mscorsvw.exe, Windows 8, virus. Osedvanligt konstigt problem.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2013

mscorsvw.exe, Windows 8, virus. Osedvanligt konstigt problem.

Hej,

Jag har ett minst sagt konstigt problem, ev. virus. Mitt OS är Windows 8 och när task manager (inbyggda) är stängd så körs en process mscorsvw.exe och tar 100% CPU (man kan bara se denna via third party task manager). Så fort jag startar task manger så stängs denna och CPU förbrukning är normal igen. Jag har googlat och det verkar råda delade meningar om huruvida detta är ett virus eller ej. mscorsvw.exe är definitivt en MS fil, men frågan är om något annat kör via den. Jag kör NOD32 som antivirus och givetvis har jag haft det uppdaterat hela tiden.

Är det någon som sitter på info? Jag har varit med sedan C64 tiden men det här är något nytt.

PS4 & Macbook Pro.

Utlandssvensk sedan många år. Citera för svar.

Trädvy Permalänk
Medlem
Registrerad
Sep 2006

Börja med att dra hem och skanna datorn med Malwarebytes (länk i min signatur). Hittar den något?
I annat fall bör du ju se till att Windows är uppdaterat. Kolla i loggboken under kontrollpanelen --> Administrativa verktyg --> Loggboken om där finns något under Windows --> System eller Applikation
Kör cmd som administrator och kör sfc /scannow.

Något skoj resultat?

Dator: https://www.inet.se/kundvagn/bild/9823049/
Server: 2x HP ProLiant Microserver Gen8, 16GB/st, ESXi 6.0
NAS: Synology DS413 4st 3TB | QNAP TS-879 Pro 8st 2TB

Trädvy Permalänk
Medlem
Plats
0:0:0:0:0:0:7f00:1
Registrerad
Aug 2005
Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2013

Hej,

Tack för input. Har fortfarande inte hittat någon tillfredsställande lösning. Har dock lyckats komma en bit på vägen mha detta

http://social.technet.microsoft.com/Forums/en-US/w7itproperf/...

Problemet verkar inte vara mscorsvw.exe utan

/Syswo64/sbs_wminet_utils.dat

och

/System32/SBS_MSCORSEC.dat

som kör mscorsvw.exe via alias. Efter att ha tagit bort dessa manuellt så ligger inte CPU på 100% när task managern är stängd. Dock körs mscorvs.exe fortfarande som

mscorsvw.exe,C:\Windows\SysWOW64\update\mscorsvw.exe -T -o http://pool.50btc.com:8332 -o http://pool2.50btc.com:8332 -o http://pool3.50btc.com:8332 -o http://pool4.50btc.com:8332 -u 1Mg8cUZ4sFSk95im9LgHbzNFn5aEfvkSCU -p "" -u 1Mg8cUZ4sFSk95im9LgHbzNFn5aEfvkSCU -p "" -u 1Mg8cUZ4sFSk95im9LgHbzNFn5aEfvkSCU -p "" -u 1Mg8cUZ4sFSk95im9LgHbzNFn5aEfvkSCU -p "" -I d

Så den ligger och lyssnar på 50btc.com (och stängs fortfarande så fort task managers öppnas). Jag har sökt i registret, kört Malwarebyte som Nisse rekommenderade. Inget fungerar. Vette fan vad jag ska ta mig till. Vill ju inte ha något bakgrundsprogram som ligger och skickar hemligheter till nån okänd internetsida... Som sagt, alla tips mottages varmt.

PS4 & Macbook Pro.

Utlandssvensk sedan många år. Citera för svar.

Trädvy Permalänk
Avstängd
Registrerad
Maj 2007
Skrivet av nidnus:

Hej,

Jag har ett minst sagt konstigt problem, ev. virus. Mitt OS är Windows 8 och när task manager (inbyggda) är stängd så körs en process mscorsvw.exe och tar 100% CPU (man kan bara se denna via third party task manager). Så fort jag startar task manger så stängs denna och CPU förbrukning är normal igen. Jag har googlat och det verkar råda delade meningar om huruvida detta är ett virus eller ej. mscorsvw.exe är definitivt en MS fil, men frågan är om något annat kör via den. Jag kör NOD32 som antivirus och givetvis har jag haft det uppdaterat hela tiden.

Är det någon som sitter på info? Jag har varit med sedan C64 tiden men det här är något nytt.

Steg ett är att avinstallera NOD32 och se om det hjälper.

Nya funktioner i “Anniversary Update” för Windows 10 som släpps till sommaren:
http://www.howtogeek.com/248177/whats-new-in-windows-10s-anni...

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2013

Fast jag hart startat i felsäkert, där mscorsvw.exe inte laddas, och kört viruskoll. Fast det är klart, jag har prövat det mesta annat så kanske värt ett försök

PS4 & Macbook Pro.

Utlandssvensk sedan många år. Citera för svar.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2004

Mscorsvw.exe behöver köras efter att ASP.Net motorn har uppdaterats. En sån uppdatering skedde i samband med att Microsoft säkerhetspatcharna skickades ut för några dar sen. På din maskin kan det finnas olika versioner av ASP.Net och varje version kan behöva uppdateras.

Som någon säkert skrivit så bygger (förkompilerar) den processen ASP.Net motorn och det kan ta en bra stund på en långsam maskin. Bryter du processen så kommer den bara att starta upp igen vid ett senare tillfälle. Det bästa är att låta den gå klart. Den går bara med full fart så länge du inte använder maskinen så den borde inte störa så fruktansvärt.

Intel: Asrock Z370 Extreme M4|8700K@4.9|Noctua DH15|G.Skill Flare X 3200@4000 17-19-19-39 32GB|MSI 1080TI Gaming X|Samsung 960 EVO 1TB
AMD: MSI B350 Tomahawk|RyzenR5 1600X|Fractal Design Celsius S24|Corsair Vengeance@2933 32GB|Asus 970|Samsung830 SSD

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2013

Fast varför skulle den avslutas så fort task managern startas? Med third party, typ Process Lasso, kan man se det klart och tydligt. Jag sitter på en i7 processor så har inte långsam dator. Dessutom, varför ligger den och pingar på btc adressen? Innan jag upptäckte vad det var som drog all CPU så kördes processen flera timmar. Det här är garanterat inte någon uppdatering som ligger och kör. Möjligen är det en misslyckad uppdatering, men åter igen, varför gömmer den sig för task managern?

PS4 & Macbook Pro.

Utlandssvensk sedan många år. Citera för svar.

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Aug 2007
Skrivet av strejf:

Steg ett är att avinstallera NOD32 och se om det hjälper.

Och varför skulle det vara steg ett?

Skrivet av nidnus:

Fast varför skulle den avslutas så fort task managern startas? Med third party, typ Process Lasso, kan man se det klart och tydligt. Jag sitter på en i7 processor så har inte långsam dator. Dessutom, varför ligger den och pingar på btc adressen? Innan jag upptäckte vad det var som drog all CPU så kördes processen flera timmar. Det här är garanterat inte någon uppdatering som ligger och kör. Möjligen är det en misslyckad uppdatering, men åter igen, varför gömmer den sig för task managern?

Har du kört med bitcoin mining innan? Har du inte det, så är botnet en stor risk låter det som. Formatera om datorn i så fall! Det är det ända som gäller.

Pc 1--> [AsRock DualSata2][AMD4600+X2][7800GT] [Intel SSD X-25 80GB G2][1TB F3][750GB IDE][4GB XMSCorsiar]Pc 2--> [Asus Crosshair] [AMD 4800+X2] [2st 8800GT i SLI] [RAID 0 2x250GB] [6GB XMSCorsair] [Corsair HX750]Pc 3-->[NAS DNS-323 3TB][Skärmar=24",24",24" Eyefinity]Pc 4--> AsRock P67 Extreme 4,i7 2600K @ 4.0 GHz,830 256GB,16GB 1600MHz,HD 6950 2GBFoto [Nikon D3100][70-300/35 1,8/18-55

Trädvy Permalänk
Avstängd
Registrerad
Maj 2007
Skrivet av skog1s:

Och varför skulle det vara steg ett?

Antivirusprogram brukar ställa till det med nya operativsystem i början. Speciellt från tredjepart.

Nya funktioner i “Anniversary Update” för Windows 10 som släpps till sommaren:
http://www.howtogeek.com/248177/whats-new-in-windows-10s-anni...

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2013
Skrivet av skog1s:

Har du kört med bitcoin mining innan? Har du inte det, så är botnet en stor risk låter det som. Formatera om datorn i så fall! Det är det ända som gäller.

Här ska inget formateras. Att formatera om pga ett virus är att sjunka lågt. Det här ska jag nog kunna lösa på något sätt.

Dock är jag förvånad över att det finns så lite info om det på nätet. Jag har ingen erfarenhet av Bitcoin eller Botnet, vet inte ens vad det är. Jag använder min dator med relativt bra säkerhetstänk, dock utan att vara paranoid. Min misstanke är att det ev. har med någon Windows 8 barnsjukdom att göra och som i sin tur har blivit exploaterad. Skulle aldrig använda Windows 8 om det inte vore för faktum att det kom förinstallerat och jag är för gammal att palla göra om allt. Dock så har jag lyckats avaktivera all Metroskit. Kanske är det där skon klämmer, 8an känner av att jag inte gillar nya makeupen och straffar mig i utbyte. Attans.

Mer goda råd behövs.

PS4 & Macbook Pro.

Utlandssvensk sedan många år. Citera för svar.

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2004

Har du kommit något längre? Det låter ju som att du är smittad av ett rootkit som "minar" bitcions åt någon.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2013

Hej

Har lyckats få bort eländet nu genom att följa instruktionerna i

http://social.technet.microsoft.com/Forums/en-US/w7itproperf/...

Det var tre filer jag blev tvungen att helt ta bort, med task managern körandes (annars var de igång och kunde inte tas bort).

Mycket konstigt fel. Har haft tekniker från ESET inloggade på min dator. Hittills har de konstaterat att det rör sig om ett virus men har ingen lösning än.

Känns lite väl primitivt att bara ta bort filer sådär, men det funkade i alla fall. Ingen optimal lösning, men bättre än innan.

PS4 & Macbook Pro.

Utlandssvensk sedan många år. Citera för svar.

Trädvy Permalänk
Moderator
Plats
Stockholm
Registrerad
Sep 2010

*Tråd flyttad till Windows 8-forumdelen.*

*-<|:C-<-<

Nytt namn, samma bismak.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2013

Varför flyttade du till Windows 8 forum? Förvisso att jag kör det elände till operativsystem, men jag tror inte att problemet är OS specifikt.

PS4 & Macbook Pro.

Utlandssvensk sedan många år. Citera för svar.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2013

Eller, kanske inte ska säga något. Jag har aldrig haft sånt här strul sen jag bytte till Windows 8. Det sägs att barnsjukdomar stärker immunförsvaret men vafan, sånt här ska ju liksom inte hända.

PS4 & Macbook Pro.

Utlandssvensk sedan många år. Citera för svar.