlet


Dato : 30-12-03 22:28

Ja, jeg skal nok løbe den igennem

Kommentar
Fra : arlet


Dato : 30-12-03 22:31

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Du skal åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programmer\Fælles filer\CMEII\CMESys.exe"
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab



Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\WINNT\loadqm.exe
C:\Programmer\Fælles filer\CMEII\CMESys.exe
C:\Programmer\Fælles filer\GMT\GMT.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.



Kommentar
Fra : Lasse_Madsen


Dato : 30-12-03 22:46

Hej Arlet...

Der er lige en, som jeg ikke lige kan finde ud af, bruges til i den der HijackThis-log, men jeg venter lige til den nye log kommer...

Kommentar
Fra : GTD


Dato : 30-12-03 23:05

ny log

Logfile of HijackThis v1.97.7
Scan saved at 23:01:06, on 30-12-2003
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\RunDll32.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\PopUp Killer\popupkiller.EXE
C:\WINNT\System32\internat.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Kristian Pedersen\Skrivebord\HijackThis.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Programmer\PopUp Killer\popupkiller.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: GStartup.lnk = ?
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37981.3939351852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab



Kommentar
Fra : Lasse_Madsen


Dato : 30-12-03 23:07

-> Arlet

Hvad er det for en fil:

O4 - Global Startup: GStartup.lnk = ?

Kommentar
Fra : GTD


Dato : 30-12-03 23:09

Den lavede en fejl da jeg startede op igen noget med et netwærksdrev der mangler eller noget

Kommentar
Fra : arlet


Dato : 30-12-03 23:12

Lasse_madsen -> Den betyder ikke noget, når der ikke står noget efter, men den bliver brugt meget af gator, og så er det snavs, men man kan roligt fixe den.

GTD-> skal fixes:
O4 - Global Startup: GStartup.lnk = ?

genstart og ny log


Kommentar
Fra : Lasse_Madsen


Dato : 30-12-03 23:15

-> Arlet

Jeg undrede mig også over, at du ikke fixede den, jeg er nybegynder i HijackThis, og er begyndt ved at læse dem, der ligger ind i spywarefri's forum...

Kommentar
Fra : arlet


Dato : 30-12-03 23:18

Lasse_Madsen ->

Det var holdet bag spywarefri, der "lærte mig op" i hijackthis tydning.

Ang filen, så er det gator, når den ser sådan ud:

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe


Kommentar
Fra : GTD


Dato : 30-12-03 23:20

ny log

Logfile of HijackThis v1.97.7
Scan saved at 23:15:05, on 30-12-2003
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\RunDll32.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\PopUp Killer\popupkiller.EXE
C:\WINNT\System32\internat.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Kristian Pedersen\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Programmer\PopUp Killer\popupkiller.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37981.3939351852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab



Kommentar
Fra : Lasse_Madsen


Dato : 30-12-03 23:21

Arlet ->

Man lærer meget af dem, jeg læser HijackThis-loggen, prøver på at finde ud af, hvad det er for nogle, der er spyware, og kigger så bagefter på facittet, for jeg tager selvfølgelig kun de logs, hvor der er blevet skrevet facittet...

Kommentar
Fra : arlet


Dato : 31-12-03 10:41

lasse_madsen-> Det er også den bedste at starte sådan. Så kan man begynde at skrive dem op man ser hver gang, så har man lige pludselig en god lille samling, som der først bliver kigget igennem og så google bagefter..

GTD -> Så er du ren

Husk at hente Service Packs 4 til dit windows, du kan hente den her: http://www.it-service.sdu.dk/vis.php?side=84

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende freeware programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Empty Temp Folders

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, Du kan følge med hvornår programmet sidst er opdateret nederst på www.spywarefri.dk.

Det er meget vigtigt at du også holder dit windows og IE opdateret.

du skal lige sørge for at få lukket Dcom. Her kan du se hvordan du skal gøre det : http://www.spywarefri.dk/tipsogtricks.htm#DCom

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.

Kommentar
Fra : Lasse_Madsen


Dato : 31-12-03 12:08

Arlet-> Hvorfor anbefaler du ikke den pakke, som Spywarefri har lavet, der ligger på denne URL-adresse:
http://www.spywarefri.dk/pakken.htm ???

Kommentar
Fra : Prikken


Dato : 31-12-03 12:15

Hej!

Husk, ifølge Symantec, så skyldes den mest hyppigste årsag til fejl i svchost.exe vira....

Accepteret svar
Fra : arlet

Modtaget 40 point
Dato : 31-12-03 12:18

Lasse_Madsen -> Den er meget omfattende den pakke og ved at hvis man nøjes med at installer de programmer, som jeg nævner er man godt nok sikret.

Men man kan altid beskytte sig bedre, men jeg har disse programmer installeret og jeg kan ikke få snavs ind, så den virker..

Men jeg syntes da du skal henvise til den pakke, for der er absolut ikke no´get galt med den*S*

Kommentar
Fra : arlet


Dato : 31-12-03 12:19

Prikken-> Hvor har du det fra???

Det har jeg også læst og det er også rigtigt, men jeg kan ikke finde den artikel mere, har du et link??

Kommentar
Fra : Prikken


Dato : 02-01-04 01:15

GODT NYTÅR ALLE SAMMEN!!!
Arlet-> Gå ind på securityresponse.symantec.com og søg under virusdefinitioner efter "svchost.exe" så får man 46 hits om forskellige vira... - desværre!

Hvis man kigger sig lidt omkring på de fundne sider, finder man også MSBlaster-virussen.... Jeg har selv haft den! Jeg har fået fjernet virussen, men svchost bliver ved med at melde fejl. Hvis man kigger i proceslisten i Win2k, kan man se at svchost kører 2 gange - hvilket skyldes virussen - selv om den allerede er blevet fjernet. Nu er jeg ikke så stærk i hijackthis (har aldrig prøvet det), men hvis det kan hjælpe på min maskine, så prøver jeg gerne :)

Kommentar
Fra : arlet


Dato : 02-01-04 12:02

Prikken->
Den svchost der er i din jobliste er en legal systemfil, der ikke må slettes..

Det er ikke nemt med de svchost...

Et eksempel.

c\windows\system32\svchost.exe Legal fil
c\windows\system32\scvhost.exe Snavs
c\windows\svchost.exe Snavs

Så det er et spørgsmål om hvor de ligger.

Tilbage til den med svchost i joblisten. Det er ikke unarturligt at der er op til 5 af dem i joblisten.

Du kan læse mere her : http://www.svein.dk/Visartikler.asp?ART_id=110&S_Menu=1

Kommentar
Fra : Prikken


Dato : 03-01-04 00:08

arlet->
Tak, det vidste jeg ikke. Det hjælper jo en del i fejlsøgningen....
Tak!

Godkendelse af svar
Fra : GTD


Dato : 09-01-04 21:38

Tak for svaret arlet.
                        

Kommentar
Fra : emesen


Dato : 09-01-04 21:45

Jeg takker også, for nu har jeg sagt ja til filen, som min "norman" har spurgt om et par gange.
>> c\windows\system32\svchost.exe<< Legal fil
Emesen.


Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177551
Tips : 31968
Nyheder : 719565
Indlæg : 6408825
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste