1. Deze website gebruikt cookies. Door deze website verder te gebruiken, gaat u akkoord met ons gebruik van cookies. Leer Meer.

[opgelost] svchost.exe probleem

Discussie in 'Opgeloste / Inactieve HJT-logs' gestart door Technical miracle, 27 dec 2009.

Discussie [opgelost] svchost.exe probleem in het Opgeloste / Inactieve HJT-logs forum op nationaalcomputerforum.nl/.

Topicstatus:
Niet open voor verdere reacties.
  1. Technical miracle

    Technical miracle Technical miracle

    Hoi,

    Ik ben nu al meer dan een dag bezig met een virus wat ik niet verwijderd krijg.Hopelijk kan een van jullie mij hiermee helpen. Ik krijg namelijk om de 10 min een waarschuwing van avg dat het virus svchost.exe is aangetroffen. Ik met een aantal tools geprobeerd de Temp map te legen
    maar het virus blijft hardnekkig doorgaan. Heb verder alle voorgeschreven stappen van het forum doorlopen maar het virus krijg ik niet verwijderd. Hieronder een HJT log en de melding van AVG, hopelijk weet iemand de oplossing.
    Alvast bedankt!

    Bestandstandsnaam: C:\Windows\Temp\iwi.tmp\svchost.exe
    Bedreiging naam: Mogelijk geinfecteerd met een onbekend virus Win32\DH.BA

    Procesnaam: C:\Windows\System32\svchost.exe
    Proces-ID: 640



    [hjt]
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:16:52, on 27-12-2009
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    c:\windows\system32\dwm.exe
    c:\windows\system32\taskhost.exe
    c:\windows\explorer.exe
    c:\program files\security\avgtray.exe
    c:\windows\system32\igfxtray.exe
    c:\windows\system32\hkcmd.exe
    c:\windows\system32\igfxpers.exe
    c:\program files\officemicrosoft office\office12\groovemonitor.exe
    c:\program files\office\adobe\acrobat\acrobat_sl.exe
    c:\program files\office\adobe\acrobat\acrotray.exe
    c:\program files\synaptics\syntp\syntpenh.exe
    c:\program files\office\goodsync\goodsync.exe
    c:\program files\common files\ahead\lib\nmbgmonitor.exe
    c:\windows\system32\igfxsrvc.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\program files\office\mozilla\firefox.exe
    c:\program files\common files\ahead\lib\nmindexstoresvr.exe
    c:\program files\synaptics\syntp\syntphelper.exe
    c:\program files\entertainment\sabnzbd\sabnzbd.exe
    c:\windows\system32\searchfilterhost.exe
    c:\program files\security\trend micro\hijackthis\hijackthis.exe

    r1 - hkcu\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r0 - hklm\software\microsoft\internet explorer\search,searchassistant =
    r0 - hklm\software\microsoft\internet explorer\search,customizesearch =
    r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
    o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
    o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
    o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
    o2 - bho: adobe pdf conversion toolbar helper - {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
    o2 - bho: smartselect - {f4971ee7-daa0-4053-9964-665d8ee6a077} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
    o3 - toolbar: adobe pdf - {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
    o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
    o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
    o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
    o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
    o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
    o4 - hklm\..\run: [adobe acrobat speed launcher] c:\program files\office\adobe\acrobat\acrobat_sl.exe
    o4 - hklm\..\run: [acrobat assistant 8.0] c:\program files\office\adobe\acrobat\acrotray.exe
    o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
    o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
    o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
    o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
    o4 - hkus\s-1-5-19\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'local service')
    o4 - hkus\s-1-5-19\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'local service')
    o4 - hkus\s-1-5-20\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'network service')
    o4 - hkus\s-1-5-20\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'network service')
    o4 - hkus\s-1-5-18\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'system')
    o4 - hkus\.default\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'default user')
    o4 - global startup: vpn client.lnk = ?
    o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
    o8 - extra context menu item: append to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappend.html
    o8 - extra context menu item: convert link target to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapturesellinks.html
    o8 - extra context menu item: convert to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapture.html
    o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
    o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
    o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
    o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
    o13 - gopher prefix:
    o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
    o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
    o20 - appinit_dlls: avgrsstx.dll
    o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
    o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
    o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
    o23 - service: flexnet licensing service - macrovision europe ltd. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
    o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
    o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
    --
    end of file - 6786 bytes

    [/hjt]
     
  2. *Kingpin*

    *Kingpin* Moderator

    Re: svchost.exe probleem

    Hoi Technical Miracle :)


    Er loopt idd een infectie mee. Doe volgende stappen eens:


    Fix met Hijackthis volgende sleutels
    * Enkel onderstaande regels aanvinken in de scan van HJT.
    * Even alle open sites (ook deze) sluiten.
    * Dan op het knopje "fix checked" klikken.


    Download en gebruik Malwarebytes' Anti-Malware (mbam)
    (als je hem al op de pc hebt staan, kan je gewoon de updates ophalen en laten scannen)
    * download het setup bestand en sla op naar het bureaublad, sluit daarna het downloadvenstertje, dus niet meteen laten uitvoeren vanaf download
    mbam-setup.exe
    * Dubbelklik het opgeslagen mbam-setup.exe om het programma te installeren. (Vista: rechtermuisklikken > uitvoeren als admin)
    * Let er op dat er een vinkje geplaatst is voor "Update Malwarebytes' Anti-Malware" en "Start Malwarebytes' Anti-Malware" > Klik daarna op "Voltooien".
    Indien een update gevonden werd, zal die gedownload en genstalleerd worden.
    * Wanneer het programma volledig up to date is, selecteer dan in het tabblad "Scanner" de "Snelle Scan" > klik op Scan.
    * Als de scan voltooid is, klik op OK > daarna "Bekijk Resultaten" om de resultaten te zien.
    * Vink alles aan > klik op: "Verwijder geselecteerde".
    * Na het verwijderen zal een log openen en zal er mogelijk gevraagd worden om de computer opnieuw op te starten. (Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde malwarebestanden zal het enkele meldingen geven waarbij je OK moet klikken. Daarna zal het vragen om de pc opnieuw op te starten, sta dit toe.)
    * Post de inhoud van het logje mee (haal ook weer even door de kleurcodering)
    Indien je het niet automatisch kreeg of je moest herstarten, open weer mbam en neem tabje "logs". Als het daar niet staat, kijk bij c:\documents and settings\je gebruikersnaam\application data\malwarebytes\anti-malware\logs (XP) of C:\Users\Gebruiker\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs (Vista) of het daar staat, in het mapje "logs"


    Herstart de pc
    (tenzij dit bij/vlak na mbam al gebeurd was)


    Maak en post ook een nieuw HJT logje
    maar doe volgende eens:
    * Blader naar hijackthis (c:\program files\trend micro\hijackthis\hijackthis.exe) via Start > deze computer > c:\ dubbelklikken > Program Files map openen > trendmicro map > hijackthis map)
    * Rechtermuisklik op hijackthis.exe > kies : naam wijzigen
    * Wijzig de naam van hijackthis.exe eens naar wat anders, bv problemen.exe
    * Maak met de hernoemde HJT een nieuwe scan en post daar het resultaat eens van mee



    succes :)
     
  3. Technical miracle

    Technical miracle Technical miracle

    Re: svchost.exe probleem

    Hoi!

    Ik al jouw stappen doorlopen en het probleem is helaas nog steeds.... Malwarebytes leverde geen resultaat op. Hierbij de twee logjes, ik hoop dat je er wat mee kunt.

    Groet, TM


    Malwarebytes' Anti-Malware 1.42
    Database versie: 3440
    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    27-12-2009 19:29:44
    mbam-log-2009-12-27 (19-29-44).txt

    Scan type: Snelle Scan
    Objecten gescand: 100201
    Verstreken tijd: 10 minute(s), 12 second(s)

    Geheugenprocessen genfecteerd: 0
    Geheugenmodulen genfecteerd: 0
    Registersleutels genfecteerd: 0
    Registerwaarden genfecteerd: 0
    Registerdata bestanden genfecteerd: 0
    Mappen genfecteerd: 0
    Bestanden genfecteerd: 0

    Geheugenprocessen genfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen genfecteerd:
    (Geen kwaadaardige items gevonden)

    Registersleutels genfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerwaarden genfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerdata bestanden genfecteerd:
    (Geen kwaadaardige items gevonden)

    Mappen genfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden genfecteerd:
    (Geen kwaadaardige items gevonden)


    [hjt]
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:39:32, on 27-12-2009
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    c:\windows\system32\taskhost.exe
    c:\windows\system32\dwm.exe
    c:\windows\explorer.exe
    c:\program files\security\avgtray.exe
    c:\windows\system32\igfxtray.exe
    c:\windows\system32\hkcmd.exe
    c:\windows\system32\igfxpers.exe
    c:\program files\officemicrosoft office\office12\groovemonitor.exe
    c:\program files\office\adobe\acrobat\acrobat_sl.exe
    c:\program files\office\adobe\acrobat\acrotray.exe
    c:\program files\synaptics\syntp\syntpenh.exe
    c:\program files\office\goodsync\goodsync.exe
    c:\program files\common files\ahead\lib\nmbgmonitor.exe
    c:\windows\system32\igfxsrvc.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\program files\common files\ahead\lib\nmindexstoresvr.exe
    c:\program files\synaptics\syntp\syntphelper.exe
    c:\windows\system32\searchfilterhost.exe
    c:\windows\system32\notepad.exe
    c:\program files\security\trend micro\hijackthis\problemen.exe

    r1 - hkcu\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r0 - hklm\software\microsoft\internet explorer\search,searchassistant =
    r0 - hklm\software\microsoft\internet explorer\search,customizesearch =
    r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
    o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
    o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
    o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
    o2 - bho: adobe pdf conversion toolbar helper - {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
    o2 - bho: smartselect - {f4971ee7-daa0-4053-9964-665d8ee6a077} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
    o3 - toolbar: adobe pdf - {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
    o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
    o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
    o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
    o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
    o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
    o4 - hklm\..\run: [adobe acrobat speed launcher] c:\program files\office\adobe\acrobat\acrobat_sl.exe
    o4 - hklm\..\run: [acrobat assistant 8.0] c:\program files\office\adobe\acrobat\acrotray.exe
    o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
    o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
    o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
    o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
    o4 - hkus\s-1-5-19\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'local service')
    o4 - hkus\s-1-5-19\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'local service')
    o4 - hkus\s-1-5-20\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'network service')
    o4 - hkus\s-1-5-20\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'network service')
    o4 - hkus\s-1-5-18\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'system')
    o4 - hkus\.default\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'default user')
    o4 - global startup: vpn client.lnk = ?
    o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
    o8 - extra context menu item: append to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappend.html
    o8 - extra context menu item: convert link target to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapturesellinks.html
    o8 - extra context menu item: convert to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapture.html
    o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
    o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
    o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
    o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
    o13 - gopher prefix:
    o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
    o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
    o20 - appinit_dlls: avgrsstx.dll
    o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
    o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
    o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
    o23 - service: flexnet licensing service - macrovision europe ltd. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
    o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
    o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
    --
    end of file - 6721 bytes

    [/hjt]
     
  4. *Kingpin*

    *Kingpin* Moderator

    Re: svchost.exe probleem

    Hoi :)


    Kan je volgende eens doen:


    Fix met Hijackthis nog eens volgende sleutels
    * Enkel onderstaande regels aanvinken in de scan van HJT.
    * Even alle open sites (ook deze) sluiten.
    * Dan op het knopje "fix checked" klikken.


    Download en gebruik vundofix van Attribune
    (Hier evtl een uitgebreidere uitleg met afb. terug te vinden)
    * sla op naar bv bureaublad of "mijn documenten"
    VundoFix.exe
    (evtle alarmen van antivirusprogs of onderdelen van hitman pro oid, kan je negeren, is vals alarm)
    * Dubbelklik op VundoFix.exe om het te starten.
    * Klik op knopje "Scan for Vundo"
    * Wanneer de scan voltooid is, klik knopje "Remove Vundo"
    * Er wordt gevraagd of je de bestanden wilt verwijderen. Klik op YES
    Daarna zullen de icoontjes op je bureaublad even verdwijnen. Dit is normaal.
    * Je krijgt een melding dat je PC zal afsluiten. Klik OK.


    Herstart weer de pc


    Laat GMER anti-rootkit eens scannen:
    * Download GMER anti-rootkit en sla het op naar bv bureaublad :
    http://www.gmer.net
    via het download.exe knopje (even scrollen)
    * kies voor "opslaan" en sla op naar bureaublad
    * sluit het downloadvenster en dubbelklik het gedownloade .exe bestand van GMER (indien je een beveiligingswaarschuwing krijgt, klik op "uitvoeren")
    * neem tabje "rootkit"
    * het knopje "show all" NIET aanvinken, dus open laten
    * klik het scan" knopje, GMER gaat nu de PC doorscannen (niet alles wat aangetroffen wordt is kwaadaardig)
    * als de scan gedaan is (kan wel even duren, vergelijkbaar met een virusscan qua scantijd), klik knopje "copy"
    * plak het gekopieerde resultaat in een volgende reactie


    En post ook de resultaten van Vundofix
    terug te vinden op c:\vundofix.txt


    succes :)
     
  5. Technical miracle

    Technical miracle Technical miracle

    Re: svchost.exe probleem

    Hoi!

    Vundofix heeft niets gevonden. Hieronder de GMER uitdraai en de HJT log.

    Gr,

    TM

    [hjt]
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:22:11, on 28-12-2009
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    c:\windows\system32\dwm.exe
    c:\windows\explorer.exe
    c:\windows\system32\taskhost.exe
    c:\program files\security\avgtray.exe
    c:\windows\system32\igfxtray.exe
    c:\windows\system32\hkcmd.exe
    c:\windows\system32\igfxpers.exe
    c:\program files\officemicrosoft office\office12\groovemonitor.exe
    c:\program files\office\adobe\acrobat\acrobat_sl.exe
    c:\program files\office\adobe\acrobat\acrotray.exe
    c:\program files\synaptics\syntp\syntpenh.exe
    c:\program files\office\goodsync\goodsync.exe
    c:\program files\common files\ahead\lib\nmbgmonitor.exe
    c:\windows\system32\igfxsrvc.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\program files\common files\ahead\lib\nmindexstoresvr.exe
    c:\program files\synaptics\syntp\syntphelper.exe
    c:\windows\system32\searchfilterhost.exe
    c:\program files\security\trend micro\hijackthis\problemen.exe
    c:\program files\office\mozilla\firefox.exe

    r1 - hkcu\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r0 - hklm\software\microsoft\internet explorer\search,searchassistant =
    r0 - hklm\software\microsoft\internet explorer\search,customizesearch =
    r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
    o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
    o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
    o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
    o2 - bho: adobe pdf conversion toolbar helper - {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
    o2 - bho: smartselect - {f4971ee7-daa0-4053-9964-665d8ee6a077} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
    o3 - toolbar: adobe pdf - {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
    o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
    o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
    o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
    o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
    o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
    o4 - hklm\..\run: [adobe acrobat speed launcher] c:\program files\office\adobe\acrobat\acrobat_sl.exe
    o4 - hklm\..\run: [acrobat assistant 8.0] c:\program files\office\adobe\acrobat\acrotray.exe
    o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
    o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
    o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
    o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
    o4 - hkus\s-1-5-19\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'local service')
    o4 - hkus\s-1-5-19\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'local service')
    o4 - hkus\s-1-5-20\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'network service')
    o4 - hkus\s-1-5-20\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'network service')
    o4 - global startup: vpn client.lnk = ?
    o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
    o8 - extra context menu item: append to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappend.html
    o8 - extra context menu item: convert link target to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapturesellinks.html
    o8 - extra context menu item: convert to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapture.html
    o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
    o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
    o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
    o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
    o13 - gopher prefix:
    o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
    o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
    o20 - appinit_dlls: avgrsstx.dll
    o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
    o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
    o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
    o23 - service: flexnet licensing service - macrovision europe ltd. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
    o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
    o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
    --
    end of file - 6545 bytes

    [/hjt]

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2009-12-28 20:39:44
    Windows 6.1.7600
    Running: tbh18ett.exe; Driver: C:\Users\AVONKN~1\AppData\Local\Temp\uwwiqaoc.sys


    ---- System - GMER 1.0.15 ----

    INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E35AF8
    INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E35104
    INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E353F4
    INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E1D634
    INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E1D898
    INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E351DC
    INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E35958
    INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E356F8
    INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E35F2C
    INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E361A8

    ---- Kernel code sections - GMER 1.0.15 ----

    .text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82A4E579 1 Byte [06]
    .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82A72F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
    .text peauth.sys AB29FC9D 28 Bytes [8F, BF, 97, 27, 45, 88, B5, ...]
    .text peauth.sys AB29FCC1 28 Bytes [8F, BF, 97, 27, 45, 88, B5, ...]
    PAGE peauth.sys AB2A5E20 101 Bytes [64, A7, 19, 11, 82, 36, E8, ...]
    PAGE peauth.sys AB2A602C 102 Bytes [C7, 5C, 48, C9, 93, 7C, 93, ...]
    PAGE spsys.sys!?SPRevision@@3PADA + 4F90 AC0AB000 290 Bytes [8B, FF, 55, 8B, EC, 33, C0, ...]
    PAGE spsys.sys!?SPRevision@@3PADA + 50B3 AC0AB123 566 Bytes [65, 0A, AC, FE, 05, 34, 65, ...]
    PAGE spsys.sys!?SPRevision@@3PADA + 52EA AC0AB35A 62 Bytes [AC, 33, C5, 89, 45, FC, 8B, ...]
    PAGE spsys.sys!?SPRevision@@3PADA + 5329 AC0AB399 101 Bytes [6A, 28, 59, A5, 5E, C6, 03, ...]
    PAGE spsys.sys!?SPRevision@@3PADA + 538F AC0AB3FF 148 Bytes [18, 5D, C2, 14, 00, 8B, FF, ...]
    PAGE ...

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

    Device -> \Driver\atapi \Device\Harddisk0\DR0 85992618

    ---- Files - GMER 1.0.15 ----

    File C:\Windows\system32\drivers\atapi.sys suspicious modification

    ---- EOF - GMER 1.0.15 ----
     
  6. *Kingpin*

    *Kingpin* Moderator

    Re: svchost.exe probleem

    Hoi TM :)

    je hebt last van een rootkit die deze driver gehacked en aangepast heeft :(

    Het makkelijkste is om die driver te vervangen door de originele (de driver proberen te cleanen loopt vaak niet van een leien dakje).
    Even kijken dmv systemlook of er een cleane op je pc nu nog staat,
    doe daarvoor volgende eens:
    * download SystemLook en sla op naar bv. je bureaublad
    SystemLook.exe
    * dubbelklik het opgeslagen SystemLook.exe
    * kopieer en plak de inhoud van onderstaand code-kadertje en plak het in het veldje van SystemLook
    Code:
    :filefind
    atapi.sys
    
    * Klik dan op het "look" knopje
    * kopieer het resultaat en post het mee in je nieuwe reactie


    succes :)
     
  7. Technical miracle

    Technical miracle Technical miracle

    Re: svchost.exe probleem

    Oei, dat klinkt niet zo best...

    Dit kwam uit SystemLook:

    SystemLook v1.0 by jpshortstuff (29.08.09)
    Log created at 21:10 on 28/12/2009 by A Vonk Noordegraaf (Administrator - Elevation successful)

    ========== filefind ==========

    Searching for "atapi.sys"
    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys --a--- 21584 bytes [23:11 13/07/2009] [01:26 14/07/2009] 338C86357871C167A96AB976519BF59E
    C:\Windows\System32\drivers\atapi.sys --a--- 21584 bytes [23:11 13/07/2009] [17:42 21/12/2009] 338C86357871C167A96AB976519BF59E
    C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys --a--- 21584 bytes [23:11 13/07/2009] [01:26 14/07/2009] 338C86357871C167A96AB976519BF59E

    -=End Of File=-
     
  8. *Kingpin*

    *Kingpin* Moderator

    Re: svchost.exe probleem

    Nee idd, maar gelukkig is het wel op te lossen door de besmette te vervangen door een cleane, en zijn er zo te zien cleane versies nog op de pc in een soort backup/restore mappen :)

    (mocht dit niet lukken, dan is er ook nog altijd de optie om 'm te laten vervangen vanaf de windows CD of dvd, maar eerst even zo proberen)


    Doe volgende eens:


    Dit .batje maken en gebruiken
    * Open kladblok (Start --> alle progr. --> bureau-accessoires --> kladblok) en kopieer + plak daarin de onderstaande blauwe tekst uit de code kader
    * Kies dan voor "opslaan als" en sla op op het bureaublad met de bestandsnaam copy.bat en bij "opslaan als type" kies je voor "alle bestanden"
    * Dubbelklik dan op het bureaublad het net aangemaakte .bat bestandje
    (heeft als alles goed gegaan is, dit [​IMG] of dit [​IMG] icoontje
    Code:
    @echo off
    copy C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys c:\atapi.sys
    quit
    (ga evtl. even kijken op de C:\ of daar nu een bestandje atapi.sys staat)


    Download en gebruik vervolgens The Avenger van Swandog46
    avenger.zip
    * downloaden en opslaan naar het bureaublad
    * na download avenger.zip uitpakken, bv. naar het bureaublad
    * Dubbelklik dan op het icoontje met het zwaard, hierdoor opent TheAvenger
    * Klik OK op het venstertje van The Avenger, (c) swandog46
    * Onder "Script file to execute" kies "Input Script Manually".
    * Klik op het vergrootglas icoontje; een nieuw venster zal openen met de naam "View/edit script"
    * Kopieer en plak de inhoud uit het hieronder staande code kadertje erin :
    Code:
    Files to move:
    c:\atapi.sys | C:\Windows\System32\drivers\atapi.sys
    * Klik dan op Done
    * en dan op het Groene verkeerslicht, om het script uit te voeren
    * Antwoord "Yes/Ja" wanneer daarnaar gevraagd wordt.


    The Avenger zal daarna je computer herstarten (indien dit niet automatisch gebeurt, herstart de pc zelf).
    Bij de herstart zal het vlug een zwart command window openen, dit is normaal.
    Na herstart een log aangemaakt worden en daarna openen, met de resultaten van The Avenger.
    Post de inhoud van dat logje (als het niet automatisch opende, open het dan even zelf (het is terug te vinden in C:\avenger)


    Succes :)
     
  9. Technical miracle

    Technical miracle Technical miracle

    Re: svchost.exe probleem

    Thanks voor de nieuwe feedback:worship:
    Alleen geen succes denk ik.. De eerste keer lukte het niet en de tweede keer allebei de stappen doorlopen als administrator en zie het onderstaande resultaat.

    Gr,

    TM


    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows Vista

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!


    Error: could not move file "c:\atapi.sys"
    File move operation "c:\atapi.sys|C:\Windows\System32\drivers\atapi.sys" failed!
    Status: 0xc0000022 (STATUS_ACCESS_DENIED)


    Completed script processing.

    *******************

    Finished! Terminate.
     
  10. *Kingpin*

    *Kingpin* Moderator

    Re: svchost.exe probleem

    ===edit: laat dit stukje tussen de ==== maar, 'k zie al waar het probleem zit :) =======
    hmmz :(
    even kijken waar het misgelopen is :)

    kan je met SystemLook nog eens deze ingeven:
    Code:
    :filefind
    atapi.sys
    dus zoals eerder (zie eerdere post)
    en het resultaat nog eens posten :)
    ==========================

    doe volgende eens:
    (grotendeels hetzelfde als eerder, maar met een gewijzigd batch bestandje :))


    Dit .batje maken en gebruiken
    Is een nieuw r(het oude kan je verwijderen)
    * Open kladblok (Start --> alle progr. --> bureau-accessoires --> kladblok) en kopieer + plak daarin de onderstaande tekst uit de code kader (is wat anders dan bij de vorige)
    * Kies dan voor "opslaan als" en sla op op het bureaublad met de bestandsnaam copy.bat en bij "opslaan als type" kies je voor "alle bestanden"
    * Dubbelklik dan op het bureaublad het nieuw aangemaakte .bat bestandje (indien antivirusprogr. oid meldingen geven over possible risk ofzo, sta het toe, veel antivirussoftware geven alarmen bij .bat bestanden, maar deze zijn ok dus)
    Code:
    @echo off
    copy /Y C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys C:\
    del copy.bat and exit

    Gebruik terug The Avenger van Swandog46
    * Dubbelklik weer op het icoontje met het zwaard, hierdoor opent TheAvenger
    * Klik OK op het venstertje van The Avenger, (c) swandog46
    * Onder "Script file to execute" kies "Input Script Manually".
    * Klik op het vergrootglas icoontje; een nieuw venster zal openen met de naam "View/edit script"
    * Kopieer en plak de inhoud uit het hieronder staande code kadertje erin :
    Code:
    Files to move:
    c:\atapi.sys | C:\Windows\System32\drivers\atapi.sys
    * Klik dan op Done
    * en dan op het Groene verkeerslicht, om het script uit te voeren
    * Antwoord "Yes/Ja" wanneer daarnaar gevraagd wordt.

    The Avenger zal daarna je computer herstarten (indien dit niet automatisch gebeurt, herstart de pc zelf).
    Bij de herstart zal het vlug een zwart command window openen, dit is normaal.
    Na herstart een log aangemaakt worden en daarna openen, met de resultaten van The Avenger.

    Post de inhoud van dat logje (als het niet automatisch opende, open het dan even zelf (het is terug te vinden in C:\avenger)


    Succes :)
     
    Laatst bewerkt: 28 dec 2009
  11. Abraham54

    Abraham54 Administrator

    Re: svchost.exe probleem

    Mogelijk is de melding van GMER dat File C:\Windows\system32\drivers\atapi.sys suspicious modification een zogenaamde false/positive.

    De map Drivers in Windows wordt door Windows beschermd!
    Probeer het maar en verwijder de file handmatig, wacht een paar secondes en de file staat er weer!
     
  12. *Kingpin*

    *Kingpin* Moderator

    Re: svchost.exe probleem

    Het zou fijn zijn als het idd een false alarm zou zijn :) maar deze rootkit is de voorbije weken een erg vaak opduikende infectie :( ik vrees dat het wel degelijk deze infectie is, vanaf dat GMER die regel weergeeft met een recente datum van wijziging voor atapi.sys, gaat er een belletje rinkelen.

    http://remove-malware.com/malware/malware-warnings/nasty-new-rootkit-patches-atapi-sys/
    http://remove-malware.com/malware/malware-news/atapi-sys-rootkit-is-everywhere/
     
Topicstatus:
Niet open voor verdere reacties.

Deel Deze Pagina