WMIPRVSE.EXE spiser opp cpukraft.! *LØST*

[Tore]

Slik ser oppgaverbehandlingen ut, konstant..

Når filen bruker 100% hakker selv Flach i nettleser...

 

 

Søkte i forumet men fant ikke nyere tråder om emnet

google fant

http://www.neuber.com/taskmanager/process/wmiprvse.exe.html

 

Har kjørt

AD-aware (nyeste oppdaterte) fant ingenting

Norton Internett Security ( lisensert oppdatert versjon ) fant ingeting

Security Task Manager (nedlastet trial i kveld) fant dobbel kjøring av wmiprvse.exe..

 

Men når jeg prøver å sette den i karantene kommer denne opp...

 

 

Så er den trygg eller farlig.?

 

Det ER jo den som er grunnen til prossessorforbruket som gjør pc ubrukbar til bilde & videobehandling......................?

 

Info:

ASUS laptop (3000+)

original medfølgende Win XP Home

1Gb minne

bare ca 2mnd gammel pc, alt av sikkerhet oppdatert hele tiden.

(40-50 prosesser kjører til vanlig, litt flere en på stasjonær pga alle driverne som må til på bærbar alla batteri, skjer, toutchpad, ol...)

(mere info så bare spørr)

Endret 12. mai 2006 av Scorpioen84

[Jarmo]

W32/Sonebot-B drops a copy of itself to the Windows System32 folder with the filename WMIPRVSE.EXE and sets the following registry entries to run the copy on system restart:

 

http://www.sophos.com/virusinfo/analyses/w32sonebotb.html

Endret 11. mai 2006 av jarmo

[Tore]

Computers connected to a network running Windows 95/98/Me and Windows NT/2000 operating systems.

 

hmm... jeg kjører jo XP home...

 

så om madamen har koblet seg til noe nettverk på høyskolen så kan hun ha fått det derfra.?

 

Prøver nå å sette denne "trygge og fine windowsfilen" i karantene.... så får man se.....

 

EDIT : å sette den i karantene gjorde ingenting... en fil i karantene, samme fil startet på nytt...

 

EDIT: prøver jarmo`s link....

Endret 12. mai 2006 av Scorpioen84

[Jarmo]

Les fanene i linken min så blir du kvitt med den...

 

Summary Description Recovery

Endret 11. mai 2006 av jarmo

[Tore]

Sophos klarte ikke finne det heller.!

 

(brukte programmet akkurat som etter oppskriften med viruslisten fra 10.Mai...)

 

Sagblad toppene med 100% cpubruk er der enda.!

 

Noen andre forslag.?

 

lite lyst til å formatere...

 

Bill Gates er en innkompetent nood...........

[Tore]

skal jeg tenke i andre baner...

 

hva om det IKKE er virus, siden ingen av de nå 4 virus & spy programmene jeg nå har kjørt har funnet noe som ligner på virus en gang.....

Men at det er foreksempel en feil som kom med siste windows update.?

 

skal jeg kanskje prøve & rulle tilbake oppdateringen.?

(aner ikke hvordan man gjør det.)

 

Passelig irritert nå ja.............

[zjulik]

Jeg heller litt til det samme. Men så kan det være en rekke årsaker. Si litt om hvorvidt maskinen din har gått gjennom noen forandringer i det siste - ny hardware, nye programmer, andre problemer, når dette begynte...etc...alt du kan komme på.

 

Post gjerne en Hijackthis-logg også - link i sig.

[Tore]

Kjørte Akkurat Spy Sweeper - ingenting og raportere..... Så nå må jeg pinadø ha en ren pc, eller er alle virus spy programmer noe dritt...

 

 

Nå aner jeg ikke hva jeg skal se etter i loggen så regner med du vet hva du vil ha den for...

Logfile of HijackThis v1.99.1

Scan saved at 02:42:29, on 12.05.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Programfiler\Fellesfiler\Symantec Shared\ccProxy.exe

c:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe

c:\Programfiler\Norton Internet Security\ISSVC.exe

c:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe

c:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe

c:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programfiler\Symantec\LiveUpdate\ALUSchedulerSvc.exe

c:\Programfiler\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Programfiler\ASUS\NB Probe\SPM\spmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ATK0100\HControl.exe

C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe

C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Programfiler\MessengerPlus! 3\MsgPlus.exe

C:\Programfiler\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\Messenger\msmsgs.exe

C:\WINDOWS\system32\sistray.exe

C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkCalRem.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Tore Jørgen\Skrivebord\hijackthis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: BlueFrogBho Helper - {7632ABCA-B104-4fbc-9C70-419C41470619} - C:\Programfiler\Blue Security\bluefrog_bho.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programfiler\Fellesfiler\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programfiler\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - c:\Programfiler\Fellesfiler\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programfiler\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ccApp] "c:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] c:\Programfiler\Fellesfiler\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Power_Gear] C:\Programfiler\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programfiler\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programfiler\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [RemoteControl] C:\Programfiler\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Programfiler\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: wkcalrem.LNK = C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\WkCalRem.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O18 - Protocol: msnim - 0 - (no file)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programfiler\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programfiler\Fellesfiler\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Programfiler\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programfiler\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Programfiler\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: spmgr - Unknown owner - C:\Programfiler\ASUS\NB Probe\SPM\spmgr.exe

Endret 12. mai 2006 av Scorpioen84

[berxter]

Ser ingenting i veien i loggen din, jeg... Få HJT til å fixe den 018-oppføringa; den skal ikke bety noe.. Du kan jo prøve en runde med F-Secure Blacklight, en rootkitfinner, men heller vel mer til oppfatningen av at det er noe annet.

 

Bernt K

Endret 12. mai 2006 av berxter

[zjulik]

Si litt om hvorvidt maskinen din har gått gjennom noen forandringer i det siste - ny hardware, nye programmer, andre problemer, når dette begynte...etc...alt du kan komme på.

 

Lurer fremdeles på dette altså

[Jarmo]

Ta ut nettverkskabel/disable trådløs, start opp i sikkerhetsmodus og sjekk ut cpu-bruken da..

 

Sjekk ut ISS servicen i Windows, den kan kjøre CPUèn på 100%...

Endret 12. mai 2006 av jarmo

[Tore]

Si litt om hvorvidt maskinen din har gått gjennom noen forandringer i det siste - ny hardware, nye programmer, andre problemer, når dette begynte...etc...alt du kan komme på.

 

Lurer fremdeles på dette altså

6086754[/snapback]

Eneste jeg har gjort er å stape inn en minnebrikke for en god stund siden, den har jo oppført seg til nå...

Eneste som er blitt installert siste uka er de winupdatene som er kommet.

Jeg merket det først når dama kom hjem fra høyskolen i går, så mulig hun kan ha plukket det opp fra Wlan der...

 

Ta ut nettverkskabel/disable trådløs, start opp i sikkerhetsmodus og sjekk ut cpu-bruken da.. hmm.gif

Startet i sikkerhetsmodus når jeg kjørte sophos virus programmet, da var cpu bruken 0-5%, altså normal...

(bruker ikke kabel og wlan var av...)

Endret 12. mai 2006 av Scorpioen84

[Tordenflesk]

Hvorfor avslutter du ikke bare wmiprvse.exe? har aldri opplevd noe problem ved å kvitte meg med den fila.

[zjulik]

Etter litt søk ser det ut til at det kan være nettverksrelatert. Et eller annet som var tilstede på wlanet er der ikke lenger, men maskinen tror det er der og driver og leter...litt enkelt sagt, men se om ikke det faktum at maskinen har vært på et annet lan har krevd endringer i nettverkstilkoblinger/alternativer for internett...eller slike ting.

 

En trådløs nettverksforbindelse, hvis den ikke lenger trengs, kan evt deaktiveres.

[Tore]

Hvorfor avslutter du ikke bare wmiprvse.exe? har aldri opplevd noe problem ved å kvitte meg med den fila.

6087200[/snapback]

 

Det var det første jeg prøvde såklart, samme startet med en gang etterpå...

Hjalp heller ikke å sette fila i karantene...

 

Etter litt søk ser det ut til at det kan være nettverksrelatert. Et eller annet som var tilstede på wlanet er der ikke lenger, men maskinen tror det er der og driver og leter...litt enkelt sagt, men se om ikke det faktum at maskinen har vært på et annet lan har krevd endringer i nettverkstilkoblinger/alternativer for internett...eller slike ting.

 

En trådløs nettverksforbindelse, hvis den ikke lenger trengs, kan evt deaktiveres.

 

Noen som har erfaring me et verktøy som kalles Registry Mechanic.?

Kjørte en trial av det, og det mente det fant ca140 feil og at det rettet på 44 feil...

 

Og etter det så har det vært borte...

Men samtidig så har Wlan på bærbarn vært borte, så jeg slettet det som var igjen & satte opp ip & gateway på nytt etter zjulik innlegg og nå, ser det ut som om den oppfører seg.!! :!:

 

tusen takk til alle som tok seg tid til å svare i tråden, jeg har lært masse

 

Problem løst.

Endret 12. mai 2006 av Scorpioen84