svxhost.exe en andere troep

Status
Niet open voor verdere reacties.
B

Bassos

Gebruiker
Lid geworden
12 nov 2004
Berichten
357
Kan iemand mij ff helpen met oa het probleem van svxhost.exe en natuurlijk de rest dat niet klopt in mijn systeem. Ik gebruik Spybot Search & Destroy, Ad-Aware SE, Sygate, Avast antivirus en Spywareblaster (de laatste 3 overigens pas sinds een paar dagen). Ik zie nu trouwens dat servicelog.exe er ook nog bijstaat (ik dacht dat ik hem met housecall eraf had gehaald)

Hier issie dan:

Logfile of HijackThis v1.98.2
Scan saved at 19:17:28, on 29-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\svxhost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\CMMON32.EXE
C:\Program Files\MSN Messenger\MSN Messenger.exe
C:\Program Files\HijackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zigo4.tk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.superweb.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Microsoft Office] svxhost.exe
O4 - HKLM\..\Run: [USB Device] servicelog.exe
O4 - HKLM\..\RunServices: [Microsoft Office] svxhost.exe
O4 - HKLM\..\RunServices: [USB Device] servicelog.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - HKCU\..\Run: [Microsoft Office] svxhost.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.superweb.nl
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1101577445921
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {F7E7FE39-7298-442F-97CE-B7A5E9AFE12D} (Info Class) - http://www0.spelpunt.nl/dev/toepen//lib/javachecker/idtool.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD5FFB49-62E0-43DD-AD04-B39480B9404C}: NameServer = 194.151.228.18 194.151.228.34
 
Laatst bewerkt:
Dag Bassos,

Er zijn nog wat opstart-items van servicelog.exe overgebleven, maar het bestand zelf staat niet meer bij de lopende processen dus zal inderdaad door Housecall verwijderd zijn. Het echte probleem hier is svxhost.exe. Doe het volgende even:


1. Scan met HijackThis en vink de volgende items aan:
O4 - HKLM\..\Run: [Microsoft Office] svxhost.exe
O4 - HKLM\..\Run: [USB Device] servicelog.exe
O4 - HKLM\..\RunServices: [Microsoft Office] svxhost.exe
O4 - HKLM\..\RunServices: [USB Device] servicelog.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - HKCU\..\Run: [Microsoft Office] svxhost.exe

O16 - DPF: {F7E7FE39-7298-442F-97CE-B7A5E9AFE12D} (Info Class) - http://www0.spelpunt.nl/dev/toepen//lib/javachecker/idtool.cab
Klik om te vergroten...
Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

- verwijder nu, in veilige modus dus, het volgende bestand:

C:\WINDOWS\System32\svxhost.exe <- dat bestand

- doe, nog steeds in veilige modus, schijfopruiming: Start -> Alle programma's -> Bureau-accessoires -> Systeemwerkset -> Schijfopruiming. Het 'berekenen' kan even duren. Vink alle opties aan.

3. Herstart de pc in 'normale modus'.

4. Maak een nieuw log en plaats dat hier.
 
Ik heb de bovenstaande acties uitgevoerd. Alleen als ik in veilige modus opstart dan krijg ik 2 accounts te zien (administrator en de account waar ie normaal in op start) Ik heb de acties uitgevoerd onder de administrator account, maakt dat iets uit of verschil?

En wat me opviel bij mijn log is dat er nog sporen in staan van symantec (dit is toch van norton anti virus?) Heb ik inderdaad een tijdje gehad, maar ik dacht alles er helemaal afgehaald te hebben.

De log:

Logfile of HijackThis v1.98.2
Scan saved at 22:01:23, on 29-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HijackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zigo4.tk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.superweb.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.superweb.nl
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1101577445921
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
 
En wat is dat drwtsn32.exe voor programma?? is dat een goedaardig of kwaadaardig prog.?? Want ik blok het nu met Sygate, maar als ik bij mijn processen kijk via ctrl+alt+del dan zie ik dat hij bijna op 400.000kB zit en het wordt alleen maar groter. Moet ik hem misschien niet meer tegenhouden met sygate??
 
Het enige wat ik van Symantec zie, zijn twee 016-items. Die mag je wel fixen als je wilt, maar kwaad kunnen ze niet.
Je log is nu schoon.
Ik raad je nog aan systeemherstel even uit te schakelen, de pc opnieuw op te starten, en dan systeemherstel weer in te schakelen. (Dit omdat er nog besmette bestanden in oude systeemherstelbestanden kunnen staan. Door systeemherstel tijdelijk uit te schakelen, verdwijnen die oude systeemherstelbestanden.)

drwtsn32.exe: http://support.microsoft.com/default.aspx?scid=kb;EN-US;308538
 
Dus ik zal drwtsn32.exe de volgende keer maar weer doorlaten :o

Dan wil ik ze toch even fixen die 016 items van symantec. En kan ik die 016 items "altijd" fixen als het regels zijn die ik niet ken?? Of zitten er toch wel belangrijke tussen zoals bijboorbeeld deze:

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1101577445921

En ik zal je raad die betrekking heeft op systeemherstel vanavond even opvolgen.

Bedankt weer!!
 
Geplaatst door Bassos
En kan ik die 016 items "altijd" fixen als het regels zijn die ik niet ken??
Klik om te vergroten...

016-items staan voor activeX-objecten die in Internet Explorer geïnstalleerd zijn. Deze worden opgeslagen in de map C:\Windows\Downloaded Program Files. Bij het fixen met HijackThis worden de betreffende bestanden van de pc verwijderd.

Het fixen van een 016-item kan nooit echt kwaad. Mocht je het later weer nodig blijken te hebben, dan kan het betreffende onderdeel immers gewoon weer gedownload worden.

Soms is het echter handig om een 016-item gewoon te laten staan. Dat item van Housecall bijvoorbeeld. Zou je dat fixen, dan zul je bij een volgende scan de hele boel weer opnieuw moeten downloaden (en dat is zeker als je een inbelverbinding hebt tamelijk vervelend). Laat je het staan, dan hoeft Housecall de engine bij een volgende scan alleen maar even te updaten en ben je dus veel sneller klaar.

Zie je 016-items van sites die je totaal niets zeggen of waar je nooit meer komt, dan kun je die het beste fixen. Zie je 016-items waar verdachte termen als "dialer", "free plugin" of "casino" in voorkomen, fix die dan zondermeer.
 
Ik heb nu een aantal 016 items gefixed. Ik weet nu ook een beetje wat ze inhouden heb een site gevonden met daarop uitleg over de items in HijackThis:

http://users.telenet.be/marcvn/spyware/1666868.htm

Maar ik zit nog steeds met een probleem dat Sygate echt traag is. Bijvoorbeeld als ik een log open, daar staat niks in en hij zegt dat ie het bijwerkt. Maar als ik deze dan weer wil afsluiten dan loopt Sygate ongeveer vast. Vandaar dat drwtsn32.exe steeds groter werd. Nu wil ik ff een aantal dingen opnieuw installeren zoals:

Sygate
Avast
SpywareBlaster
Ad-Aware SE
Sypot SD

Is dit een beetje een goede volgorde?

Maar er is een ander probleem, als ik Sygate installeer dan moet ik me registreren en ook bij avast. Dus moet ik eigenlijk een verbinding hebben met het internet als ik deze installeer, maar dan krijg ik natuurlijk allemaal weer troep binnen omdat ze nog niet actief zijn.

Kan ik ze ook installeren zonder te registreren?? Of zoiets?? Want ik wil eigenlijk pas verbinding hebben wanneer alles werkt.
 
Is mooi dat je die link geeft over dat verwijderen, zal het zeker toepassen.

Je kunt Sygate volgens mij wel gebruiken, want je kunt zeggen dat je je later wilt registreren. Maar de vorige keer liep Sygate bij mij daar al vast, dus vandaar.

Ik zal em ff hier op mijn stage downloaden en naar mijn mail zenden. Zet ik alles vanavond wel weer ff opnieuw erop.

Bedankt nog
 
Ik heb alles opnieuw geinstalleerd en geupdate en het werkt weer naar behoren. Nouja bijna naar behoren, want sygate werkt nog steeds niet helemaal vlekkeloos. Af en toe een beetje traag en in de logs komt niks te staan?? En loopt soms vast. Toch denkik dat het wel iets te maken heeft met de trage verbindig die ik heb. Ik zal eens wat gaan rondsnuffelen op het forum van sygate.

Maar op zich is het niet echt een groot probleem, want ik ben nu een beetje aan het proefdraaien en kijken hoe het allemaal werkt. Zodat alles klaarstaat wanneer ik ADSL krijg over een paar weekjes. Dus modder ik nu wel ff aan, ik zie wel.

Toch bedankt Buffy en de rest!!
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan