[opgelost] svchost.exe probleem

Status
Niet open voor verdere reacties.
#1
Hoi,

Ik ben nu al meer dan een dag bezig met een virus wat ik niet verwijderd krijg.Hopelijk kan een van jullie mij hiermee helpen. Ik krijg namelijk om de 10 min een waarschuwing van avg dat het virus svchost.exe is aangetroffen. Ik met een aantal tools geprobeerd de Temp map te legen
maar het virus blijft hardnekkig doorgaan. Heb verder alle voorgeschreven stappen van het forum doorlopen maar het virus krijg ik niet verwijderd. Hieronder een HJT log en de melding van AVG, hopelijk weet iemand de oplossing.
Alvast bedankt!

Bestandstandsnaam: C:\Windows\Temp\iwi.tmp\svchost.exe
Bedreiging naam: Mogelijk geinfecteerd met een onbekend virus Win32\DH.BA

Procesnaam: C:\Windows\System32\svchost.exe
Proces-ID: 640



[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:16:52, on 27-12-2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
c:\windows\system32\dwm.exe
c:\windows\system32\taskhost.exe
c:\windows\explorer.exe
c:\program files\security\avgtray.exe
c:\windows\system32\igfxtray.exe
c:\windows\system32\hkcmd.exe
c:\windows\system32\igfxpers.exe
c:\program files\officemicrosoft office\office12\groovemonitor.exe
c:\program files\office\adobe\acrobat\acrobat_sl.exe
c:\program files\office\adobe\acrobat\acrotray.exe
c:\program files\synaptics\syntp\syntpenh.exe
c:\program files\office\goodsync\goodsync.exe
c:\program files\common files\ahead\lib\nmbgmonitor.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\office\mozilla\firefox.exe
c:\program files\common files\ahead\lib\nmindexstoresvr.exe
c:\program files\synaptics\syntp\syntphelper.exe
c:\program files\entertainment\sabnzbd\sabnzbd.exe
c:\windows\system32\searchfilterhost.exe
c:\program files\security\trend micro\hijackthis\hijackthis.exe

r1 - hkcu\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r0 - hklm\software\microsoft\internet explorer\search,searchassistant =
r0 - hklm\software\microsoft\internet explorer\search,customizesearch =
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
o2 - bho: adobe pdf conversion toolbar helper - {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o2 - bho: smartselect - {f4971ee7-daa0-4053-9964-665d8ee6a077} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o3 - toolbar: adobe pdf - {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
o4 - hklm\..\run: [adobe acrobat speed launcher] c:\program files\office\adobe\acrobat\acrobat_sl.exe
o4 - hklm\..\run: [acrobat assistant 8.0] c:\program files\office\adobe\acrobat\acrotray.exe
o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
o4 - hkus\s-1-5-19\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'local service')
o4 - hkus\s-1-5-19\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'local service')
o4 - hkus\s-1-5-20\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'network service')
o4 - hkus\s-1-5-20\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'network service')
o4 - hkus\s-1-5-18\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'system')
o4 - hkus\.default\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'default user')
o4 - global startup: vpn client.lnk = ?
o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
o8 - extra context menu item: append to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappend.html
o8 - extra context menu item: convert link target to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapturesellinks.html
o8 - extra context menu item: convert to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapture.html
o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
o13 - gopher prefix:
o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
o20 - appinit_dlls: avgrsstx.dll
o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
o23 - service: flexnet licensing service - macrovision europe ltd. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
--
end of file - 6786 bytes

[/hjt]
 
#2
Re: svchost.exe probleem

Hoi Technical Miracle :)


Er loopt idd een infectie mee. Doe volgende stappen eens:


Fix met Hijackthis volgende sleutels
* Enkel onderstaande regels aanvinken in de scan van HJT.
* Even alle open sites (ook deze) sluiten.
* Dan op het knopje "fix checked" klikken.
o4 - hkus\s-1-5-18\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'system')
o4 - hkus\.default\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'default user')


Download en gebruik Malwarebytes' Anti-Malware (mbam)
(als je hem al op de pc hebt staan, kan je gewoon de updates ophalen en laten scannen)
* download het setup bestand en sla op naar het bureaublad, sluit daarna het downloadvenstertje, dus niet meteen laten uitvoeren vanaf download
mbam-setup.exe
* Dubbelklik het opgeslagen mbam-setup.exe om het programma te installeren. (Vista: rechtermuisklikken > uitvoeren als admin)
* Let er op dat er een vinkje geplaatst is voor "Update Malwarebytes' Anti-Malware" en "Start Malwarebytes' Anti-Malware" > Klik daarna op "Voltooien".
Indien een update gevonden werd, zal die gedownload en genstalleerd worden.
* Wanneer het programma volledig up to date is, selecteer dan in het tabblad "Scanner" de "Snelle Scan" > klik op Scan.
* Als de scan voltooid is, klik op OK > daarna "Bekijk Resultaten" om de resultaten te zien.
* Vink alles aan > klik op: "Verwijder geselecteerde".
* Na het verwijderen zal een log openen en zal er mogelijk gevraagd worden om de computer opnieuw op te starten. (Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde malwarebestanden zal het enkele meldingen geven waarbij je OK moet klikken. Daarna zal het vragen om de pc opnieuw op te starten, sta dit toe.)
* Post de inhoud van het logje mee (haal ook weer even door de kleurcodering)
Indien je het niet automatisch kreeg of je moest herstarten, open weer mbam en neem tabje "logs". Als het daar niet staat, kijk bij c:\documents and settings\je gebruikersnaam\application data\malwarebytes\anti-malware\logs (XP) of C:\Users\Gebruiker\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs (Vista) of het daar staat, in het mapje "logs"


Herstart de pc
(tenzij dit bij/vlak na mbam al gebeurd was)


Maak en post ook een nieuw HJT logje
maar doe volgende eens:
* Blader naar hijackthis (c:\program files\trend micro\hijackthis\hijackthis.exe) via Start > deze computer > c:\ dubbelklikken > Program Files map openen > trendmicro map > hijackthis map)
* Rechtermuisklik op hijackthis.exe > kies : naam wijzigen
* Wijzig de naam van hijackthis.exe eens naar wat anders, bv problemen.exe
* Maak met de hernoemde HJT een nieuwe scan en post daar het resultaat eens van mee



succes :)
 
#3
Re: svchost.exe probleem

Hoi!

Ik al jouw stappen doorlopen en het probleem is helaas nog steeds.... Malwarebytes leverde geen resultaat op. Hierbij de twee logjes, ik hoop dat je er wat mee kunt.

Groet, TM


Malwarebytes' Anti-Malware 1.42
Database versie: 3440
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

27-12-2009 19:29:44
mbam-log-2009-12-27 (19-29-44).txt

Scan type: Snelle Scan
Objecten gescand: 100201
Verstreken tijd: 10 minute(s), 12 second(s)

Geheugenprocessen genfecteerd: 0
Geheugenmodulen genfecteerd: 0
Registersleutels genfecteerd: 0
Registerwaarden genfecteerd: 0
Registerdata bestanden genfecteerd: 0
Mappen genfecteerd: 0
Bestanden genfecteerd: 0

Geheugenprocessen genfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen genfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels genfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden genfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden genfecteerd:
(Geen kwaadaardige items gevonden)

Mappen genfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden genfecteerd:
(Geen kwaadaardige items gevonden)


[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:32, on 27-12-2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
c:\windows\system32\taskhost.exe
c:\windows\system32\dwm.exe
c:\windows\explorer.exe
c:\program files\security\avgtray.exe
c:\windows\system32\igfxtray.exe
c:\windows\system32\hkcmd.exe
c:\windows\system32\igfxpers.exe
c:\program files\officemicrosoft office\office12\groovemonitor.exe
c:\program files\office\adobe\acrobat\acrobat_sl.exe
c:\program files\office\adobe\acrobat\acrotray.exe
c:\program files\synaptics\syntp\syntpenh.exe
c:\program files\office\goodsync\goodsync.exe
c:\program files\common files\ahead\lib\nmbgmonitor.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\common files\ahead\lib\nmindexstoresvr.exe
c:\program files\synaptics\syntp\syntphelper.exe
c:\windows\system32\searchfilterhost.exe
c:\windows\system32\notepad.exe
c:\program files\security\trend micro\hijackthis\problemen.exe

r1 - hkcu\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r0 - hklm\software\microsoft\internet explorer\search,searchassistant =
r0 - hklm\software\microsoft\internet explorer\search,customizesearch =
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
o2 - bho: adobe pdf conversion toolbar helper - {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o2 - bho: smartselect - {f4971ee7-daa0-4053-9964-665d8ee6a077} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o3 - toolbar: adobe pdf - {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
o4 - hklm\..\run: [adobe acrobat speed launcher] c:\program files\office\adobe\acrobat\acrobat_sl.exe
o4 - hklm\..\run: [acrobat assistant 8.0] c:\program files\office\adobe\acrobat\acrotray.exe
o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
o4 - hkus\s-1-5-19\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'local service')
o4 - hkus\s-1-5-19\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'local service')
o4 - hkus\s-1-5-20\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'network service')
o4 - hkus\s-1-5-20\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'network service')
o4 - hkus\s-1-5-18\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'system')
o4 - hkus\.default\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'default user')
o4 - global startup: vpn client.lnk = ?
o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
o8 - extra context menu item: append to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappend.html
o8 - extra context menu item: convert link target to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapturesellinks.html
o8 - extra context menu item: convert to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapture.html
o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
o13 - gopher prefix:
o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
o20 - appinit_dlls: avgrsstx.dll
o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
o23 - service: flexnet licensing service - macrovision europe ltd. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
--
end of file - 6721 bytes

[/hjt]
 
#4
Re: svchost.exe probleem

Hoi :)


Kan je volgende eens doen:


Fix met Hijackthis nog eens volgende sleutels
* Enkel onderstaande regels aanvinken in de scan van HJT.
* Even alle open sites (ook deze) sluiten.
* Dan op het knopje "fix checked" klikken.
o4 - hkus\s-1-5-18\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'system')
o4 - hkus\.default\..\run: [cbssreg] c:\windows\temp\vipq.tmp\svchost.exe (user 'default user')


Download en gebruik vundofix van Attribune
(Hier evtl een uitgebreidere uitleg met afb. terug te vinden)
* sla op naar bv bureaublad of "mijn documenten"
VundoFix.exe
(evtle alarmen van antivirusprogs of onderdelen van hitman pro oid, kan je negeren, is vals alarm)
* Dubbelklik op VundoFix.exe om het te starten.
* Klik op knopje "Scan for Vundo"
* Wanneer de scan voltooid is, klik knopje "Remove Vundo"
* Er wordt gevraagd of je de bestanden wilt verwijderen. Klik op YES
Daarna zullen de icoontjes op je bureaublad even verdwijnen. Dit is normaal.
* Je krijgt een melding dat je PC zal afsluiten. Klik OK.


Herstart weer de pc


Laat GMER anti-rootkit eens scannen:
* Download GMER anti-rootkit en sla het op naar bv bureaublad :
http://www.gmer.net
via het download.exe knopje (even scrollen)
* kies voor "opslaan" en sla op naar bureaublad
* sluit het downloadvenster en dubbelklik het gedownloade .exe bestand van GMER (indien je een beveiligingswaarschuwing krijgt, klik op "uitvoeren")
* neem tabje "rootkit"
* het knopje "show all" NIET aanvinken, dus open laten
* klik het scan" knopje, GMER gaat nu de PC doorscannen (niet alles wat aangetroffen wordt is kwaadaardig)
* als de scan gedaan is (kan wel even duren, vergelijkbaar met een virusscan qua scantijd), klik knopje "copy"
* plak het gekopieerde resultaat in een volgende reactie


En post ook de resultaten van Vundofix
terug te vinden op c:\vundofix.txt


succes :)
 
#5
Re: svchost.exe probleem

Hoi!

Vundofix heeft niets gevonden. Hieronder de GMER uitdraai en de HJT log.

Gr,

TM

[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:11, on 28-12-2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
c:\windows\system32\dwm.exe
c:\windows\explorer.exe
c:\windows\system32\taskhost.exe
c:\program files\security\avgtray.exe
c:\windows\system32\igfxtray.exe
c:\windows\system32\hkcmd.exe
c:\windows\system32\igfxpers.exe
c:\program files\officemicrosoft office\office12\groovemonitor.exe
c:\program files\office\adobe\acrobat\acrobat_sl.exe
c:\program files\office\adobe\acrobat\acrotray.exe
c:\program files\synaptics\syntp\syntpenh.exe
c:\program files\office\goodsync\goodsync.exe
c:\program files\common files\ahead\lib\nmbgmonitor.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\common files\ahead\lib\nmindexstoresvr.exe
c:\program files\synaptics\syntp\syntphelper.exe
c:\windows\system32\searchfilterhost.exe
c:\program files\security\trend micro\hijackthis\problemen.exe
c:\program files\office\mozilla\firefox.exe

r1 - hkcu\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r0 - hklm\software\microsoft\internet explorer\search,searchassistant =
r0 - hklm\software\microsoft\internet explorer\search,customizesearch =
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
o2 - bho: adobe pdf conversion toolbar helper - {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o2 - bho: smartselect - {f4971ee7-daa0-4053-9964-665d8ee6a077} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o3 - toolbar: adobe pdf - {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
o4 - hklm\..\run: [adobe acrobat speed launcher] c:\program files\office\adobe\acrobat\acrobat_sl.exe
o4 - hklm\..\run: [acrobat assistant 8.0] c:\program files\office\adobe\acrobat\acrotray.exe
o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
o4 - hkus\s-1-5-19\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'local service')
o4 - hkus\s-1-5-19\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'local service')
o4 - hkus\s-1-5-20\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'network service')
o4 - hkus\s-1-5-20\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'network service')
o4 - global startup: vpn client.lnk = ?
o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
o8 - extra context menu item: append to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappend.html
o8 - extra context menu item: convert link target to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapturesellinks.html
o8 - extra context menu item: convert to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapture.html
o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
o13 - gopher prefix:
o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
o20 - appinit_dlls: avgrsstx.dll
o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
o23 - service: flexnet licensing service - macrovision europe ltd. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
--
end of file - 6545 bytes

[/hjt]

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-28 20:39:44
Windows 6.1.7600
Running: tbh18ett.exe; Driver: C:\Users\AVONKN~1\AppData\Local\Temp\uwwiqaoc.sys


---- System - GMER 1.0.15 ----

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E35AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E35104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E353F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E1D634
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E1D898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E351DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E35958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E356F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E35F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E361A8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82A4E579 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82A72F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text peauth.sys AB29FC9D 28 Bytes [8F, BF, 97, 27, 45, 88, B5, ...]
.text peauth.sys AB29FCC1 28 Bytes [8F, BF, 97, 27, 45, 88, B5, ...]
PAGE peauth.sys AB2A5E20 101 Bytes [64, A7, 19, 11, 82, 36, E8, ...]
PAGE peauth.sys AB2A602C 102 Bytes [C7, 5C, 48, C9, 93, 7C, 93, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 4F90 AC0AB000 290 Bytes [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 50B3 AC0AB123 566 Bytes [65, 0A, AC, FE, 05, 34, 65, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 52EA AC0AB35A 62 Bytes [AC, 33, C5, 89, 45, FC, 8B, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 5329 AC0AB399 101 Bytes [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 538F AC0AB3FF 148 Bytes [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE ...

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device -> \Driver\atapi \Device\Harddisk0\DR0 85992618

---- Files - GMER 1.0.15 ----

File C:\Windows\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----
 
#6
Re: svchost.exe probleem

Hoi TM :)

File C:\Windows\system32\drivers\atapi.sys suspicious modification
je hebt last van een rootkit die deze driver gehacked en aangepast heeft :(

Het makkelijkste is om die driver te vervangen door de originele (de driver proberen te cleanen loopt vaak niet van een leien dakje).
Even kijken dmv systemlook of er een cleane op je pc nu nog staat,
doe daarvoor volgende eens:
* download SystemLook en sla op naar bv. je bureaublad
SystemLook.exe
* dubbelklik het opgeslagen SystemLook.exe
* kopieer en plak de inhoud van onderstaand code-kadertje en plak het in het veldje van SystemLook
Code:
:filefind
atapi.sys
* Klik dan op het "look" knopje
* kopieer het resultaat en post het mee in je nieuwe reactie


succes :)
 
#7
Re: svchost.exe probleem

Oei, dat klinkt niet zo best...

Dit kwam uit SystemLook:

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 21:10 on 28/12/2009 by A Vonk Noordegraaf (Administrator - Elevation successful)

========== filefind ==========

Searching for "atapi.sys"
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys --a--- 21584 bytes [23:11 13/07/2009] [01:26 14/07/2009] 338C86357871C167A96AB976519BF59E
C:\Windows\System32\drivers\atapi.sys --a--- 21584 bytes [23:11 13/07/2009] [17:42 21/12/2009] 338C86357871C167A96AB976519BF59E
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys --a--- 21584 bytes [23:11 13/07/2009] [01:26 14/07/2009] 338C86357871C167A96AB976519BF59E

-=End Of File=-
 
#8
Re: svchost.exe probleem

Nee idd, maar gelukkig is het wel op te lossen door de besmette te vervangen door een cleane, en zijn er zo te zien cleane versies nog op de pc in een soort backup/restore mappen :)

(mocht dit niet lukken, dan is er ook nog altijd de optie om 'm te laten vervangen vanaf de windows CD of dvd, maar eerst even zo proberen)


Doe volgende eens:


Dit .batje maken en gebruiken
* Open kladblok (Start --> alle progr. --> bureau-accessoires --> kladblok) en kopieer + plak daarin de onderstaande blauwe tekst uit de code kader
* Kies dan voor "opslaan als" en sla op op het bureaublad met de bestandsnaam copy.bat en bij "opslaan als type" kies je voor "alle bestanden"
* Dubbelklik dan op het bureaublad het net aangemaakte .bat bestandje
(heeft als alles goed gegaan is, dit
of dit
icoontje
Code:
@echo off
copy C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys c:\atapi.sys
quit
(ga evtl. even kijken op de C:\ of daar nu een bestandje atapi.sys staat)


Download en gebruik vervolgens The Avenger van Swandog46
avenger.zip
* downloaden en opslaan naar het bureaublad
* na download avenger.zip uitpakken, bv. naar het bureaublad
* Dubbelklik dan op het icoontje met het zwaard, hierdoor opent TheAvenger
* Klik OK op het venstertje van The Avenger, (c) swandog46
* Onder "Script file to execute" kies "Input Script Manually".
* Klik op het vergrootglas icoontje; een nieuw venster zal openen met de naam "View/edit script"
* Kopieer en plak de inhoud uit het hieronder staande code kadertje erin :
Code:
Files to move:
c:\atapi.sys | C:\Windows\System32\drivers\atapi.sys
* Klik dan op Done
* en dan op het Groene verkeerslicht, om het script uit te voeren
* Antwoord "Yes/Ja" wanneer daarnaar gevraagd wordt.


The Avenger zal daarna je computer herstarten (indien dit niet automatisch gebeurt, herstart de pc zelf).
Bij de herstart zal het vlug een zwart command window openen, dit is normaal.
Na herstart een log aangemaakt worden en daarna openen, met de resultaten van The Avenger.
Post de inhoud van dat logje (als het niet automatisch opende, open het dan even zelf (het is terug te vinden in C:\avenger)


Succes :)
 
#9
Re: svchost.exe probleem

Thanks voor de nieuwe feedback:worship:
Alleen geen succes denk ik.. De eerste keer lukte het niet en de tweede keer allebei de stappen doorlopen als administrator en zie het onderstaande resultaat.

Gr,

TM


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not move file "c:\atapi.sys"
File move operation "c:\atapi.sys|C:\Windows\System32\drivers\atapi.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.
 
#10
Re: svchost.exe probleem

===edit: laat dit stukje tussen de ==== maar, 'k zie al waar het probleem zit :) =======
hmmz :(
even kijken waar het misgelopen is :)

kan je met SystemLook nog eens deze ingeven:
Code:
:filefind
atapi.sys
dus zoals eerder (zie eerdere post)
en het resultaat nog eens posten :)
==========================

doe volgende eens:
(grotendeels hetzelfde als eerder, maar met een gewijzigd batch bestandje :))


Dit .batje maken en gebruiken
Is een nieuw r(het oude kan je verwijderen)
* Open kladblok (Start --> alle progr. --> bureau-accessoires --> kladblok) en kopieer + plak daarin de onderstaande tekst uit de code kader (is wat anders dan bij de vorige)
* Kies dan voor "opslaan als" en sla op op het bureaublad met de bestandsnaam copy.bat en bij "opslaan als type" kies je voor "alle bestanden"
* Dubbelklik dan op het bureaublad het nieuw aangemaakte .bat bestandje (indien antivirusprogr. oid meldingen geven over possible risk ofzo, sta het toe, veel antivirussoftware geven alarmen bij .bat bestanden, maar deze zijn ok dus)
Code:
@echo off
copy /Y C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys C:\
del copy.bat and exit

Gebruik terug The Avenger van Swandog46
* Dubbelklik weer op het icoontje met het zwaard, hierdoor opent TheAvenger
* Klik OK op het venstertje van The Avenger, (c) swandog46
* Onder "Script file to execute" kies "Input Script Manually".
* Klik op het vergrootglas icoontje; een nieuw venster zal openen met de naam "View/edit script"
* Kopieer en plak de inhoud uit het hieronder staande code kadertje erin :
Code:
Files to move:
c:\atapi.sys | C:\Windows\System32\drivers\atapi.sys
* Klik dan op Done
* en dan op het Groene verkeerslicht, om het script uit te voeren
* Antwoord "Yes/Ja" wanneer daarnaar gevraagd wordt.

The Avenger zal daarna je computer herstarten (indien dit niet automatisch gebeurt, herstart de pc zelf).
Bij de herstart zal het vlug een zwart command window openen, dit is normaal.
Na herstart een log aangemaakt worden en daarna openen, met de resultaten van The Avenger.

Post de inhoud van dat logje (als het niet automatisch opende, open het dan even zelf (het is terug te vinden in C:\avenger)


Succes :)
 
Laatst bewerkt door een moderator:

Abraham54

Administrator
Medewerker
#11
Re: svchost.exe probleem

Mogelijk is de melding van GMER dat File C:\Windows\system32\drivers\atapi.sys suspicious modification een zogenaamde false/positive.

De map Drivers in Windows wordt door Windows beschermd!
Probeer het maar en verwijder de file handmatig, wacht een paar secondes en de file staat er weer!
 
#12
Re: svchost.exe probleem

Het zou fijn zijn als het idd een false alarm zou zijn :) maar deze rootkit is de voorbije weken een erg vaak opduikende infectie :( ik vrees dat het wel degelijk deze infectie is, vanaf dat GMER die regel weergeeft met een recente datum van wijziging voor atapi.sys, gaat er een belletje rinkelen.

One easy way to find out if you have a patched Atapi.sys is to run the latest copy of GMER Anti-RootKit. Upon opening GMER it will run a very fast quick scan. If you see any entries like \DEVICEHARDDISK\Atapi (something like that) or Atapi.sys "suspicious modification" (especially this one) then your probably dealing with a very nasty rootkit.
http://remove-malware.com/malware/malware-warnings/nasty-new-rootkit-patches-atapi-sys/
http://remove-malware.com/malware/malware-news/atapi-sys-rootkit-is-everywhere/
 
#13
Re: svchost.exe probleem

Hoi!

Helaas weer geen succes.. Wat ik alleen vorige keer vergeten ben te posten is dat de stappen bij 'avenger' bij mij wat anders verlopen. Ik zie alleen een aantal buttons met daaronder Input Script Here, dit kan ik daarna laten uitvoeren met Execute. Ik kan onder geen mogelijkheid de andere opties ontdekken die in het stappenplan staan beschreven. Misschien heb ik te maken met een andere versie of zie ik wat over het hoofd. Maar zoals vorige keer heb ik geen aandacht aan besteedt aangezien de rest wel verloopt zoals beschreven...

En bedankt voor al je tips :worship:

Gr,

TM


SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 21:23 on 29/12/2009 by A Vonk Noordegraaf (Administrator - Elevation successful)

========== filefind ==========

Searching for "atapi.sys"
C:\atapi.sys --a--- 21584 bytes [21:24 28/12/2009] [01:26 14/07/2009] 338C86357871C167A96AB976519BF59E
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys --a--- 21584 bytes [23:11 13/07/2009] [01:26 14/07/2009] 338C86357871C167A96AB976519BF59E
C:\Windows\System32\drivers\atapi.sys --a--- 21584 bytes [23:11 13/07/2009] [17:42 21/12/2009] 338C86357871C167A96AB976519BF59E
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys --a--- 21584 bytes [23:11 13/07/2009] [01:26 14/07/2009] 338C86357871C167A96AB976519BF59E

-=End Of File=-



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not move file "c:\atapi.sys"
File move operation "c:\atapi.sys|C:\Windows\System32\drivers\atapi.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.
 
#14
Re: svchost.exe probleem

Hey TM :)


Het kan best zijn dat het een beetje veranderd is, bij avenger, ik heb nl. gekeken met degene die ik heb, en die is al een paar maanden oud) :blush: sorry daarvoor.

Kijk anders eens of de atapi.sys nu onder je C staat? Dus of dat al gelukt is?
(start # deze computer # C: dubbelklikken en kijken of hij daar bij staat (verborgen bestanden moet je dan wel op weergave hebben))
Zoja, herstart de pc eens in de veilige modus
= Bij opstart, nog voor het verschijnen van het windowslogoscherm, een aantal keer op de toets "F8" klikken en verder de aanwijzingen op het scherm volgen: (kiezen voor "opstarten in veilige modus") totdat je op het bureaublad uitkomt dat er wel wat anders uitziet dan dat in de normale modus (geen achtergrondafb., grotere iconen, ... )
http://www.nationaalcomputerforum.nl/showthread.php?p=301200

en ipv het te laten doen door een tool of batch bestand ofzo, kopieer de atapi.sys die onder de C staat, blader dan naar
C:\Windows\system32\drivers <-- map "drivers" openen
(start # deze computer # c: locatie dubbelklikken # map windows openen # map "system32" openen # map "drivers" openen)
En plak daar de gekopieerde (en cleane) atapi.sys in.
Je gaat een melding krijgen dat het bestand reeds aanwezig is in die map, klik om hem te vervangen (of hernoem de atapi.sys die er in staat naar bv. INF_atapi.txt ofzo, en plak dan de gekopieerde atapi.sys in de map, zodat de cleane er dus in staat ipv de genfecteerde)

Lukt dat?
Maak evl een HJT logje in de veilige modus, nu je daar toch bent :)
(soms verschijnen er wel eens dingen in die in een logje gemaakt in gewone modus niet instaan (infectie laat ze niet zien bv.))

Herstart daarna de pc in de gewone modus, en post het logje gemaakt in veilige modus nog mee als je er een gemaakt hebt :)


Succes!
 
#15
Re: svchost.exe probleem

Hoi,

Ik heb het idee dat atapi.sys in gebruik is door de malware... Het bestand staat keurig op de c schijf maar is niet te vervangen of te hernoemen in de windows map. Het onderstaande bericht kwam naar voren bij het hernoemen.

You need permission for this action

You require permission from TrustedInstaller to make changes in this file

Is er een manier om dit te probleem uit de weg te gaan?
Gr, TM
 

Abraham54

Administrator
Medewerker
#16
Re: svchost.exe probleem

Wat je daar vermeld zijn de legale diensten in Vista, niks om je over bezorgd te maken.

Zoals ik al eerder schreef, de Driver map is geheel beschermd!
 
#17
Re: svchost.exe probleem

Probeer eens door zelf "ownership" over het bestand te nemen.
dat kan je door:

* start > cmd intypen in het lege "vuitvoeren"veldje
* rechtermuisklikken op cmd > Run as administrator
* in het openstaande commanda venstertje, typ:
takeown /f C:\Windows\system32\drivers\atapi.sys
* en enter

Probeer dan nog eens, lukt het dan?


succes :)
 
#18
Re: svchost.exe probleem

Yes!

Nu is het wel gelukt! Ik moest alleen mijzelf nog toegang geven via properties/security tot het vervangen en wijzigen van de file.
Hieronder de HJT file

Gr, TM

[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:33, on 30-12-2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support

Running processes:
c:\windows\explorer.exe
c:\windows\system32\ctfmon.exe
c:\program files\office\mozilla\firefox.exe
c:\windows\system32\cmd.exe
c:\windows\system32\conhost.exe
c:\program files\security\trend micro\hijackthis\problemen.exe

r1 - hkcu\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r0 - hklm\software\microsoft\internet explorer\search,searchassistant =
r0 - hklm\software\microsoft\internet explorer\search,customizesearch =
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
o2 - bho: adobe pdf conversion toolbar helper - {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o2 - bho: smartselect - {f4971ee7-daa0-4053-9964-665d8ee6a077} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o3 - toolbar: adobe pdf - {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
o4 - hklm\..\run: [adobe acrobat speed launcher] c:\program files\office\adobe\acrobat\acrobat_sl.exe
o4 - hklm\..\run: [acrobat assistant 8.0] c:\program files\office\adobe\acrobat\acrotray.exe
o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
o4 - hkus\s-1-5-19\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'local service')
o4 - hkus\s-1-5-19\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'local service')
o4 - hkus\s-1-5-20\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'network service')
o4 - hkus\s-1-5-20\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'network service')
o4 - global startup: vpn client.lnk = ?
o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
o8 - extra context menu item: append to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappend.html
o8 - extra context menu item: convert link target to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapturesellinks.html
o8 - extra context menu item: convert to adobe pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroiecapture.html
o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
o13 - gopher prefix:
o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
o20 - appinit_dlls: avgrsstx.dll
o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
o23 - service: flexnet licensing service - macrovision europe ltd. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
--
end of file - 5911 bytes

[/hjt]
 
#19
Re: svchost.exe probleem

super! (Y)

Het HJT logje ziet er goed uit.
merk je nog problemen, zoja, welke?

Indien hij nog melding geeft ivm de svchost.exe, doe deze eens:

sdfix logje
Zie hier (klik) voor de uitleg hoe sdfix te gebruiken.


succes :)
 
#20
Re: svchost.exe probleem

Het probleem is zo te zien opgelost! Ik merk er iig niets meer van en AVG ziet ook niets meer.

Super bedankt en gelukkig 2010!

Groet, TM
 
Status
Niet open voor verdere reacties.

Nieuwste berichten

Bovenaan Onderaan