svchost.exe probeert verbinding te maken met malware

Hallo Tweakers,

Om een lang verhaal kort te houden, ik heb last van een proces of service die steeds svchost.exe instructie geeft om een malware dll te downloaden van verschillende sites. Ik krijgt dankzij Avast gelukkig steeds de melding dat deze verbinding wordt geblokkeerd, dus er is nog niks aan de hand. Alleen is er dus iets dat steeds svchost.exe de instructie geeft om iets te downloaden.

Wat er wordt geprobeerd te downloaden is een bestand genaamd "TroubleFix_142669689991445.dll", een snelle search geeft aan dat dit gewoon rommel is. Ook verschillende varianten van deze dll worden geprobeerd te downloaden van verschillende sites (De sites zal ik hier om veiligheidsredenen niet posten).

Mijn vraag is:
Hoe kom ik er achter wat deze dll's probeert te downloaden via svchost? Ik heb al verschillende scans over m'n pc gehaald en alles geeft niks aan (Malwarebytes, Avast, Spybot, tdss killer), wat ook logisch is aangezien Avast het blokkeert, er is nog niks gedownload

Als jullie scan logs of iets anders willen hebben geef een gil!

Hopelijk kunnen jullie mij helpen, dit is de eerste keer sinds lange tijd dat ik zo iets raars heb gezien...
Alvast bedankt!

Ik heb ADWcleaner laten scannen en deze vind niks. Ook gekeken met TCPview, maar kan niks raars ontdekken. Het zal dat te maken hebben met een geinfecteerde svchost.exe.

Kan ik dmv een systeemherstel deze weer terugzetten? Of is het einde verhaal en reinstall...

Bor schreef op zondag 17 mei 2015 @ 17:01:
De kans dat je malware hebt welke via svchost iets probeert te doen is aanwezig inderdaad. Met TCP view zou je in ieder geval moeten kunnen zien wat voor verkeer er heen er weer gaat. Als je helemaal zeker wilt zijn en in het bezit bent van betrouwbare schone backups is een herinstallatie bij twijfel altijd de beste oplossing.

Heb je de betreffende dll al eens door een online scanner gehaald? Is het wellicht deze: https://www.virustotal.co...1a28b0e56236567/analysis/ ?

Het probleem is dat ik de dll niet heb. Er wordt een poging gedaan om deze te downloaden, maar Avast blokkeert de connectie. Hierdoor wordt er elke keer een poging gedaan (12 x verschillende ulrs) om het bestand te downloaden. Ik zal nog een roguekiller er over halen. Kijken of dat werkt, anders is het een back up terugzetten of reinstall...

Bor schreef op zondag 17 mei 2015 @ 18:18:
Zijn de url's waar het systeem de DLL probeert te downloaden herkenbaar of zien ze er min of meer random uit?

Het zijn herkenbare URL's met een random stuk er in. Ook zijn er verschillende dll's die worden verwezen.
Ik zal eentje met <dot> voor de puntjes posten zodat er niet op geklikt kan worden:

"http://reddie<dot>net/4141/TrimModule_142669093016272<dot>dll"

Deze probeert dus trimmodule.dll te downloaden, zo zijn er nog 12 die bij elke reboot tegelijk een poging doen om te downloaden. Avast blokkeert dit elke keer.

Extra: Deze site is dus reddie, maar er zijn meerdere site waar een poging naar wordt gedaan

[ Voor 7% gewijzigd door Schmitzenbergh op 17-05-2015 20:45 ]

Ik heb nu veel programma's geprobeerd.

• Hitman vind niks;
• HijackThis heeft geen bijzondere punten;
• Herdprotect is nog bezig met een aantal bestanden in de cloud te scannen (Fingers crossed dat hij iets vindt);
• Hitman Kickstart start niet eens op (Komt door Windows 8.1)
• Roguekiller vind niks;
• Autoruns heeft niet iets bijzonders dat meestart met Windows weergegeven;

Ik wacht voor nu Herdprotect even af (Lijkt me wel een mooi programma trouwens!).
Ik heb volgensmij nog 2 opties:

• Systeemherstel uitvoeren
• svchost.exe van een andere cleane pc gebruiken als lapmiddel.

Als dit niet werkt is het helaas een backup terugzetten

Ik houd jullie op de hoogte!

Herdprotect heeft niks gevonden, maar ik heb nog wat rondgezeocht en kwam een soort van fix tegen op de Avast fora die ik vandaag ga proberen. Dit wordt gedaan dmv de Farbar Recovery Scan tool en een custom fix van iemand van dat forum.

Voor de geïnteresseerden, dit is iemand anders met een soortgelijk probleem: https://forum.avast.com/index.php?topic=169991.0

Zodra ik weer thuis ben zal ik hier eens de experts raadplegen.
Nogmaals: ik houd jullie op de hoogte

Voor de liefhebbers: Op de Avast forums heb ik een topic gestart over het probleem. Hier komt ditzelfde probleem vaker voor. Wellicht interessant om te volgen. https://forum.avast.com/index.php?topic=171353.0
Ik zal de uiteindelijke oplossing hier ook posten voor in de toekomst.

oheng schreef op dinsdag 19 mei 2015 @ 21:19:
Check ook je hosts file: C:\Windows\System32\drivers\etc
En in Internet Explorer, ga naar Internet opties -> tabblad verbindingen -> daar mag geen breedband verbinding ingesteld staan
En in Internet Explorer, ga naar Internet opties -> tabblad verbindingen -> knop LAN installingen -> daar mag geen proxy ingevuld staan

En ten slotte: check je Chrome extensies, en ook of de Chrome updates niet uitgeschakeld zijn!

Ik heb het gecheckt en alles is A OK.

sh4d0wman schreef op woensdag 20 mei 2015 @ 03:53:
Probeer anders eens om executables te blokkeren in veel gebruikte malware locaties zoals temp directory en dergelijke. Waarschijnlijk zit er ergens een exe welke via dll injectie in svchost probeert een payload binnen te halen. Kijk ook eens in de taskscheduler, een populaire methode om malware automatisch te starten.

De temp directory en andere uithoeken heb ik al vaak gescand en geleegd. Ook de taskscheduler heeft geen rare opstart tasks. Hier zat ik namelijk ook direct aan te denken!

johnkeates schreef op woensdag 20 mei 2015 @ 04:36:
Waarom zo veel gokken? Pak processexplorer en kijk welke DDL's scvhost aan het laden is. Je kan ook kijken welke handles er zijn, en anders kan je ook een syscall monitor pakken. Gewoon tools gebruiken om te kijken welke DLL of EXE uiteindelijk die actie start.

Kijk ook bij shellextensions, task scheduler, runat, runatonce, services (services.msc bijv), gewoon de lijstjes af gaan van software die uitgevoerd wordt. Behalve als het een rootkit is staat ie er gewoon tussen.

Met als aanvulling daarop: svchost is in principe gewoon de legitieme Windows service host; die binary vervangen helpt dus niet, je moet inderdaad kijken naar de DLLs die hij laadt.

En als Process Explorer niets laat zien, dan kun je met GMER checken op rootkits.

Ik zal nog eens kijken bij de syscall monitor en de shellextensions. De processexplorer heeft mij niet iets raars laten zien... Ik heb ook met de Kaspersky TDSS Killer gescand naar rootkits, maar helaas niks gevonden.

Bedankt voor alle hulp in ieder geval!

GerardVanAfoort schreef op woensdag 20 mei 2015 @ 13:53:
Portforwardings of andere zaken open staan voor verbinding van buitenaf in je router?

Ik heb wat poorten open staan. Ik zal ze eens dichtgooien. Kijken of dat werkt.

Zoals het nu lijkt is het probleem opgelost

Iemand van de Avast fora heeft een custom scriptje gemaakt om een specifiek proces te killen(Stelt niet zoveel voor, maar toch)
Het scriptje wordt met de Farbar Recovery Scan Tool uitgevoerd als fix. Hierdoor zijn de meldingen gestopt.
Het scriptje ziet er als volgt uit:


Let op: Dit script is kennelijk alleen voor mijn pc. Gebruik het niet voor jezelf!

Ik denk dat de persoon in kwestie het uit dit scanlog heeft gehaald. Wellicht dat jullie het nog interessant vinden. Dit is een stukje logbestand van de Farbar Recovery Scan tool toen deze werd gebruikt om te scannen.

Het attention gedeelte is waar het om gaat denk ik.

Iedereen bedankt voor de input en info Hopelijk is het nu case closed!

EDIT:
Na even wat te zoeken denk ik dat het gaat om de TDL4 rootkit die half in het systeem zat.

Ik heb toch het zekere voor het onzekere genomen en Windows opnieuw geïnstalleerd.
Nu ben ik er 100% van af

Topic mag gesloten worden!