|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
Creative5
HV kasutaja
liitunud: 15.03.2006
|
06.08.2006 23:29:44
Viiruse eemaldamine |
|
|
Arvutis on pikemataega olnud minu kahtlustada viirus sees.
Kandes nime svchost.exe ja troojahobu ka - csrrs.exe!
Minu otsingute ja info järgi on need viirused=mis segavad oluliselt minu, kui arvuti töökiirust!!!
(need on ikka ju viirused?!)
Kuidas ma neist lahti saan? Kus nad täpsemalt asuvad.
Nod32 ja muu ei leia ega kaota neid. Nii Windowsis, ega Safe modes.
Lisan siia ka igaks juhuks...
Logfile of HijackThis v1.99.1
Scan saved at 18:56:27, on 28.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAheadInCDInCDsrv.exe
C:Program FilesEsetnod32krn.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32svchost.exe
C:WINDOWShtpatch.exe
C:WINDOWSSystem32RunDll32.exe
C:Program FilesAheadInCDInCD.exe
C:Program FilesCommon FilesRealUpdate_OBrealsched.exe
C:Program FilesEsetnod32kui.exe
C:WINDOWSSystem32LVCOMSX.EXE
C:Program FilesLogitechVideoLogiTray.exe
C:Program FilesWinampwinampa.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesSAGEMSAGEM F@st 908-948dslmon.exe
C:Program FilesLogitechVideoFxSvr2.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSSystem32wuauclt.exe
C:HijackThisHijackThis.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.neti.ee/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.neti.ee/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.neti.ee/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.neti.ee/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://www.neti.ee/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://www.neti.ee/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:Program FilesCanonEasy-WebPrintToolband.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesMSN Toolbar1.01.2607.0en-usmsntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [HTpatch] C:WINDOWShtpatch.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [InCD] C:Program FilesAheadInCDInCD.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesSlySoftCloneCDCloneCDTray.exe" /s
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [nod32kui] "C:Program FilesEsetnod32kui.exe" /WAITSERVICE
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSSystem32LVCOMSX.EXE
O4 - HKLM..Run: [LogitechVideoRepair] C:Program FilesLogitechVideoISStart.exe
O4 - HKLM..Run: [LogitechVideoTray] C:Program FilesLogitechVideoLogiTray.exe
O4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKCU..Run: [Registry Cleaner Scheduler] "C:Program FilesCleanMyPCRegistry CleanerRCScheduler.exe" /startup
O4 - HKCU..Run: [LogitechSoftwareUpdate] "C:Program FilesLogitechVideoManifestEngine.exe" boot
O4 - Startup: Adobe Gamma.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = C:Program FilesXfireXfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 908-948dslmon.exe
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_Print.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLMSystemCCSServicesTcpip..{F1C57F1D-ACBF-453C-A9D5-B71FFEDE5C73}: NameServer = 194.126.115.18 194.126.101.34
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O21 - SSODL: Dnscache - {D0F80A30-C6D2-5657-77F0-F3B6CA837701} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:Program FilesAheadInCDInCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:Program FilesEsetnod32krn.exe
O23 - Service: Window update (WinUpdate) - Unknown owner - C:WINDOWSSystem32update32.exe (file missing)
Ja see CPU on vahel lambist lausa laes 100% Just svchost.exe töttu 
Lisan illustratsiooni
Ja see CPU on vahel lambist lausa laes 100% Just svchost.exe töttu
Osakte midagi soovitada? Mis sellest logist arvate?
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
   |
:: |
1 :: |
0 :: |
0 |
|
| tagasi üles |
|
 |
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
07.08.2006 00:25:49
|
|
|
Ilmselt sul on Indexing service lubatud, keela see ära.start>run>services.msc>Indexing service stop ja startup disabled
hijackis kustuda file missing read
kahtlane on, mis jookseb rundll32 all
tiri process explorer ja vaata, mis selle all jookseb
http://download.sysinternals.com/Files/ProcessExplorerNt.zip
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
StuffMaster
Kreisi kasutaja
liitunud: 07.10.2002
|
|
07.08.2006 16:35:13
|
|
|
Format c: aitab alati 
|
|
| Kommentaarid: 59 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
54 |
|
| tagasi üles |
|
|
Creative5
HV kasutaja
liitunud: 15.03.2006
|
|
07.08.2006 17:26:49
|
|
|
| jossi 1 kirjutas: |
Ilmselt sul on Indexing service lubatud, keela see ära.start>run>services.msc>Indexing service stop ja startup disabled
hijackis kustuda file missing read
kahtlane on, mis jookseb rundll32 all
tiri process explorer ja vaata, mis selle all jookseb
http://download.sysinternals.com/Files/ProcessExplorerNt.zip |
Mis on Indexing service? Miks ma selle töö lõpetan?
rundll32 all? Mis asi?
Kus?
Ma suht algaja sellel alal:(
Selle protsesside programmi tõmbasin aga ega ma sellest targemaks küll ei saanud:)
| StuffMaster kirjutas: |
| Format c: aitab alati |
Seda ma kuulda küll ei taha!
-****************************
Ja viirustega polegi tegu?!  
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
0 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
07.08.2006 21:30:05
|
|
|
Process Exploreri pildilt näha, et kaks svchosti (PID 940 ja 984) pole järsku Microsofti omad. Kontrolli seda. Parem klik nende peal ja Properties>Image sakil kirjas kus asub ja mis firma oma on. Kui pole Microsofti omad, siis Kill Process ja kustutatad need ära. Originaal Microsofti svchost all jookseb mitu service-st. Seda saad vaadata services saki alt, mis service-eid mingi svchost jooksutab.
Indexing service on vaikeseadetega windowsi installil lubatud ja on ideeliselt mõeldud failide otsingu kiirendamiseks, kuid võib segama hakata kuna windows hakkab mingil suva hetkel faile indekseerima ja see võib masina kooma kiskuda. Teoreetiliselt peaks see toimuma ainult masina tühikäigul, kuid võib juhtuda, et ka kasutaja juuresolkul ja seepärast parem väljalülitada.
Process Exploreri abil saad ilusti vaadata, milline svchost proset koormab ja seejärel uurid seda svchosti täpsemalt.
Kahtlused csrss.exe osas on ka õigustatud kuna Description tulbas pole kirjas, et see Microsofti oma (Client server runtime process). Samuti wdfmgr.exe peaks õige windowsi korral olema Microsofti oma, kirjeldusega Windows User Mode Driver Manager (\WINDOWS\system32\wdfmgr.exe). Sul millegipärast ilma kirjelduseta.
viimati muutis jossi 1 07.08.2006 21:33:58, muudetud 1 kord |
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
|
07.08.2006 21:34:06
|
|
|
O4 - HKLM..Run: [HTpatch] C:WINDOWShtpatch.exe <- mis see on?
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd see v6ib ka mitte t88tada.
O4 - HKLM..Run: [InCD] C:Program FilesAheadInCDInCD.exe <- ei pea t8t8ama
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime <- see samamoodi
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesSlySoftCloneCDCloneCDTray.exe" /s <- ka see ei opea t88tama
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OBrealsched.exe" -osboot <- samamoodi
O4 - HKLM..Run: [nod32kui] "C:Program FilesEsetnod32kui.exe" /WAITSERVICE <- nod32
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSSystem32LVCOMSX.EXE kui sa just tahad, et logitech i veebikaamera soft buudil k2ima l2heks..
O4 - HKLM..Run: [LogitechVideoRepair] C:Program FilesLogitechVideoISStart.exe sama
O4 - HKLM..Run: [LogitechVideoTray] C:Program FilesLogitechVideoLogiTray.exe
O4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe winamp agent
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe nero
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKCU..Run: [Registry Cleaner Scheduler] "C:Program FilesCleanMyPCRegistry CleanerRCScheduler.exe" /startup
O4 - HKCU..Run: [LogitechSoftwareUpdate] "C:Program FilesLogitechVideoManifestEngine.exe" boot
O4 - Startup: Adobe Gamma.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = C:Program FilesXfireXfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 908-948dslmon.exe sagem? telefonio soft?
yldiselt on selles masinas igast yles minevat pas.ka piisavalt palju juba siin. kui enamus neist julladest 2ra korjata, peaks masinal selle "viiruse " jaoks natuke rohkem jaksu olema. yldiselt on nod32 nakatatud masinasse lastuna ja konfimata kujul ainult iluasi: on seal aga midagi ei tee. ise ajasin taga protsessi mille nimeks oli eksplorasi.exe http://www.liutilities.com/products/wintaskspro/processlibrary/eksplorasi/ nod ei suutnud seda kahjutuks teha ega badkupist leida. probleemi lahendas ketaste ide kontrolleriga l2paka kylge yhendamine ja passiivselt sk2nnimine kasperskyga
WinTasks Process Library
wdfmgr - wdfmgr.exe - Process Information
Process File: wdfmgr or wdfmgr.exe
Process Name: Windows Driver Foundation Manager
Run a Free System Scan for wdfmgr.exe Related Errors
Description:
wdfmgr.exe is part of Microsoft Windows media player 10 and above. This process decreases compatibility problems whilst the product is in use. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems.
_________________
Kontrollitud ja hooldatud sülerid: https://www.facebook.com/marketplace/profile/100087345405856 või https://www.yaga.ee/mox-fulder Umbes 25 arvutit kohe olemas.
viimati muutis laurx 07.08.2006 21:39:35, muudetud 1 kord |
|
| Kommentaarid: 1130 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
0 :: |
716 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Creative5
HV kasutaja
liitunud: 15.03.2006
|
|
08.08.2006 20:42:07
|
|
|
| jossi 1 kirjutas: |
Ilmselt sul on Indexing service lubatud, keela see ära.start>run>services.msc>Indexing service stop ja startup disabled
hijackis kustuda file missing read
kahtlane on, mis jookseb rundll32 all
tiri process explorer ja vaata, mis selle all jookseb
http://download.sysinternals.com/Files/ProcessExplorerNt.zip |
start>run>services.msc>Indexing seda Stoppi ma panna ei saa sest seda käsklust ei lubata. Saab ainult valida "Start"
rundll32 on (võibolla) jah, mul Olympuse cameda sof on küll.
Mul täna neid svchost.exe lausa 6 tükki ja nendest 3-mel pole Properties>Image...
1.C:\WINDOWS\system32\svchost -k DcomLaunch "(Not verified) Microsoft Corporation".
2.C:\WINDOWS\system32\rpcss.dll "(Not Available)".
3.C:\WINDOWS\System32\svchost.exe -k netsvcs "(Not verified) Microsoft Corporation".
4.C:\WINDOWS\system32\dnsrslvr.dll "(Not Available)".
5.C:\WINDOWS\system32\lmhsvc.dll ja ssdpsrv.dll ja webclnt.dll "(Not Available)".
6.C:\WINDOWS\System32\svchost.exe -k imgsvc "(Not verified) Microsoft Corporation".
Need kolm ma panen Kill protsesse? Parem poolse hiireklõpseuga valin menüüst lihtsakt "Kill Protsess"? Aga ta ei lase ju: ( Error: ... Acess denied.
Tavaliselt üks cvchost.exe`dest viivad arvuti CPU küll 100% ja nii pidevalt.
| laurx kirjutas: |
O4 - HKLM..Run: [HTpatch] C:WINDOWShtpatch.exe <- mis see on? Ma ei tea mis see on:D
O4 - HKLM..Run: [InCD] C:Program FilesAheadInCDInCD.exe <- ei pea t8t8ama Mida ma siis pean tegema et see ei töötaks?
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSSystem32LVCOMSX.EXE kui sa just tahad, et logitech i veebikaamera soft buudil k2ima l2heks.. Miks kus kohas käima läheks?
O4 - Startup: Xfire.lnk = C:Program FilesXfireXfire.exe Mis see on? Oskab keegi öelda? Minu mäletamist mõõda oli see mängu American Army (vms) üks netvork lisa. Ja ma unistallisin ja tegin registri ka puhtaks ju:s
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 908-948dslmon.exe sagem? telefonio soft? See on interneti Sagem modem
yldiselt on selles masinas igast yles minevat pas.ka piisavalt palju juba siin. kui enamus neist julladest 2ra korjata, peaks masinal selle "viiruse " jaoks natuke rohkem jaksu olema. yldiselt on nod32 nakatatud masinasse lastuna ja konfimata kujul ainult iluasi: on seal aga midagi ei tee. ise ajasin taga protsessi mille nimeks oli eksplorasi.exe http://www.liutilities.com/products/wintaskspro/processlibrary/eksplorasi/ nod ei suutnud seda kahjutuks teha ega badkupist leida. probleemi lahendas ketaste ide kontrolleriga l2paka kylge yhendamine ja passiivselt sk2nnimine kasperskyga
WinTasks Process Library
wdfmgr - wdfmgr.exe - Process Information
Process File: wdfmgr or wdfmgr.exe
Process Name: Windows Driver Foundation Manager
Run a Free System Scan for wdfmgr.exe Related Errors
Description:
wdfmgr.exe is part of Microsoft Windows media player 10 and above. This process decreases compatibility problems whilst the product is in use. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems. |
Enamus jullad ära korjama? Mis mõttes, mis moodi?
Nod32 on seadistatud nagu vaja aga nii viimased kuud pole uunedust saanud-tasuline värk...
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
0 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
08.08.2006 22:33:00
|
|
|
| Creative5 kirjutas: |
start>run>services.msc>Indexing seda Stoppi ma panna ei saa sest seda käsklust ei lubata. Saab ainult valida "Start" |
järelikult indexing service ei tööta , kontrolli ka, et startup type oleks disabled
| tsitaat: |
Mul täna neid svchost.exe lausa 6 tükki ja nendest 3-mel pole Properties>Image...
1.C:\WINDOWS\system32\svchost -k DcomLaunch "(Not verified) Microsoft Corporation".
2.C:\WINDOWS\system32\rpcss.dll "(Not Available)".
3.C:\WINDOWS\System32\svchost.exe -k netsvcs "(Not verified) Microsoft Corporation".
4.C:\WINDOWS\system32\dnsrslvr.dll "(Not Available)".
5.C:\WINDOWS\system32\lmhsvc.dll ja ssdpsrv.dll ja webclnt.dll "(Not Available)".
6.C:\WINDOWS\System32\svchost.exe -k imgsvc "(Not verified) Microsoft Corporation".
Need kolm ma panen Kill protsesse? Parem poolse hiireklõpseuga valin menüüst lihtsakt "Kill Protsess"? Aga ta ei lase ju: ( Error: ... Acess denied.
|
Enne võiks ikka veenduda, mis failiga tegemist. Otsi see fail system32 kaustast üles ja ja vaata tema properties. (Võibolla on vajalik ka system ja hidden failide näitamise lubamine Folder Options>view). Ilmselt on nad ikkagi Microsofti omad, kuid Process Explorer millegipärast ei suuda seda tuvastada. Microsofti svchoste ära killi, nende peale annabki access denied teate.
| tsitaat: |
Tavaliselt üks cvchost.exe`dest viivad arvuti CPU küll 100% ja nii pidevalt. |
Seda svchosti uurigi põhjalkumalt. Process Exploreris parem klik>Properties ja services ning proovi neid serviceid välja lülitada run>services.msc
| laurx kirjutas: |
| O4 - HKLM..Run: [HTpatch] C:WINDOWShtpatch.exe <- mis see on? Ma ei tea mis see on:D |
loe tähelepanelikumalt , ma ju kirjutasin mis asi see on
| tsitaat: |
| O4 - HKLM..Run: [InCD] C:Program FilesAheadInCDInCD.exe <- ei pea t8t8ama Mida ma siis pean tegema et see ei töötaks? |
hijackthis märgid linnukesaga ja fix selected või antud programmi settingutest märgid et ei käivituks windowsi stardil
| tsitaat: |
| O4 - HKLM..Run: [LVCOMSX] C:WINDOWSSystem32LVCOMSX.EXE kui sa just tahad, et logitech i veebikaamera soft buudil k2ima l2heks.. Miks kus kohas käima läheks? |
buudil=arvuti käivitusel
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Creative5
HV kasutaja
liitunud: 15.03.2006
|
|
08.08.2006 23:05:35
|
|
|
Mõndasid ma leidsin otsimisel aga mõndasid mitte...
Need kuupäevad ei ütle mulle küll suurt midagi.
Windows sai viimati peale lastud 28.apr 2003 a (ehk selles probleem?!)
Ja uuendatud pole sellistel kuupäevadel...
Indexing service panin disable peale, ennem oli mingi automatic.
Põhi probleem ongi siis ju selles praegu et see *** svchost.exe(d) lükkadvad CPU 100%-ndini.
Samas on ka explorer.exe sama teinud - need 2 peamist miks ei kannata vahel pea üldse arvutis olla.
See jama jõuludest saadik olnud juba ja ma pole kuskilt abi saanud
Nädal tagasi leidsin infot et tegu võib olla viirustega ja sellest ka see teema.
(siis tegu pole viirustegea selgus...ok  )
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
0 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
09.08.2006 02:47:20
|
|
|
Ma ei palunud sul kuupäevi vaadata, vaid faili properties (atribuudid). Parem klik failil ja alumine valik tavaliselt. Seal kaks tabi (sakki) General ja Version. Version tab annab sulle kasulikku infot. OK, see selleks, isegi kuupäevade järgi võin öelda, et vähemalt need failid on õiged Microsofti omad. Date Modified näitab antud juhul kuna Microsoft on need failid loonud, mitte sinu winni uuendamise päevi. Ja need on õiged (samad mul).
Kui sa oled erinevate antiviirustega masinat kontrollinud ning kõik kriitilised windowsi uuendused tehtud ja pole midagi leidnud, siis ilmselt polegi viirusega tegemist. Samanimileste failidega on küll ka viirused seotud.
Svchost. exe on kettal ainult üks eksemplar, kuid käivitatakse mitmekordselt, grupeerimaks tema abil käivtitatavaid service-eid. Üks nendest service-stest koormab sinu proset mingil põhjusel 100%. See service tuleb väljaselgitada ja võimaluse korral peatada ning startimine arvuti käivitumisel keelata. Peale eespool nimetatud ükshaaval leitud koormava svchost-i service-te peatamise pakun veel ühe nipi. Kui oled Process Exploreris kindlaks teinud proset koormava svchosti, siis parem klik properties ja Threads tab. Vaata Threads tabi all milline rida CPU koormab ja proovi sealt Kill. Enne pööra tähelepanu "Start Address" tulbas olevale tekstile, kirjuta see üles. See thread koormabki su proset ja on vaja selle käivitamine keelata või uurida põhjusi miks koormab.
Võibolla oskan kohe öelda milline service võib koormata.
Ava command prompt: start>run>cmd
seal käsklus
tasklist /svc
kopeeri saadud text siia (parem klik command promptis>select all>valgeks läinud alal veel parem klik ja saad siia kleepida (paste).
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
chesm6mmi
HV Guru
liitunud: 08.01.2004
|
|
09.08.2006 02:50:31
|
|
|
| niisis, svchost.exe ei ole viirus, ja 100% prose võtab kuna ta seotud windowsi updatega, ühte uute update ta ei suuda ära tümmatud ja siis jebib nii, mine windowsi update lehele ja tõmba sealt need uusimad asjad ära ja peaks ok olema...
|
|
| Kommentaarid: 107 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
102 |
|
| tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
|
09.08.2006 11:02:59
|
|
|
| chesm6mmi kirjutas: |
| niisis, svchost.exe ei ole viirus, ja 100% prose võtab kuna ta seotud windowsi updatega, ühte uute update ta ei suuda ära tümmatud ja siis jebib nii, mine windowsi update lehele ja tõmba sealt need uusimad asjad ära ja peaks ok olema... |
viimase update iga saad selel genuine notofication tool , i millest kindlasti siia kohe ka teema tekib.
minu pool mainitud asjad saab maha start/run/ msconfig startup alt linnukesed maha korjates. sul on seal mingi proge, mis korjab DNS e. see patch vist oli. pmst on masin saasta t2is ja winupdate ei ole teatud maalt vajalik.
_________________
Kontrollitud ja hooldatud sülerid: https://www.facebook.com/marketplace/profile/100087345405856 või https://www.yaga.ee/mox-fulder Umbes 25 arvutit kohe olemas. |
|
| Kommentaarid: 1130 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
0 :: |
716 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
09.08.2006 12:17:35
|
|
|
laurx
väga segane postitus, kasulik info ainult msconfigu osas
Viimane update (augusti oma ehk selle nädala oma) annab sulle genuine notofication tool ainult siis , kui pole varem seda installinud. Ma ei saanud seda tänase uuendusega.
Mis DNS progele viitad? Vaikeseadetega windowsil jookseb normallselt svchost all DNS Client service:
command line: C:\WINDOWS\System32\svchost.exe -k NetworkService
C:\Windows\System32\dnsrslvr.dll
Täiesti normaalne service, mis ei ole kahjulik.
Windows Update kriitilised uuendused ona alati vajalikud vastupidi sinu väitele.
| Creative5 kirjutas: |
| Nod32 on seadistatud nagu vaja aga nii viimased kuud pole uunedust saanud-tasuline värk... |
Uuendamata viirusetõrjest pole suurt kasu. Kasuta mõnda online teenust või siis http://download.drweb.com/drweb+cureit/
| Creative5 kirjutas: |
| O23 - Service: Window update (WinUpdate) - Unknown owner - C:WINDOWSSystem32update32.exe (file missing) |
Kunagi on olnud sul viirus, mille käivitatav fail (update32.exe) on kustutatud
http://www.sophos.com/virusinfo/analyses/w32rbotmi.html
kontrolli, et ka registrikirjed oleks kustutatud.
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
|
| Kommentaarid: 1130 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
0 :: |
716 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
09.08.2006 12:39:12
|
|
|
No ja mis siis, et googleldasid? Kas mul jäi midagi märkamata teemalagataja logides. Mis progele viitad Creative5 probleemi korral?
| tsitaat: |
| sul on seal mingi proge, mis korjab DNS e. see patch vist oli |
Kus on see proge Creative5 toodud info põhjal?
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
|
| Kommentaarid: 1130 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
0 :: |
716 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
09.08.2006 20:25:44
|
|
|
| laurx kirjutas: |
O21 - SSODL: Dnscache - {D0F80A30-C6D2-5657-77F0-F3B6CA837701} - (no file)
http://cr.yp.to/djbdns/dnscache.html
selle tekitajat googeldasin. kuna teema vahepeal varjusurmas, on m2luj2lg habras. |
See jäi mul märkamata jah.
Sinu link pole eriti asjakohane, on linuxi programmi kirjeldus.
Googelda parem "O21 - SSODL: Dnscache" ja näed, et paljudel sarnane, kuid erineva GUID numbritejoruga asi olemas või olnud (no file), viidates mingi C:\Windows\help failile
Leidsin, et teemaalgataja on varemgi teistes foorumites sama probleemiga abi palunud. Näiteks starpumba foorumis:
http://66.102.9.104/search?q=cache:4bmCoaXU7Z0J:www.starpump.ee/viewthread.php%3Ftid%3D29099+D0F80A30-C6D2-5657-77F0-F3B6CA837701&hl=et&ct=clnk&cd=2 8.jaan 2006 oli tal see fail olemas
O21 - SSODL: Dnscache - {D0F80A30-C6D2-5657-77F0-F3B6CA837701} - C:\WINDOWS\help\agt041f.hlp
Antud juhul on Creative5 logis "no file" - seda faili enam tal pole ja seega käima ei lähe. Hijackis linnuke ja Fix this peaks ka vastava registrikirje eemaldama. Kui HJT ei eemalda, siis käsitsi registrist otsida D0F80A30-C6D2-5657-77F0-F3B6CA837701 ja kustutada.
Võimalik, et mingitest viirustest on midagi masinasse ka alles jäänud, mida viirusetõrjed enam ei tuvasta. Ise leida neid jäänuseid on suht lootusetu. Seega endiselt soovitan ma, et Creative5 uuriks milline svchosti service masinat koormab minu eelpool toodud seletuse järgi.
ja veel:
| Creative5 kirjutas: |
| O4 - Startup: Xfire.lnk = C:Program FilesXfireXfire.exe Mis see on? Oskab keegi öelda? Minu mäletamist mõõda oli see mängu American Army (vms) üks netvork lisa. Ja ma unistallisin ja tegin registri ka puhtaks ju:s |
Terratec DMXFire 1024 soundcard controlpanel
http://www.castlecops.com/s5273-Xfire.html
http://www.bleepingcomputer.com/startups/Xfire.exe-6967.html
Ei ole vajalik, et koguaeg käiks.
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Creative5
HV kasutaja
liitunud: 15.03.2006
|
|
14.08.2006 22:45:22
|
|
|
| jossi 1 kirjutas: |
Antud juhul on Creative5 logis "no file" - seda faili enam tal pole ja seega käima ei lähe. Hijackis linnuke ja Fix this peaks ka vastava registrikirje eemaldama. Kui HJT ei eemalda, siis käsitsi registrist otsida D0F80A30-C6D2-5657-77F0-F3B6CA837701 ja kustutada.
Võimalik, et mingitest viirustest on midagi masinasse ka alles jäänud, mida viirusetõrjed enam ei tuvasta. Ise leida neid jäänuseid on suht lootusetu. Seega endiselt soovitan ma, et Creative5 uuriks milline svchosti service masinat koormab minu eelpool toodud seletuse järgi.
Terratec DMXFire 1024 soundcard controlpanel
http://www.castlecops.com/s5273-Xfire.html
http://www.bleepingcomputer.com/startups/Xfire.exe-6967.html
Ei ole vajalik, et koguaeg käiks. |
1. Nagu ma arusaan siis registrisse ja otsingusse märksõnaks "D0F80A30-C6D2-5657-77F0-F3B6CA837701" ja kui selle leian siis kustutan selle file käsitsi?
2. Täiesti võimalik et midagi on jäänud alles viirusest, sest see algaski enne jõule, kui laadisin ühe asja netist alla. Järsku laks, CPU 100% (sama svchost.exe) PIDEVALT mitte midagi andud teha. Nod32 kui Ad-Aware SE Personal ei käivitunud kui avanesid siis error ja sulgusid. Kõikjal olid errorid et arvuti on nakatanud viiruste ja nuhvaraga jne jne.
Lisasin 512MB rammi kaardi ja siis sai tasapisi hakata viirusi eemaldama.
Sellest ajast saadik hakkaski see svchost.exe kurjaks. Sesites on 0 aga kui annan väiksemagi käsu siis poob 100% 3-4 s ja vahepeal ise käivitub nii 10 min jutti 100%
3.Terratec DMXFire 1024 soundcard controlpanel - mis moodi pole vajalik et ta koguaeg käiks? Kus kohas ta käib ja muidas ma ta siis sulgen? 
Milline svchost.exe seda ma veel uurin...
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
0 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
15.08.2006 13:55:25
|
|
|
1. Jah võid käsitsi otsida registrist. Kõik selle numrijoruga leitud read kustuta.
2. Kas sa safe modes oled eelpool soovitatud viirusetõrjel lasknud otsida?
http://download.drweb.com/drweb+cureit/
3. Mis helikaart sul lõpuks on?
Kas su helikaart vajab mõlemat
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - Startup: Xfire.lnk = C:Program FilesXfireXfire.exe
Need ju HJT logis näha, et startupil käivituvad, kuigi jah hiljem töötades pole näha, et Xfire.exe töötaks, Võibolla see küll proovib käivituda aga kuna ei klapi sinu helikaardiga?, siis ei käivitu.
HiJackThis proges oled mittevajalikud asjad fixinud? Ma vaatan, et sa ei saa aru kuidas seda proget kasutada. Või oled lõpuks aru saanud?
Milline svchost, see on ju kohe näha kui sul masin sinu väite kohaselt alati aeglaseks läheb niipea kui midagi tegema hakkad.
Võid veel proovida järsku on mõni ülearune LSP (Layered Service Provider) ennast sisse poetanud.
http://cexx.org/lspfix.htm
Ennem kui selle abil midagi eemaldad, otsi need failid kettalt üles ja vaata properties version alt millega tegemist. Mul näiteks arvab, et ka nod32 imon.dll tuleks eemaldada, kuigi on see vajalik ning alles jätta.
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Creative5
HV kasutaja
liitunud: 15.03.2006
|
|
23.08.2006 22:51:28
|
|
|
| jossi 1 kirjutas: |
| 1. Jah võid käsitsi otsida registrist. Kõik selle numrijoruga leitud read kustuta. |
link
Nagu nähe ajutiselt lingilt, et midagi pole kustutada, ei lubata.
Ei ole seda progremmikest kasutanud. Aga kas see Nod32; Ad-Aware SE Personal; Spybot - Search & Destroy pahuksisse arvutiga ei lähe (nagu Karsperski ja Nod32?)
Kui ei lähe siis installin ära ja vaatama mis ta ütleb.ok
| jossi 1 kirjutas: |
3. Mis helikaart sul lõpuks on?
Kas su helikaart vajab mõlemat
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - Startup: Xfire.lnk = C:Program FilesXfireXfire.exe |
Ma ei tea isegi, ehk abiks link
| jossi 1 kirjutas: |
HiJackThis proges oled mittevajalikud asjad fixinud? Ma vaatan, et sa ei saa aru kuidas seda proget kasutada. Või oled lõpuks aru saanud? |
Kui on file missing siis linnuke ette ja Fix checked. Või mis veel?
Aga O23 - Service: Window update (WinUpdate) - Unknown owner - C:WINDOWSSystem32update32.exe (file missing) ta ikka korda ei tee.
Milline svchost, see on ju kohe näha kui sul masin sinu väite kohaselt alati aeglaseks läheb niipea kui midagi tegema hakkad. No...ma polnud midagi ära kustutanud registrist, ega muud teinud selle svchost.exe-ga.
Ta rahunes maha, ise! Aga probleem pole lahendatud, sest nüüd ta asemel explorer.exe nagu järgnevas illustratsioonis näha: link ja ka link Vahepeal on kõik korras ja siis ta jälle ise lambist koormab tohutult arvutit.
Ma vahepeal pole vastat mahti saanud ja ise jälgisin ka kas svchost.exe on ikka rahunenud.
Tore kui keegi oskab, viistib vastata.
Aitäh!
viimati muutis Creative5 18.08.2007 23:37:55, muudetud 1 kord |
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
0 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
24.08.2006 09:25:35
|
|
|
Regeditis otsinguks D0F80A30-C6D2-5657-77F0-F3B6CA837701 ja kustutada kui leiad nagu sa oma eelmises postis ise küsisid. Antud juhul sa otsisid midagi muud? pealegi registris pole failid vaid võtmed (keys -vasakul kollase kaustiku ikooniga) ja väärtused (paremas aknas)
| tsitaat: |
2. Kas sa safe modes oled eelpool soovitatud viirusetõrjel lasknud otsida?
http://download.drweb.com/drweb+cureit/
Ei ole seda progremmikest kasutanud. Aga kas see Nod32; Ad-Aware SE Personal; Spybot - Search & Destroy pahuksisse arvutiga ei lähe (nagu Karsperski ja Nod32?)
Kui ei lähe siis installin ära ja vaatama mis ta ütleb.ok
|
Safe modes ei lähegi nod32 käima ja pealegi drweb+cureit ei vaja installi, oleks võinud selle ju ise ka viidatud lehelt välja lugeda, tarkvara on eestikeelne (detektib keele automaatselt). Võid isegi win normaalreziimis seda koos nod32-ga käivitada, tegelikult isegi vajalik norm reziimis kuna vaja viiruse databaas tirida. Või siis safe mode with networking.
Uuendamata viirustetõrjest pole kasu nagu juba enne mainitud.
Kui oleksid vähegi uurinud Everesti raportit, siis ju üsna alguses Summary all kirjas
Audio Adapter SiS 7012 Audio Device
Vajad ainult O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
XFire on seotud Terrateci helikaardiga ja oled selle mingil põhjusel ekslikult installinud kunagi. Otsi control panel>add/remove programs alt Terrateci või Xfire softi ja uninstalli kui leiad. Igal juhul võid lasta Hijackil see rida fixida või ise registrist kustutada, saab ka run>msconfig kaudu.
| tsitaat: |
Aga O23 - Service: Window update (WinUpdate) - Unknown owner - C:WINDOWSSystem32update32.exe (file missing) ta ikka korda ei tee. |
Otsi registrist update32.exe ja kustuta mis leiad, registris kustutamisega ole ettevaatlik. update32 viitab sellele, et kunagi on sul masinas olnud umbes sarnane viirus http://www.sophos.com/virusinfo/analyses/w32rbotmi.html (või mingi variant sellest), mille exe on nüüd kustutatud aga registrikirjed on alles. Viidatud lingil on ka registrivõtmed mida kontrolli esmalt. Need on service käimatõmbamise kohad, peale selle on registris service enda kirjed
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services - selle haru all peaks leidma
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT - võibolla siin ka
Everesti raportist selgub, et sul on ainult üks 128MB mälupulk, millest pealegi 32MB on integreeritud graafikakaardi kasutuses. Allesjäänud 96MB on windowsxp jaoks vähevõitu. Su masin on paljuski aeglane mälupuudulikkuse tõttu. Osta juurde PC2100 mälu, mis praegu üsna odav, soovitavalt lisa 256 või parem 512 pulk. Soovitav on ka eraldi videokaart osta, kasvõi odavama otsa toode , miksmitte kasutatud kaart.
Explorer koormab, kui vaatad kausta, kus poolikud või wini jaoks tundmatu koodekiga videod asuvad. Selle vastu kustuta registris võti
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850DC73E}
On ka loomulikult mitmeid teisi põhjusi. Nende leidmisel aitab Process Exploreri oskuslik kasutamine. Ennekõike otsi masinast viirusi viidatud cureit ja online tõrjetega https://foorum.hinnavaatlus.ee/viewtopic.php?t=53930
Siin foorumis ei jõua sulle tasuta kõiki võimalusi ära seletada. Kui oma jõu ja teadmistega ning väikse abiga hakkama ei saa, siis on sinu jaoks lihtsam variant windowsi puhas install. Kui ei soovi uut installi vii masin spetsi kätte (kutsu spets koju).
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
