[XP] svchost.exe downloadt constant met 100kB/s * - Privacy en beveiliging

woensdag 12 december 2007 08:06

Acties:

Verwijderd

Topicstarter

Sinds een paar dagen viel mij opeens op dat ik constant rond de 100kB/s download trek terwijl ik niks doen. Upload is telkens maar rond de 2/3 kB/s.

Ik ben niet gek dus heb even rond zitten kijken met netstat -a -b waar het allemaal vandaan kwam en dacht al meteen dat het foute boel was toen ik zag dat het svchost was die aan het downloaden was. Nu is alleen het vreemde dat het hier gaat om de echte svchost en geen spyware/trojan/whatever.

Svchost staat braaf in de system32 map, computer is met verschillende virusscanners gescanned. Hitman is er ook overheen geweest en ook de hijackthis logs laten niks vreemds zien. Security task manager geeft geen vreemde processen weer.

Het zijn telkens dezelfde IP adressen waar van gedownload wordt, het zijn wel steeds andere maar het blijft bij 3 adressen. Te weten:

66.246.179.201
85.17.99.233 (hyves ??)
212.129.63.31

Op dit moment heb ik een workaround door elke keer na het opstarten het procesnummer te limiten met netlimiter zodat er geen verkeer meer is, maar dit is natuurlijk niet echt een nette oplossing.

Ik heb al met google gezocht (ook op de verschillende IP adressen) en er schijnen meer mensen met exact hetzelfde probleem te zijn (alleen wordt er geen oplossing gegeven). Het gaat hier bij ook om precies dezelfde ip adressen.

Iemand enig idee wat hier aan de hand kan zijn?

[edit] Het gaat hier dus om Windows XP pro

woensdag 12 december 2007 08:10

Acties:

massareal

als je bij je services.msc kijkt staat daar dan "vreemde"services (zoals hyves) te draaien?

woensdag 12 december 2007 08:11

Acties:

royjn

2 minuten googlen

Automatic Updates
svchost.exe
Enables the download and installation of critical Windows updates. If the service is disabled, the operating system can be manually updated at the Windows Update web site.

Is je windows gewoon niet een update aan het binnen halen?

woensdag 12 december 2007 08:40

Acties:

massareal

http://forum.kaspersky.com/lofiversion/index.php/t19360.html

Draai een hijackthis en controleer je HOST bestand(zie tevens link hoe en wat).

O

edit: http://www.mvps.org/winhelp2002/hosts.htm hier kan je een aangepaste HOST downloaden, draai ik ook, blocked een hoop websites die troep hebben draaien

[ Voor 35% gewijzigd door massareal op 12-12-2007 08:44 ]

woensdag 12 december 2007 08:42

Acties:

ajhaverkamp

gewoon Arjan

massareal schreef op woensdag 12 december 2007 @ 08:40:
http://forum.kaspersky.com/lofiversion/index.php/t19360.html

Draai een hijackthis en controleer je HOST bestand(zie tevens link hoe en wat).

O

Zag je dit "en ook de hijackthis logs laten niks vreemds zien" in de topicstart staan?

This footer is intentionally left blank

woensdag 12 december 2007 08:47

Acties:

massareal

Geen log gezien

Ben ICT-er dan ga je niet blind op beweringen van gebruikers af.
Ik weet het, nare gewoonte.

Aannamens word je op afgerekend! - Gissen is missen! - Meten is weten!

woensdag 12 december 2007 08:50

Acties:

Swaptor

Java Apprentice

"Assumptions are the mothers of all fuckups" enzo.

Ontdek mij!
Proud NGS member
Stats-mod & forum-dude

woensdag 12 december 2007 08:58

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

WOS => BV.

Inderdaad kan het geen kwaad om het log + de interpretatie wel even te geven. Welke vscanners trouwens (en heb je om de beurt de oude verwijderd, een nieuwe gekocht, geinstalleerd, geupdatet en gebruikt om te scannen; heb je een 'oude' versie vanaf bijv. CD gebruikt of heb je alleen een paar webscans gedaan?)

Open deur: welke services draaien er? <-- zijn er verdachte services en gebeurt er wat als je die via services mgr afsluit?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 12 december 2007 12:25

Acties:

Verwijderd

Topicstarter

logfile van hijackthis:

code:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:18:16, on 12-12-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\NetLimiter 2 Lite\nlsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NetLimiter 2 Lite\NLClient.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\AP\Bureaublad\documenten\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Live Messenger (2).lnk = ?
O8 - Extra context menu item: Download All Files by HiDownload - C:\Program Files\HiDownload\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\Program Files\HiDownload\HDGet.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{258FC741-1176-475B-8612-1771877AE9AE}: NameServer = 10.0.0.1
O20 - Winlogon Notify: adsnw32 - C:\WINDOWS\SYSTEM32\adsnw32.dll
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Lite\nlsvc.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Thread Master (ThreadMaster) - Unknown owner - C:\WINDOWS\system32\ThreadMaster\ThreadMast.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: wampapache - Unknown owner - S:\wamp\bin\apache\apache2.2.6\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - S:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe (file missing)

--
End of file - 6956 bytes

Geen vreemde dingen zou ik zeggen. Autoupdates staan uit trouwens en host file is leeg.

woensdag 12 december 2007 13:06

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Je hebt WAMP niet goed verwijderd

Als ik zou mogen gokken, zoui ik usnsvc.exe zeggen. Maar dat is een combi van onwetendheid en vooroordelen dus dat telt niet

Kijk even met bijvoorbeeld Process Explorer welke service achter je svchost proces zit.

edit: autoupdate uit, dan doe je het wel heel regelmatig met de hand, mag ik hopen?

[ Voor 14% gewijzigd door F_J_K op 12-12-2007 13:13 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 12 december 2007 13:15

Acties:

gsteen

code:

1	O20 - Winlogon Notify: adsnw32 - C:\WINDOWS\SYSTEM32\adsnw32.dll

Deze vind ik vreemd. Zou ik eens door meerdere scanners halen, Jotti bijvoorbeeld.

"In theory, there is no difference between theory and practice. But, in practice, there is."

woensdag 12 december 2007 16:29

Acties:

Verwijderd

Scan eens met Prevx CSI.
Gaat supersnel en zal adsnw32.dll wel als "bad" kenmerken wanneer die ook daadwerkelijk "bad" is.

woensdag 12 december 2007 16:39

Acties:

Verwijderd

http://www.prevx.com/file...649228-0/ADSNW32.DLL.html

Kijk hier eens voor die adsnw32.dll