Svchost.exe

[phal]

Op mijn laptop krijg ik sinds enkele dagen om de 5 minuten een melding van Norton Antivirus: svchost.exe (Trojan Horse) gedetecteerd door Auto-protect.Op het moment dat de mededeling rechtsonder in beeld komt, blijft de computer eventjes hangen.
Ik kan deze mededelingen wel uitzetten maar dat is waarschijnlijk niet de oplossing.

Gisteren waren er ook om de haverklap indringingspogingen van 212.117.174.172. Die worden ook geblokkeerd. Als toepassingspad staat er \Device\Harddiskvolume3\Windows\SYSTEM32\SVCHOST.EXE

Weet iemand wat ik hier mee moet doen?

 

[Yoyo13]

Download MBAM (Malwarebytes' Anti-Malware) hier.

• Dubbelklik op mbam-setup.exe om het programma te installeren.
• Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".
• Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.
• Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.
• Het scannen kan een tijdje duren, dus wees geduldig.
• Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
• Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.
• Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM.
Kopieer en plak de inhoud van het logje in je volgend antwoord.
Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.
Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

:thumb:

 

[phal]

Malwarebytes' Anti-Malware 1.44
Database versie: 3556
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

13/01/2010 21:26:16
mbam-log-2010-01-13 (21-26-16).txt

Scan type: Snelle Scan
Objecten gescand: 105595
Verstreken tijd: 4 minute(s), 40 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> Quarantined and deleted successfully.

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

 

[Yoyo13]

Download SAS (SuperAntiSpyware)hier.

• Dubbelklik op SUPERAntiSpyware.exe om het programma te installeren.
• Kies Nederlands(NL) als default-language.
• Klik hierna op OK.
• Laat SAS zoeken voor nieuwe updates en definitie-updates, en laat hem alles downloaden en installeren (dit kan even duren).
• Klik na het updaten op Volgende.
• Geef in het volgende scherm geen e-mail en klik zonder iets in te vullen op Volgende.
• Zet een vinkje bij Automatische controle voor programma- en definitie-updates, en klik daarna op Volgende.
• Zet een vinkje bij Stuur een diagnoserapport naar ons onderzoekcentrum, en klik op Volgende.
• Nu wordt het diagnostische rapport verzonden, daarna is de installatie klaar en klik je op Voltooien.
• Kies bij Homepage NIET beschermen
  
• Klik op Scannen van de computer en klik op Complete Scan uitvoeren.
• Na het scannen zie je een lijst met de gevonden virussen, klik dan op Scannerlog, er opent een log, post dat log in je volgende bericht.
• Verwijder daarna de virussen door alle virussen aan te klikken op Volgende/Verwijderen te klikken.

:thumb:

 

[phal]

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/13/2010 at 10:53 PM

Application Version : 4.33.1000

Core Rules Database Version : 4474
Trace Rules Database Version: 2292

Scan type : Complete Scan
Total Scan Time : 00:34:31

Memory items scanned : 788
Memory threats detected : 0
Registry items scanned : 7296
Registry threats detected : 0
File items scanned : 32120
File threats detected : 137

Adware.Tracking Cookie

 

[rifmaster]

:d

 

[phal]

Blijkbaar is het probleem nog niet opgelost. Norton blijft om de 5 minuten boodschappen tonen over de geblokkeerde aanval. Nog dingen die ik kan proberen?

 

[Yoyo13]

• 1. Download Kaspersky AVPTool en sla deze op je bureaublad op.
  • Start je computer opnieuw op, maar deze keer in Veilige Modus.
  • Dubbelklik op het installatie bestand om het programma te installeren.
  • Klik op Next om verder te gaan.
  • Het programma wordt standaard in een map op je buraublad geinstalleerd. Klik op Next.
  • Klik op OK in de melding om in Veilige Modus te scannen.
  • Het programma wordt automatisch worden geopend op het tabblad Autoscan.
  • Zorg ervoor dat het volgende onder Autoscan is aangevinkt:
    
    
    • System Memory
    • Startup Objects
    • Disk Boot Sectors
    • My Computer
    • Ook alle andere (verwijderbare) schijven

• Klik nadat je dat hebt geklikt op Security level: Recommended, kies Settings, tabblad Additional, vink Rootkitscan en Deep scan aan en klik op OK en je bent weer terug in het hoofd scherm.
  
  
  • Klik op Scan rechts onder.
  • Het programma neutraliseert automatisch alle gevonden objecten.
  • Als er nog niet-geneutraliseerde objecten overblijven, klik dan op de knop Neutralize all
  • Als er bestanden niet geneutraliseerd kunnen worden, verwijder het bestand dan.
  • Klik als dat allemaal klaar is op de reports knop aan de onderkant en sla het logje op met als bestandsnaam Kas.
  • Sla het logje op een geschikte plaats op (bijvoorbeeld je bureaublad) en kopieer alle gevonden malware uit je log, dit staat bovenaan onder Detected en plak alleen dit gedeelte van het logje in je volgende bericht.

Note: Dit programma zal zichzelf verwijderen
wanneer je het programma afsluit, dus sla het logje eerst op voordat je het programma afsluit.​

• 2. Download esetsmartinstaller naar je Bureaublad.
  • Schakel je eigen virusscanner uit.
  • Dubbelklik esetsmartinstaller_enu.exe en klik uitvoeren.
  • Zet een vinkje bij Yes,I accept the Terms of use.
  • Zet een vinkje bij Scan archives.
  • Klik Start en de Signature database wordt gedownload.
  • Afhankelijk van je Download snelheid kan dit enige tijd duren.
  • De scan begint direct na downloading van de signatures.
  • Als er infecties gevonden zijn klik “List of found threats”.
  • Klik dan onder op “Export to textfile” geef de txt-file een naam en sla het op je bureaublad op.
  • Klik nu de Back button en vink aan “Delete quarantined files”.
  • Sluit de Eset onlinescanner.
• Post nu de inhoud van de txt-file in je volgende antwoord.

:thumb:

 

[phal]

OK, de scan met Kaspersky is uitgevoerd. Ik weet niet of ik dat report goed bewaard heb maar dit is wat ik opgeslagen heb:

Autoscan: completed 3 minutes ago (events: 14, objects: 578414, time: 02:13:39)
14/01/2010 19:03:03 Task started
14/01/2010 21:16:42 Task completed

 

[phal]

Dit is de log van Esetsmart:

C:\Windows\System32\fjdetto.dll a variant of Win32/Kryptik.BDF trojan cleaned by deleting (after the next restart) - quarantined
C:\Windows\Temp\cbin.tmp\svchost.exe a variant of Win32/TrojanClicker.Delf.NHC trojan cleaned by deleting - quarantined
E:\Documenten\Download\Nero-8.3.13.0_all_update.exe Win32/Toolbar.AskSBar application deleted - quarantined
E:\Documenten\Outlook Express\Norton AntiSpam Folder.dbx Win32/Fuclip.B trojan unable to clean

 

[Yoyo13]

Welke problemen heb je nu?

 

[phal]

Het lijkt er sterk op dat de problemen opgelost zijn. Norton maakt in elk geval geen melding meer van geblokkeerde aanvallen.

Heel erg bedankt voor de deskundige hulp!

Ik ga mijn vraag de status 'Opgelost' geven.

 

[phal]

Nog een vraag

Is het nodig om die tools op je systeem te laten staan nadat het probleem opgelost werd? Ik denk aan esetsmartinstaller, kaspersky avpToool en superantispyware?

 

[Arretje]

@phal
Meld je aan bij Nucia
Ook al krijg je geen meldingen meer,je PC is geïnfecteerd met een Rootkit

Plaats een log in deze Sectie

En de link naar dit Topic

 

[Arretje]

Een logfile maken,niet hier maar op Nucia http://www.wurksjops.nl/wurksjops/hijackthis/

Het gaat om deze verwijdering

C:\Windows\Temp\cbin.tmp\svchost.exe a variant of Win32/TrojanClicker.Delf.NHC trojan cleaned by deleting - quarantined