Søg
Avatar billede boxer Praktikant
14. oktober 2004 - 15:53 Der er 11 kommentarer og
2 løsninger

SVC:HOST.exe spørger om adgang til nettet

Jeg har måske et virusproblem - jeg har IKKE så meget forstand på det men troede at jeg med Norton Internet Securety 2004 og nu 2005 var sikret.

Der er 2 ting som er lidt mistænkelige. Den første er services.exe - jeg kan ikke finde den i regedit, men den forsøger at få adgang hvilket jeg blokerer for.
Den anden er svchost.exe - den optræder i Norton's liste over tilladte/blokerede programmer med et "lækkert" ikon af en bombe med en lunte. Den er nu fjernet i regedit - i linien til venstre stod der SecuretyCenter og linien til højre stod der C:windows/svchost.exe
Jeg har kørt BitdefenderOnline som ikke fandt nogen virus.
Derudover kører jeg jævnligt virusscanning-norton, AdAware og Spybot.
Dog har jeg ikke tillid til at min PC er virusfri, bl.a. crasher NeroSmartStart jævnligt.

Kan en logfil fra HiJackthis hjælpe og hvor finder jeg programmet?

Håber der er en der kan hjælpe
Avatar billede resist Nybegynder
14. oktober 2004 - 16:35 #1
Ja, lad os se, hvad en HijackThis-log viser.

Hent Spybot og HijackThis:
http://www.spywarefri.dk/vaerktoj.htm

Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer og genstart.

Derefter kører du Hijackthis > Scan > Save log. Kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, vi skal nok hjælpe med at tyde loggen.
Avatar billede resist Nybegynder
14. oktober 2004 - 16:42 #2
Og hvis du for nyligt har kørt Spybot, så spring det punkt over.

Direkte link til HijackThis: http://danborg.org/spy/HJT/hijackthis.exe
Kør Hijackthis > Scan > Save log. Kopier logfilen herind, så kigger vi på den.
Avatar billede boxer Praktikant
14. oktober 2004 - 22:36 #3
Jeg er helt ny på eksperten.dk og vil lige sige:

DET ER FOR FEDT AT DER SIDDER NOGLE MENNESKER DER GIDER HJÆLPE ANDRE MED PC-PROBLEMER.
Jeg kan jo se at der kun gik 7 minutter før der kom et svar :o)

Her er en logfil fra Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 22:29:07, on 14-10-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccProxy.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Norton Internet Security\ISSVC.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Multimedia Card Reader\shwicon2k.exe
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmer\HP\HP Software Update\HPWuSchd.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programmer\eDonkey2000\edonkey2000.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Programmer\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\imapi.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Div. Setup\hijackthis.exe
C:\Programmer\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: HP-visning - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmer\HP\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CamMonitor] c:\Programmer\HP\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programmer\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [BackupNotify] c:\Programmer\HP\Digital Imaging\bin\backupnotify.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095140480750
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab


Har forresten lige kørt Trojan Hunter. Den blev kørt inden denne log blev lagt ind.
Avatar billede boxer Praktikant
14. oktober 2004 - 22:47 #4
Efter jeg kørte Trojan Hunter, var PC'en noget hurtigere i opstart.
Avatar billede resist Nybegynder
14. oktober 2004 - 22:49 #5
Nu skal jeg kigge på loggen.
Avatar billede resist Nybegynder
14. oktober 2004 - 22:56 #6
Loggen ser umiddelbart ren ud ;-)

Den største sikkerhedsrisiko er nok, at du bruger eDonkey. Der kan komme utroligt meget ”snavs” via fildelingsprogrammer. Jeg vil anbefale, at du afinstallerer via tilføj/fjern programmer.

Prøv at downloade denne engangsscanner: http://www.spywareinfo.dk/download/mwav.exe

Genstart i fejlsikret tilstand (F8 i opstart) og kør mwav.exe – aktiver så den scanner mest muligt.

Efter scanningen genstartes normalt. Fandt den noget?
Avatar billede resist Nybegynder
14. oktober 2004 - 23:00 #7
Computeren trænger måske også til en generel oprydning: slet midlertidige Internetfiler, cookies og ryd oversigten i Internetindstillinger. Lav derefter en diskoprydning og defragmentering.
Avatar billede boxer Praktikant
15. oktober 2004 - 21:08 #8
Jeg rydder op jævnligt som du beskriver. Har kørt en scan som du har beskrevet, men er ikke helt klar over hvilke oplysninger der skal bruges - loggen er megalang så her er det sidste:

Fri Oct 15 20:50:25 2004 => ***** Scanning complete. *****

Fri Oct 15 20:50:25 2004 => Total Number of Files Scanned: 73483
Fri Oct 15 20:50:25 2004 => Total Number of Virus(es) Found: 9
Fri Oct 15 20:50:25 2004 => Total Number of Disinfected Files: 0
Fri Oct 15 20:50:25 2004 => Total Number of Files Renamed: 4
Fri Oct 15 20:50:25 2004 => Total Number of Deleted Files: 0
Fri Oct 15 20:50:25 2004 => Total Number of Errors: 1
Fri Oct 15 20:50:25 2004 => Time Elapsed: 01:42:40
Fri Oct 15 20:50:25 2004 => Virus Database Date: 2004/10/14
Fri Oct 15 20:50:25 2004 => Virus Database Count: 106530

Fri Oct 15 20:50:25 2004 => Scan Completed.

Fri Oct 15 20:53:56 2004 => Virus Database Date: 2004/10/14
Fri Oct 15 20:53:56 2004 => Virus Database Count: 106530
Fri Oct 15 20:54:37 2004 => AV Library Unloaded (3)...


Hvorfor køre virusscan i fejlsikret tilstand? Skal jeg gøre det samme når jeg scanner med norton? Mwav har jo fundet virus som norton ikke kunne klare - Er kaspersky bedre?
Avatar billede boxer Praktikant
16. oktober 2004 - 00:03 #9
Her er forresten hvad spybot fandt

DSO Exploit: Data source object exploit (Registreringsdatabaseændring, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registreringsdatabaseændring, nothing done)
  HKEY_USERS\S-1-5-21-948235834-1520853715-3082692102-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registreringsdatabaseændring, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registreringsdatabaseændring, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registreringsdatabaseændring, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3  ---
2004-08-11 Includes\Cookies.sbi
2004-10-11 Includes\Dialer.sbi
2004-10-14 Includes\Hijackers.sbi
2004-10-07 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-10-12 Includes\Malware.sbi
2004-10-05 Includes\Revision.sbi
2004-09-16 Includes\Security.sbi
2004-10-12 Includes\Spybots.sbi
2004-08-30 Includes\Tracks.uti
2004-10-11 Includes\Trojans.sbi
Avatar billede resist Nybegynder
16. oktober 2004 - 20:01 #10
Som før sagt, kan jeg ikke se virus i din log fra HijackThis.

Angående Spybot og DSO Exploit: http://home8.inet.tele.dk/fbj/spybot_melder_om_dso_exploit.htm

Hvilken virusscanner der er bedst, er noget af et trosspørgsmål. Selv bruger jeg Avast, som jeg er fuldt ud tilfreds med.

På denne side kan du se nogle forslag til onlinescannere, som du kan prøve:  http://www.spywarefri.dk/onlinevark.htm
Avatar billede boxer Praktikant
16. oktober 2004 - 21:07 #11
Tak for hjælpen og de forskellige links :o)
Avatar billede boxer Praktikant
16. oktober 2004 - 21:40 #12
P.S
Jeg går ud fra at der er givet point når jeg har klikket på Accepter
Avatar billede resist Nybegynder
17. oktober 2004 - 09:06 #13
Velbekomme :-)

For at give points, skal du markere mit navn og trykke på accepter.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 17:11 Har glemt navn på min ene konto på eksperten! Af ErikHg i Fri debat
I går 15:00 RIP af DVD med MakeMKV Af dcedata1977 i Servere
I går 10:08 slet windows Af jajoh i Windows
07/0514:15 PHP Html Af Asky i Programmeringsværktøjer
07/0511:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
White papers
Flere white papers »