Just nu i M3-nätverket
Jump to content

Virus "Svchost"


Woodie

Recommended Posts

Var inne på en helt vanlig sida då plötsligt det kommer en grej med wondowsbrandväggen "blockera "svchost"?"

 

Tänkte, schhost är ju standard grej så jag tryckte "häv blockering"

 

Datorn dog....

 

När den kommer upp igen jarjag en litet kryss (röd cirkeil vitt kryss) nere till höger som varnar mig för "spionprogram" och vill installera ett spyware program.

 

Grejen e att nu vill Microsoft Visual C++ ta bort Rtvscan från Symantec Antivirus -_-

 

 

Va skall jag göra för att få bort skiten?

 

Link to comment
Share on other sites

Avsluta nått som hette "braskt" eller liknande på processer försvann (krysset i hörnet)

 

Fast jag vill nog bli av med det helt....

 

 

Programmet som vill installera sig heter "Antivirus 2009"

 

Nästan som tråden antivirus 2008 XP"

 

Följer råden där än så länge

Laddat ner Malwarebytes Anti-Malware från:

http://www.besttechie.net/tools/mbam-setup.exe

 

Skriver loggen senare

 

[inlägget ändrat 2008-11-03 19:47:01 av Woodie]

[inlägget ändrat 2008-11-03 19:52:24 av Woodie]

[inlägget ändrat 2008-11-03 20:20:56 av Woodie]

[inlägget ändrat 2008-11-03 20:25:49 av Woodie]

Link to comment
Share on other sites

Tog just bort en fil som hette braskt... kan ju vara den...

 

Skall fortfarande vänta klart på Malwarebyte...

 

Link to comment
Share on other sites

[log]Malwarebytes' Anti-Malware 1.30

Databasversion: 1360

Windows 5.1.2600 Service Pack 3

 

2008-11-03 21:24:18

mbam-log-2008-11-03 (21-24-18).txt

 

Skanningstyp: Fullständig skanning (C:\|D:\|H:\|)

Antal skannade objekt: 133051

Förfluten tid: 1 hour(s), 34 minute(s), 16 second(s)

 

Infekterade minnesprocesser: 1

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 3

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 11

 

Infekterade minnesprocesser:

C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\system32\drivers\svchost.exe (Trojan.FakeAlert.H) -> Delete on reboot.

C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\Woods\Lokala inställningar\Temp\BNe4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Woods\Lokala inställningar\Temp\wrdwn2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\Woods\Lokala inställningar\Temp\wrdwn3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\Woods\Lokala inställningar\Temp\wrdwn4 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\Woods\Lokala inställningar\Temp\wrdwn5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\Woods\Lokala inställningar\Temp\wrdwn6 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\Woods\Lokala inställningar\Temp\wrdwn7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\Woods\Lokala inställningar\Temp\wrdwn8 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\Woods\Lokala inställningar\Temp\wrdwn9 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

[/log]

 

Link to comment
Share on other sites

C:\WINDOWS\system32\drivers\svchost.exe

Du ser där den nya svchost som kom upp i brandväggen, det är inte den riktiga för den ligger i mappen C:\WINDOWS\system32. Ta bort den från brandväggsinställningarna.

 

Om datorn inte har startat om sedan du startade MBAM så gör det.

Hur fungerar datorn nu?

 

Link to comment
Share on other sites

Asså jag har typ två brandväggar, Windows som jag håller inaktiverad (som denna fråga fortfarande om jag ville blockera) för att den blockar spel trots att jag öppnar portar.

Den andra brandväggen är inbyggd i min router typ.

Routern blockar den alltid. Eller skall göra det.

 

I alla fall mår datorn prima just nu, verkar t.o.m. lite snabbare med det var ett par infekterade filer att ta bort :P

 

Har tagit bort den Svhost som jag hitta i windowsbrandväggen, genom kontrollpanelen som hamna i "undantag".

Dock e jag skeptisk till att det skall vara där eftersom brandväggen i datorn är inaktiverad...

 

 

an inte hitta C:\WINDOWS\system32\drivers\svchost.exe heller, såg att den faila att ta bort den :S

Va gör jag åt den (om den finns kvar på nått skumt sätt?) hittar den som sagt inte i alla fall.

[inlägget ändrat 2008-11-04 05:35:21 av Woodie]

[inlägget ändrat 2008-11-04 05:37:35 av Woodie]

Link to comment
Share on other sites

uppenbarligen kör du nån brandvägg i mjukvara, windowsbrandväggen, eftersom du kan hitta svchost i den :) Och det är också en bra idé, routerns brandvägg skyddar inte mot den här sortens problem

 

Link to comment
Share on other sites

Precis som 2Many2 skriver så bör du ha en brandvägg igång i datorn, helst en som är bättre än XPs egen brandvägg, så att du får larm när något skadligt kommer in i datorn som vill använda sig av internet. Routerns brandvägg blockerar bara intrång utifrån internet och stoppar inte spionprogram i datorn från att skicka ut lösenord eller annat.

 

an inte hitta C:\WINDOWS\system32\drivers\svchost.exe heller, såg att den faila att ta bort den :S
Från MBAMs logg:
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.FakeAlert.H) -> Delete on reboot.
Så den är nog borttagen. Men kör MBAM en gång till för säkerhets skull och det räcker bra med en snabbskanning i stället för en fullständig skanning.

 

Om det känns som att det är något kvar så skanna med HijackThis:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat) och klistra in i ditt svar.

 

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://ceblstockholm.googlepages.com/home

 

 

Link to comment
Share on other sites

Vilken brandvägg är bättre en windows?

 

Grejen är ju att brandväggen T.ex. blockerar mig på warcaft 3 (alltså windows brandvägg) trots att jag släpper förbi den.

Problem blir p.g.a. win brandväggen är att när en host i ett game lämnar så lämnar jag automatiskt, det laggar mer, och jag kan inte starta egna games.

 

Så vad rekommenderas?

 

 

Link to comment
Share on other sites

Då är jag förvirrad... varför skulle windows brandvägg blocka spel som du öppnat för? Och skapa lagg? Låter snarare som du kör med port triggering i routern som släpper taget för fort när hosten lämnar...

 

Finns ett antal gratis brandväggar, överlåter åt Cecilia et al att rekommendera någon :)

 

Link to comment
Share on other sites

Oavsett brandvägg i datorn så får man ju ägna lite tid till att lära sig den. PC Tools Firewall och Online Armor Free är två bra gratis brandväggar, men jag har inte haft något behov av att öppna portar i PC Tools Firewall (som jag har) så jag vet inte hur pass enkelt det är (annars så är PC Tools Firewall enkel att hantera). Länkar finns på http://ceblstockholm.googlepages.com/home

 

 

Link to comment
Share on other sites

Asså routern fungerar perfekt!

Den blocka först men fungera fint när jag öppna portar.

 

Men windows brandväggen vägra fungera, även om jag öppna portarna gång på gång sp blockades jag

 

Link to comment
Share on other sites

oj då skrev jag fel.

Det var bara när den var på sorry.

Så jag har inaktiverat den.

Jag menade i alla fall att alla problem uppstod när windows brandvägg var igång. Förlåt attj ag var otydlig

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...