---

hvad kan det være,hver gang jeg åbner et pgr.eller spil m.m,bliver der brugt 100% af min cpu? Eks.programmet bruger 80% og taskmgr.exe bruger 20%,jeg bruger xp pro-sp1,og har alle opdat.har tjekket for virus+spyware,og der var intet,
her er en log fra hijackthis,men det er uden for min viden
Logfile of HijackThis v1.97.7
Scan saved at 12:32:07, on 25-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\qttask.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Logitech\Mobile Phone Suite\MobilePhoneSuite.exe
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmer\WIDCOMM\Bluetooth-software\bin\btwdins.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\WIDCOMM\Bluetooth-software\BTTray.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\Logitech\SetPoint\kem.exe
C:\PROGRAMMER\LOGITECH\SETPOINT\KHALMNPR.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programmer\eMule\emule.exe
C:\Programmer\Executive Software\Diskeeper\DkService.exe
C:\Programmer\SpeedFan\speedfan.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmer\Internet Explorer\iexplore.exe
E:\programmer\div. worms killers\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Mobile Phone Suite] C:\Programmer\Logitech\Mobile Phone Suite\MobilePhoneSuite.exe -nogui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [LDM] C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Send til &Bluetooth - C:\Programmer\WIDCOMM\Bluetooth-software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38131.4206365741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

---

Du har Sasser virusen : C:\WINDOWS\system32\lsass.exe

..og muligvis mere : C:\WINDOWS\system32\svchost.exe + C:\WINDOWS\System32\svchost.exe

Læse hvordan du slipper af med Sasser : http://www.spywarefri.dk/virus.htm#sasser

...oplysninger omkring svshost.exe : http://www.computerhope.com/issues/ch000517.htm

</MOLOKYLE>

---

Andre virus du måtte have reddet dig kan du bagefter fjerne her : http://housecall.trendmicro.com

Tjek lige samtidig for Spy-/Adware her : http://spywarefri.dk/onlinevark.htm

</MOLOKYLE>

---

Hej Molo !

Undskyld jeg "blander mig" i denne tråd. Jeg har flere gange læst dit råd om "spywarefri". Når jeg kommer ind på siden, kommer følgende tekst:
........................
Vigtigt!

Hvis du har Windows 95 - 98 eller Me må du ikke bruge denne onlinescanner. Den kan i værste tilfælde nedlægge din computer.
........................
Jeg har Windows 98, så hvordan skal jeg (og mange andre) opfatte denne melding ?

/PG

---

Jeg har altid brugt Win98 SE (..eller lige siden det blev frigivet) Hvilke en service taler vi om du ikke kan bruge? Jeg har nemlig ikke omtalte poblem

</MOLOKYLE>

---

Hvis det er omkring Sasser forstår jeg det godt. Det er nemlig KUN XP og 2000 der rammes : http://www.microsoft.com/danmark/security/articles/sasser.asp

</MOLOKYLE>

---

Hej Molo
Nu forstår (også) jeg meldingen. Var ikke klar over at det "kun" er XP og 2000 der rammes. Så dette spørgsmål i et andet spørgsmål, giver dig "50 spir", som jeg opretter om et par minutter.

/PG

---

Helt iorden Guil. Vi skal lære så længe vi lever !

Du behøver nu ikke gi' point. Nu har du jo fået svaret og så er der jo ingen grund til at spørge

Jeg samler også megen 'gratis' information op i div. tråde her på sitet

</MOLOKYLE>

---

der er forskel på I sass og L sass Molo altså i og l !!! Og osse hvor beliggenheden af virus versionen af svchost.exe ligger. der er jo ingen grund til at råbe ulv, før den kommer

---

http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/

http://www.liutilities.com/products/wintaskspro/processlibrary/isass/

---

Står der ikke l og ikke i ?

</MOLOKYLE>

---

prøv at klippe og klistre Men der står L (l)

---

Hven misforstår nu ???



</MOLOKYLE>

---

Røde ører tedd ?

</MOLOKYLE>

---

Det er rigtigt at der findes en sasser orm der gør det, men det ændrer ikke på at lsass.exe er en fuld legitim windows fil, der ikke skal fjernes, heller ikke svchost når den ligger i system32 biblioteketet! Hvis han havde haft sasser var der en andet entry der ville vise det f.eks avserve.exe. Frederikshavn nævner osse at han har opdateret windows og kørt en virusscanning forøvrigt!

---

Ok. så havde jeg i det mindste ikke læst forkert kan vi blive enige om ?

Jeg prøver bare at hjælpe så godt jeg kan. Ikke pege fingre

</MOLOKYLE>

---

Du hjælper da meget Molo, så min kommentar var egentlig rettet mod at folk ikke kan stille et spørgsmål herinde uden at der straks bliver råbt SASSER! Hvis frederikshavn har/havde slettet lsass.exe og svchost.exe filerne ville han være i betydelig større vanskeligheder end hvis han havde sasser

---

Jeg har da ikke bedt nogen om at slette noget ?

</MOLOKYLE>

---

Nej men du referede specifict til de to filer! Jeg har osse de filer uden at have sasser, og det har de fleste XP brugere osse Molo. Som sagt tag det ikke personligt. Det var mere en service meddelelse end kritik

---

De er jo heller ikke helt nemme de der hijackthis logfiler, jeg har da heller ikke samme forstand på dem som f.eks arlet har

Dette spørgsmål er blevet annulleret, det er derfor ikke muligt for at tilføje flere kommentarer.