[Virus?]svchost.exe

[AJKwak]

Vanavond heb ik, n.a.v. de berichten over een beveiligingslek in windows, mijn computer gescanned. Spyware doctor heeft vijf trojans (iets van het hijacken van IE) verwijderd. Daarna heb ik een hijack-this-log gemaakt, en gepost op de site www.hijackthis.de. Deze geeft als resultaat dat de volgende bestanden nasty zijn.

C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe

Niet nasty zijn.

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe

Het verschil zit hem dus in de hoofd- dan wel kleine letter S in de naam van de map system32. Ik kan deze map op mijn systeem echter alleen vinden met een kleine letter. Weet iemand wat er aan de hand is, en wat ik moet doen? Overigens is het al heel lang zo dat er in mijn processenlijst bij windows taakbeheer vijf svchoste.exe's staan.


Ter info de volledige log.

Logfile of HijackThis v1.99.1
Scan saved at 23:55:43, on 4-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Microsoft Office\Office10\msoffice.exe
C:\Documents and Settings\hier staat mijn naam\Mijn documenten\Mijn ontvangen bestanden\virus spyware ed\hijackthis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vogclub.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program Files\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Ontvangst door Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - http://67.18.204.35/activex/vogweb29.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVSync Manager (AvSynMgr) - Networks Associates Technologies, Inc. - C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[D@mien]

ligt misschien aan mij, maar ik krijg te zien dat alles in orde is... een aantal van die 'probably nasty' dingen zijn iig van die WMF patch dus die zijn in orde, maar ik zie niets van nasty dingen bij de svhost.exe bestanden...

[M@rco]

Dat is gewoon een onderdeel van Windows, maak je niet druk

Waar je je wél druk om moet maken: je hebt 3 virusscanners draaien Daar vertraag je de boel echt enorm mee en het helpt helemaal niets. Ik zou McAfee (vreet resources) en AVG (lage detection rate) maar eens verwijderen. Één virusscanner is echt meer dan genoeg, met meerder scanners schiet je totaal niets op. Zit elkaar alleen maar in de weg.

[freyk]

svhost.exe verwerkt processen die opgestart worden door .dll bestanden.
Ik heb bij vele logs gezien dat tijdens de momentopname door hijackthis, 2 a 3 keer svhost werd aangeroepen.
En soms gedacht dat het om W32.Welchia.worm ging.
Gelukkig bestaat er een patch voor dit probleem.

Citaat:

freyk schreef op 05-01-2006 @ 11:17 :
svhost.exe verwerkt processen die opgestart worden door .dll bestanden.
Ik heb bij vele logs gezien dat tijdens de momentopname door hijackthis, 2 a 3 keer svhost werd aangeroepen.
En soms gedacht dat het om W32.Welchia.worm ging.
Gelukkig bestaat er een patch voor dit probleem.

nee het is een process dat met services te maken heeft. DLL's worden afgehandeld door rundll32.exe

[Kingofthemall]

Ik heb zeven svchost's tegelijk aan! Je zou idd bijna denken dat het een virus is ofzo

http://www.liutilities.com/products/...brary/svchost/

Citaat:

Process File: svchost or svchost.exe
Process Name: Microsoft Service Host Process

Description:
svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated.

Note: svchost.exe is a process which is registered as the W32.Welchia.Worm. It takes advantage of the Windows LSASS vulnerability, which creates a buffer overflow and instigates your computer to shut down. To see more information about this vulnerability please look at the following Microsoft bulletin: http://www.microsoft.com/technet/sec.../ms04-011.mspx

This is a registered security risk and should be removed immediately.

Determining whether this process is a virus or a Windows process depends on the directory location it executes or runs from in WinTasks.

[AJKwak]

Heb geprobeerd de patch die freyk aangaf te downloaden, maar is me niet gelukt. De taal van mijn windows is niet goed of zo. Heb de site van microsoft laten kijken of ik nog updates miste, en volgens mij stond deze daar niet onder.

Tevens nogeens een hijack-this-log gemaakt en aan die site gegeven. Nu geeft die geen commentaar. Zal dus wel goed zijn. In ieder geval bedankt allemaal.

P.s. misschien dat ik McAfee er inderdaad eens moet uitgooien. De virusdefinities zijn vandaag precies 666 dagen niet bijgewerkt dus. Maar is het niet zo dat de kans dat een virus wordt ontdekt met meerdere scanners groter is dan met één?

[brent]

[QUOTE]AJKwak schreef op 05-01-2006 @ 00:18 :
[B]Vanavond heb ik, n.a.v. de berichten over een beveiligingslek in windows, mijn computer gescanned. Spyware doctor heeft vijf trojans (iets van het hijacken van IE) verwijderd. Daarna heb ik een hijack-this-log gemaakt, en gepost op de site www.hijackthis.de. Deze geeft als resultaat dat de volgende bestanden nasty zijn.

C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe

Niet nasty zijn.

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe

Het verschil zit hem dus in de hoofd- dan wel kleine letter S in de naam van de map system32. Ik kan deze map op mijn systeem echter alleen vinden met een kleine letter. Weet iemand wat er aan de hand is, en wat ik moet doen? Overigens is het al heel lang zo dat er in mijn processenlijst bij windows taakbeheer vijf svchoste.exe's staan.



1. Windows maakt geen verschil tussen hoofd- en kleine letters (andere
besturingssystemen doen dat wel), dus kunnen er geen twee mappen zijn die
"system32" heten.

2. Normaal draaien er maar twee instanties van het proces svchost exe Dat
er meer draaien is misschien niet gezond, maar wijst nog niet op malware.

3. De logfile toont aan dat er inderdaad een ongezonde toestand is : er
draaien verschillende antispy-programma's, antivirus-programma's, programma
's voor automatisch updaten, een browser van Mozilla, enz ... .

4. Remedie : windows laten zoeken naar svchost Normaal gaat hij dat
twee maal vinden ; éénmaal in C:\WINDOWS\System32\ en éénmaal in
C:\WINDOWS\System32\dllcache\. Indien er meer gevonden worden, naar de maker
ervan zoeken met "eigenschappen". De maker dient Microsoft te zijn.

Vindt hij dit :

c:\windows\system32\svchost.ini 6kb groot
c:\windows\system32\svchost.exe 13kb groot
c:\windows\system32\svchost32.exe
c:\windows\system32\svchost.cmd

dan is er een virus.

Citaat:

AJKwak schreef op 05-01-2006 @ 19:15 :
P.s. misschien dat ik McAfee er inderdaad eens moet uitgooien. De virusdefinities zijn vandaag precies 666 dagen niet bijgewerkt dus. Maar is het niet zo dat de kans dat een virus wordt ontdekt met meerdere scanners groter is dan met één?

Ik denk dat dat niet echt gaat werken als je scanner al bijna 2 jaar niet geupdate is.

[ILUsion]

Doe hoofdletters/kleine letters maken niet uit: Windows is niet case dependent, bij Unix/Linux is dat wel het geval bijvoorbeeld (daar is Document.doc en document.doc een ander document, in Windows wijzen ze alletwee naar hetzelfde document).

Anyhow, het is normaal dat svchost.exe meerdere malen opgestart is, dat hoort zo.

Inderdaad, met virusscanners beter maar eentje, en eventueel kun je wel een tweede schedulen om de schijf te scannen maar ze gelijktijdig laten aanstaan heeft weinig zin: er is meer kans dat ze elkaar in de weg lopen, dat virussen dubbel worden opgespoord en door alletwee verwijderd proberen te worden maar dat dat niet lukt omdat de ene de andere zou tegenhouden etc.