CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede flosch Novice
11. maj 2007 - 11:30 Der er 6 kommentarer og
1 løsning

svchost.exe bruger 99%

Hej experten.dk

Jeg har for nogen dage sigen konstateret at programmet er begyndt at tage al min CPU plads.

Hvad er årsagen til dette problem og er der flere der er blevet angrebet nu her?

Hvorfor kan antivirus/spyware ikke løse problemet?

Nedenstående er mine rapporter - håber I kan hjælpe mig - på forhånd tak.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:22:09, on 09-05-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmer\WIDCOMM\Bluetooth-software\bin\btwdins.exe
C:\Programmer\Symantec AntiVirus\DefWatch.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\Symantec AntiVirus\SavRoam.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmer\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmer\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmer\Fælles filer\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\HPQ\SHARED\HPQWMI.exe
C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WIDCOMM\Bluetooth-software\BTTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\FSC.AALUND-KBH\Dokumenter\HiJackThis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comon.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1030
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmer\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmer\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmer\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmer\Fælles filer\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmer\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmer\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programmer\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmer\WIDCOMM\Bluetooth-software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmer\WIDCOMM\Bluetooth-software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {23B2C2CD-8252-4925-AEF6-62D7F2C409AF} (WDX.WDX_Main) - https://www2.web-direct.dk/WDX.CAB
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmer\WIDCOMM\Bluetooth-software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmer\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmer\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmer\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmer\Symantec AntiVirus\Rtvscan.exe

--
End of file - 8561 bytes


---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at: 13:10:28 09-05-2007

+ Scan result:



C:\Documents and Settings\FSC.AALUND-KBH\Cookies\fsc@adtech[2].txt -> TrackingCookie.Adtech : Cleaned.
C:\Documents and Settings\FSC.AALUND-KBH\Cookies\fsc@www.myaffiliateprogram[2].txt -> TrackingCookie.Myaffiliateprogram : Cleaned.
C:\Documents and Settings\FSC.AALUND-KBH\Cookies\fsc@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned.


::Report end



********************************* ROOTCHK-(02-05-07)-LOG, by ejvindh
09-05-2007 13:50:36,79

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end


catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-09 13:50:38
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programmer\HPQ\Default Settings\cpqset.exe???????????8?0?5?7??????? ?4?B????????? ???hLC????????
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Avatar billede johnstigers Seniormester
11. maj 2007 - 12:22 #1
Kigger!
Avatar billede johnstigers Seniormester
11. maj 2007 - 12:26 #2
Der er ikke noget i loggen, men tag et kig her http://www.eksperten.dk/spm/777537
Avatar billede flosch Novice
11. maj 2007 - 13:48 #3
Ok tak for tilbagemeldingen. Jeg er blevet lidt klogere, men mangler lige det sidste. problemet hænger sammen med windows update og når jeg deaktiverer denne fungere min pc fint. Så vidt jeg har læst mig frem til i microsoft fix 916089, skal jeg installere den nyeste msi.dll.

Men hvor finder jeg denne? Og er det det eneste jeg skal gøre?
Avatar billede poolplayer Nybegynder
11. maj 2007 - 14:05 #4
Jeg har haft samme problem og prøvede også at installere denne fix, det hjalp ikke, så fandt jeg en artikel på nettet som løste problemet, skal se og jeg har den liggende et sted når jeg kommer hjem, ellers prøv at søge efter svchost.exe, det var sådan jeg fandt denne artikel.
Avatar billede strych9 Praktikant
14. maj 2007 - 00:38 #5
I forbindelse med opdatering til v7 af Windowsupdate er der opstået et problem på rigtigt mange Win XP maskiner. Mange XP maskiner forsøger at benytte den gamle v6 af websiten.

Symptomer: Kort efter at computeren er startet går den tilsyneladende kold i en lang periode. Svchost bruger muligvis 100% af cpu'en. Windows reagerer ikke på højreklik og det er vanskeligt at få task manager frem.

Start med at skrive services.msc, og stop dernæst servicen automatiske opdateringer. Det skulle give tid til at køre nedenstående fixes.

Start med at opdatere Windowsupdate agenten. Det kan gøres ved at downloade den herfra:
http://download.windowsupdate.com/v7/windowsupdate/redist/standalone/WindowsUpdateAgent30-x86.exe
Luk alle browsere mens opdateringen køres.
Hvis der kommer en fejlbesked om at filen allerede er installeret, så prøv at installere den med wuforce switchen: WindowsUpdateAgent30-x86.exe /wuforce

Kør dernæst dette hotfix som løser et problem i msi.dll:
http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=7a81b0cd-a0b9-497e-8a89-404327772e5a


Hvis dette ikke løser problemet så gør følgende:
Stop automatiske opdateringer, men deaktiver ikke servicen.
Gå til C:\WINDOWS\SoftwareDistribution\Download og slet indholdet af folderen. Gå også til C:\WINDOWS\SoftwareDistribution\DataStore og slet filen DataStore.edb (dette sletter windows update history).
Forsøg Windowsupdate.

Hvis det STADIG ikke virker, så stands servicen automatiske opdateringer en gang til og omdøb SoftwareDistribution folderen til SoftwareDistribution.old. Windows skulle genopbygge den automatisk ved næste besøg hos windowsupdate.
Avatar billede flosch Novice
14. maj 2007 - 13:14 #6
Mange 1000 tak for den gode og hurtige respons på mit problem. I Stych9's sidste løsningsforslag var der hele 3 muligheder, hvoraf den første virkede. Så nu kører min computer fint igen. Endnu engang tak
Avatar billede boskvb Nybegynder
20. maj 2007 - 07:13 #7
Også 1000 tak, da jeg også har brugt løsningsforslag 1.
valter
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Windows kategorien

Titel Indlæg Oprettet Seneste aktivitet
Kode Af luffe1955 i Windows 2 I går 17:13 I dag 08:16
Windows 11 24H2 Af sves i Windows 15 25/08/202416:54 49 minutter siden
Registrerigsdatabase Af skolevej321 i Windows 11 25/08/202410:52 I går 13:26
Åbne PC uden PIN kode Af Lars8960 i Windows 6 24/08/202418:44 I går 18:09
W11 fra 22H2 til 23H2 Af barth i Windows 37 17/08/202409:19 19/08/202409:59
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 07:40 Tastatur med lommeregner Af HHA i Andet hardware
I går 23:02 Hjælp til formel. Afrund??? Af MrMYansen i Excel
I går 21:52 Filter der lister tomme felter Af per2edb i Access
I går 20:51 Kun sort hvid print Af st skad i Billedbehandling
I går 19:13 Hvem kan redigere en video for mig ? Af nu_igen i Foto & video
White papers
Flere white papers »


Premium
Teaser billede
Kan ikke sendes i udbud: EG får kommunal it-kontrakt til 84 millioner kroner stukket i hånden uden konkurrence
Læs mere »
På trods af dataaftale mellem EU og USA: Uber får kæmpe GDPR-bøde på over to milliarder kroner for at sende data til USA
NNIT fortsætter fremmarchen i Danmark men taber fart i USA: ”Det er en skuffelse”
Nu falder dommen i stor Google-sag: Danske Jobindex kræver millioner i erstatning
Se alle »
Computerworld
Teaser billede
Verdens største bilproducent ramt af hackerangreb: Sender skylden videre til tredjepart
Læs mere »
Benægter eksistens af gigantisk firewall for 230 millioner mennesker: VPN er skyld i sløjt internet
Efter flere måneders tavshed: Erkender gigantisk datalæk af persondata
Test: Et af de bedste sportsure derude kommer fra uventet kant
Se alle »
CIO
Teaser billede
Detailkæde har mistet over 65 millioner kroner efter cyberangreb – kræver erstatning fra it-leverandør
Læs mere »
Hun flyttede til Frankrig med to kufferter og startede i et af verdens største CIO-job dagen efter: "De vigtige beslutninger blev bare ikke taget"
Han er en af Danmarks bedste CIO'er - og nu søger han nyt job: "Det er mere opgaven end jobbet, som jeg går efter"
DSB køber cloud-løsning til 420 millioner kroner af hollandsk it-selskab: Skal afløse 30 år gammelt system
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Til åbningsfest i det nye NNIT-hovedkontor: ”Som at flytte til New York sammenlignet med der hvor vi kommer fra” - se billederne
Se alle »
White paper
Teaser billede
Sådan gør du: Elektronisk dokumentudveksling i praksis
Læs mere »
Informationshåndtering på frontlinjen: Sådan optimerer du med automatisering
Guide: Sådan udvikler du en moderne netværksstrategi
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »