Just nu i M3-nätverket
Jump to content

Svchost eller Trojan ?


Guest idgadmin

Recommended Posts

Guest idgadmin

Hej!

Har en ny Dell dator med Windows XP Pro installerat och har problem med att svchost.exe söker sig ut på nätet till en okänd ip adress.

 

När jag konfigurerade bredbandsanslutnningen var jag tvungen att stänga ner brandväggen (ZoneAlarm) ett tag och jag misstänker att en Trojan smitit in.

 

Har formaterat hårddisk (dock ej kommit åt Dells bas?filer som är skyddade) och reinstallerat XP men problemet kvarstår.

 

Ett tag efter det att man startat datorn söker svchost.exe access till nätet och vill koppla upp sig mot ip 239.255.255.250 via port 1900.

 

Någon som vet om detta är normalt eller en Trojan ?

 

Jag har kört olika uppdaterade virus & spionprogram men de hittar inget.

 

 

 

Link to comment
Share on other sites

Kris11, hej :-)

 

Windows´ "Svchost" finns i system32-mappen. Det finns en trojan som lägger sig direkt under "Windows" eller "Winnt".

 

Du kan ladda ner HiJack This , det är ett litet verktyg som visar ett tvärsnitt av ditt system, bl.a. varifrån dina Svchost körs.

Högst upp på sidan här: http://www.sherrylynn.us/privacypolicy.htm

Klicka HiJackThis.exe, sedan "scan".Sedan "Save logfile" och lägg den någonstans, en textfil kommer då fram.Kopiera den hit så får du hjälp att titta på den.

 

Göm loggen bakom taggarna "LOG" "/LOG" utan citationstecken , men med [ ] istället, så göms den och tar inte så stor plats.

 

hälsning

 

Die Hard

 

 

Link to comment
Share on other sites

Hej Die Hard.

 

Har sett att du har tipsat om

LOG-funktionen ett par gånger här...

Tyvärr finns inte den här på

PC Support, utan bara på E-forum.

 

Fast ett tips till Jocke kanske fixar den biffen?

 

 

Link to comment
Share on other sites

Hej!

 

*skrattar*

 

Inte lätt att hålla reda på allt.

 

Många hälsningar: Malou

***** Ha En Fortsatt Underbar Dag *****

 

***** Ingen Fråga Är För Dum *****

 

Hellre fråga en gång för mycket, än inte fråga alls

 

 

 

 

 

 

 

Link to comment
Share on other sites

Guest idgadmin

Tack !

 

Kollar upp loggen mha Hijack.

 

Hittade oxo denna info "Newer versions of windows are using 239.255.255.250 as a sort of broadcast address to announce the presence of a machine on the network (sort of like a netbeui broadcast)" så jag antar att allt är OK.

 

Men (Maloú) ...det är genom att veta vad man inte kan som man vet vad man har kvar att lära... (-:

 

 

 

 

Link to comment
Share on other sites

Göm loggen bakom taggarna "LOG" "/LOG" utan citationstecken , men med [ ] istället, så göms den och tar inte så stor plats.

 

OJDÅ !! *ler*

 

Inte lätt att hålla reda på allt.

 

Sannerligen inte *ler*

 

Fast ett tips till Jocke kanske fixar den biffen?

 

Tips Jocke !! :-))

 

 

 

 

Link to comment
Share on other sites

Hej Kris11!

 

Men (Maloú) ...det är genom att veta vad man inte kan som man vet vad man har kvar att lära... (-:

 

Så sant som det är sagt *ler*.

 

 

Inte lätt att hålla reda på allt.

Mitt lilla inlägg var ett litet skämt riktat till Die Hard.

 

"Så jag hoppas att du inte blev ledsen och tror/trodde att det var ett "elakt" inlägg riktat till dig "för det var det inte".

 

"Det var som sagt ett litet skämt till Die Hard".

 

Många hälsningar: Malou

***** Ha En Fortsatt Underbar Dag *****

 

***** Ingen Fråga Är För Dum *****

 

Hellre fråga en gång för mycket, än inte fråga alls

 

 

 

 

 

 

 

Link to comment
Share on other sites

Guest idgadmin

 

[CITAT]varva ner lite, det är skillnad på Svchost.exe

och svchosts.exe.[/CITAT]

Bra svar, jag blev lite orolig att man skulle gå på Die Hards linje

 

 

ett huvud utan bekymmer finns bara på en fågelskrämma

 

Link to comment
Share on other sites

sesu :-))

 

Det beror på om du ska vara lugn eller inte.

"Svchost.exe" ska ligga i System32-mappen. Ligger den direkt under Windows är det ett virus.

Gå inte bara på namnet när det gäller parasiter, dom imiterar Windowsnamn .

 

Die Hard

 

 

Link to comment
Share on other sites

Guest idgadmin

Hmmm... den här svchost.exe är ofta uppe till diskussion och en mkt aktiv process i aktivitetshanteraren. Skulle gärna få info om den "lagliga" filen.

Vad jag har förstått är att den har med användarprofiler att göra bla eller??

_______________

Sesu

ett huvud utan bekymmer finns bara på en fågelskrämma

 

Link to comment
Share on other sites

sesu :-))

 

Svchost.exe startar grupper med profiler i systemet, det kan finnas flera "svchost" på en gång som körs. Alla har då olika funktioner.

Microsoft förklarar här : http://support.microsoft.com/default.aspx?scid=kb;sv;250320

 

Jag kan också lägga till att den senaste parasitvarianten av "Svchost.exe" hittar man här .Det är den senaste varianten av "Welchia"-masken :

C:\WINDOWS\System32\drivers\svchost.exe

 

Alltså, "C:\Windows\System32\svchost.exe" är den riktiga sökvägen. (Windows kan också vara "WINNT" )

 

Die Hard

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...