[XP] Upload door Generic Host Process for Win32 Services - Privacy en beveiliging

vrijdag 8 juni 2007 10:31

Acties:

Topicstarter

Sinds gisteren heb ik opeens een probleem dat mijn internet gigantisch traag is. Via netlimiter kwam ik erachter dat het process 'Generic Host Process for Win32 Services' dit veroorzaakte. Met 20 subprocessen tegelijk (5KB upload per stuk) wordt er iets geupload naar het ip-adres 203.24.6.90 op poorten 80 en 443.

Ik draai Windows XP, met een virusscanner (Avast) welke geen problemen kon vinden. Ook een rondje Ad-Aware leverde alleen ongevaarlijke cookies op. Ik kan het process (Pid 2932) gewoon killen, maar als ik de computer weer opnieuw opstart gaat hij gewoon verder met uploaden.

Iemand een idee wat dit is, en hoe ik er vanaf kom??

vrijdag 8 juni 2007 11:17

Acties:

pasta

Ondertitel

Scan eens een van die (sub)processen (ik neem aan dat er vast wel een executable of .dll die service aanstuurt) op Jotti's online malware scan. Zo kan je vervolgens een andere virusscanner uitproberen die het bestand wel als malware aanmerkt.

Waar had je overigens zelf al naar gezocht?

Signature

vrijdag 8 juni 2007 13:11

Acties:

Wolf3D

Topicstarter

svchost.exe dus. Een search door het systeem leverde twee verschillende svchost.exe (in c:\windows\, en in c:\windows\system32\)bestanden op, waarvan de eerste van de twee inderdaad het probleem veroorzaakte.
De website die je noemde vond idd een virus in het bestand. Natuurlijk kon precies de scanner die ik hier geinstalleerd heb het virus niet vinden.

A-Squared Found Trojan-Downloader.Win32.Delf.bld
AntiVir Found TR/Delphi.Downloader.Gen
ArcaVir Found Trojan.Downloader.Delf.Bld
Avast Found nothing
AVG Antivirus Found Downloader.Generic4.UYU
BitDefender Found GenPack:Trojan.Downloader.Delf.NSN
ClamAV Found Trojan.Downloader-8125
Dr.Web Found Trojan.DownLoader.22896
F-Prot Antivirus Found Possibly a new variant of W32/new-malware!Maximus
F-Secure Anti-Virus Found Trojan-Downloader.Win32.Delf.bld
Fortinet Found W32/Delf.BLD!tr.dldr
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Delf.bld
NOD32 Found nothing
Norman Virus Control Found Suspicious_F.gen
Panda Antivirus Found Bck/Dbot.A
Rising Antivirus Found nothing
VirusBuster Found Packed/FSG
VBA32 Found Trojan-Downloader.Win32.Delf.bld

Nou stap twee. Hoe verwijder ik het virus? Ik neem aan dat het handmatig verwijderen van het bestand niet voldoende is aangezien het nog ergens vandaag opgestart wordt. (Register?) En ik weet zowiezo niet of dit bestand naast die andere svchost.exe gebruikt wordt door windows.
Ik heb ook niet zo'n trek om voor dit ene bestand een andere virusscanner aan te schaffen.

Iemand ervaring met het verwijderen van dit (welke? elke virusscanner geeft een andere naam op) virus?

Pasta: In ieder geval bedankt voor je tip!

vrijdag 8 juni 2007 13:24

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Via: http://www.frsirt.com/english/virus/2007/03730 bij http://www.sophos.com/virusinfo/analyses/trojdwnldrhee.html gekomen

Bij de site van sophos is een fix te vinden.

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

zaterdag 9 juni 2007 20:38

Acties:

Petervanakelyen

Ga naar Start, Uitvoeren en typ : msconfig
Dan klik je op het tabblad opstarten en kan je svchost.exe uitschakelen. Ook zag ik in je post dat AVG het virus ook heeft gevonden. Die kan je eens installeren en laten scannen.

Somewhere in Texas there's a village missing its idiot.

maandag 11 juni 2007 09:44

Acties:

Wolf3D

Topicstarter

Ik heb svchost.exe uitgeschakeld via het register. Dus deze start bij het opstarten iig niet meer op. Ik ga vanavond de hele boel nog eens door een andere virusscanner laten scannen. AVG had ook een gratis versie, right? Kijken of die meer vindt dan Avast!

Bedankt voor jullie hulp!