Trojan i svchost.exe

[Korka]

Heisann. 

 

Nod32 gir fra seg meldinger på pcn min om at jeg har en "malicious code" i svchost.exe ved startup.

 

 

 

I spoiler har man meldingen som kommer

 

BTW: Viruset driver å slår av brannmuren min på windows.

Endret 23. august 2009 av Korka

[Ducktoy]

gratulerer

 

 

Det er i alle fall ett eller annet skummelt da svchost.exe ligger ikke der til vanlig, så denne skal fint gå an å fjerne.

Endret 23. august 2009 av Ducktoy

[Korka]

Thanks..Aner ikke hva faen som har skjedd.. Har vært vekke HELE sommer..Så plutselig når jeg slo på pcn min så kom det en advarsel fra Nod32.

[Korka]

BUMP

[raWrz]

kjør veiledningen som er linket i signaturen min

[Korka]

Ok.. Kjørt MMAB eller hva det het nå.

Klikk for å se/fjerne innholdet nedenfor

Malwarebytes' Anti-Malware 1.40

Databaseversjon: 2693

Windows 5.1.2600 Service Pack 3

 

8/25/2009 3:58:33 PM

mbam-log-2009-08-25 (15-58-33).txt

 

Skanntype: Rask Skann

Objekter skannet: 94378

Tid tilbakelagt: 5 minute(s), 23 second(s)

 

Minneprosesser infisert: 0

Minnemoduler infisert: 0

Registernøkler infisert: 2

Registerverdier infisert: 1

Registerfiler infisert: 0

Mapper infisert: 0

Filer infisert: 2

 

Minneprosesser infisert:

(Ingen mistenkelige filer funnet)

 

Minnemoduler infisert:

(Ingen mistenkelige filer funnet)

 

Registernøkler infisert:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{376892ae-1825-4e5f-9f85-23f9640051cc} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{376892ae-1825-4e5f-9f85-23f9640051cc} (Trojan.BHO) -> Quarantined and deleted successfully.

 

Registerverdier infisert:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

Registerfiler infisert:

(Ingen mistenkelige filer funnet)

 

Mapper infisert:

(Ingen mistenkelige filer funnet)

 

Filer infisert:

C:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Not selected for removal.

Som du ser, fjerna ikke svchost.exe. Tør ikke fucke opp pcn min eller noe. Så hva gjør jeg nå? Skal jeg fjerne svchost alikavell?

[geir__hk]

 

Men hva i? Disse bildene er jo så små at de er komplett umulige å lese, hvis det var meninga da. Tror du har glemt å lage lenke til det opprinnelige bildet.

[Korka]

Helvette også :/

[Dernel]

"Click here to view full image" står det i den svarte

[Ducktoy]

svchost.exe ligger normalt i Windows\System32, ikke i Windows\System32\drivers. Så dette er bare en trojan som forsøker å skjule seg selv ved å kalle seg det samme som en kjent windows-fil og legger seg godt til rette inne i en legitim windows-katalog.

 

Og som registerscannen sier ("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe") så støtter den at denne filen er bare å slette, da Windows aldri vil starte kritiske elementer på denne måten.

 

Er bare å la NOD32 gjøre jobben sin og slette filen.

[Korka]

Takk!

[Atiks]

Det kan være farlig å slette filer du ikke er 100% sikker på at det er virus eller vet hva en gjør og er. Så jeg anbefaler deg å laste ned MBAM ,oppdater det fult ,ta en skann med den og til slutt poste loggen.

Endret 25. august 2009 av snippern

[Korka]

Det var det jeg gjorde noen poster opp.....

[raWrz]

(iblant virker det som om snippern ikke leser hele topicen )

 

uansett:

 

hvis du ikke har slettet den enda gjør følgende:

 

Gjør følgende:

Last ned 'HijackThis'.

Lagre den i en permanent mappe, f.eks i C:\HJT\, dobbelklikk på HijackThis.exe, og trykk Do a system scan and save a logfile.

 

Når Notisblokk-vinduet åpnes, trykker du Ctrl-A for å markere hele teksten, kopierer det Ctrl-C og limer det inn i din neste post på forumet Ctrl-V. Mesteparten av innholdet i lista er trygt. Ikke fiks noe enda.

Du vil da få en logg tilsvarende den i spoiler nedenfor:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:06:11, on 08.09.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

c:\programfiler\fellesfiler\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Programfiler\Logitech\Video\CameraAssistant.exe

C:\WINDOWS\system32\ElkCtrl.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programfiler\Java\jre1.5.0_07\bin\jusched.exe

C:\Programfiler\Ahead\InCD\InCD.exe

C:\Programfiler\MSN Messenger\MsnMsgr.Exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Kenneth\Skrivebord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://stealthy.foolishgames.net/news.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programfiler\Logitech\Video\CameraAssistant.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programfiler\Logitech\Video\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programfiler\RivaTuner v2.0 RC 16\RivaTuner.exe" /S

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background

O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programfiler\fellesfiler\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programfiler\Sygate\SPF\smc.exe[/code]

 

 

 

 

Når du har gjort dette er det bare å vente på svar...

 

også hvis det ikek går ann og slette den "manuelt" så kan du prøve Avenger:

 

Last ned Avenger (av Swandog469), og lagre det på Skrivebordet

• Pakk ut avenger.exe fra Zip-filen, og lagre den på Skrivebordet
  
• Kjør avenger.exe ved å dobbelklikke på fila
  
• Kopier hele innholdet i den siterte boksen nedenfor, og lim det inn i avenger-vinduet:
  

Files to delete:

C:\WINDOWS\system32\drivers\svchost.exe

• Trykk på "Execute"-knappen
  
• Svar Ja til å kjøre scriptet og Ja til å la avenger restarte pc'n. Hvis ikke pc-en restartes automatisk, gjør du det manuelt.
  
• Etter restart vil det sprette opp en logg. Post denne loggen i din neste post.
  

[geir__hk]

"Click here to view full image" står det i den svarte

nei det gjør det ikke

 

[snippsat]

Gjør som Sumbit poster.

C:\WINDOWS\system32\drivers\svchost.exe

Er en falsk fil.

Den ekte er alltid plassert her.

C:\Windows\System32\svchost.exe

[raWrz]

Offtopic til geir__hk:

Klikk for å se/fjerne innholdet nedenfor

"Click here to view full image" står det i den svarte

nei det gjør det ikke

 

 

noe vits i og tulle med det når du bare kan høyere klikke på bilde og velge "copy image location" og lime inn i adresse felte? http://bildr.no/image/474241.jpeg .

Endret 26. august 2009 av Submit