Toon posts:

[XP] Onbekend proces: winsvc16.exe vreet CPU gebruik

Pagina: 1
Acties:

vrijdag 16 juli 2004 11:37

Acties:
  • 996
  • Registratie: Januari 2004
  • Laatst online: 22:44

996

Topicstarter
Laatst was ik met Grabit aan het downloaden, het viel mij op dat er steeds meer downloads op decoding bleven hangen 8)7. Het starten van andere programma's duurde lang en alle lopende processen en programma's werden trager.

In het prestatieoverzicht van de CPU (via CTRL-ALT-DEL) bleek dat het proces winsvc16.exe ca. 90% van mijn CPU "gebruikte". Toen ik dit proces afsloot bleven alle andere programma's gewoon functioneren en het geheugengebruik was weer normaal.
Scannen met Ad-Aware, SpyBot, CWS en RegScrub leverde geen oplossingen/verwijzingen naar winsvc16.exe op (ook Zone-alarm en Norton gaven geen enkele melding).
Met regedit heb ik alle verwijzingen uit het register verwijderd, vervolgens het bestand ook van de C-schijf af gegooid, na het opnieuw opstarten van de PC waren alle problemen voorbij en startte het proces (uiteraard) ook niet meer op _/-\o_ .

Zoekend met Google vond ik wel enkele fora waarop mensen winsvc16.exe noemden maar wat het is en wat het doet heb ik nog steeds niet gevonden. Ook via de FAQ virussen en trojans op dit forum kan ik niet achterhalen wat het proces is/doet en hoe ik het heb "opgelopen". Ben ik de eerste Tweaker die ermee te maken krijgt ?! 8)7

Misschien weet één van jullie meer ? :? Ik ben benieuwd . . .

Config:
hardware: Acer Ferrari 3000
software : Win XP Home met alle updates, Norton AV actief, Zone-Alarm actief

vrijdag 16 juli 2004 12:04

Acties:
  • Azer
  • Registratie: Oktober 2003
  • Niet online

Azer

Haal hem eens door de Jotti scan heen

http://virusscan.jotti.dhs.org/

vrijdag 16 juli 2004 12:10

Acties:
  • 996
  • Registratie: Januari 2004
  • Laatst online: 22:44

996

Topicstarter
Helaas heb ik het bestand al verwijderd en kan ik het dus niet meer uploaden. :/
Maar bedankt voor de link, wie weet komt die nog een andere keer van pas.

[ Voor 36% gewijzigd door 996 op 16-07-2004 12:12 ]

vrijdag 16 juli 2004 12:18

Acties:

Verwijderd

Dan heeft dit topic ook weinig zin meer..
Zonder het daadwerkelijke bestand kun je niet veel meer doen dan gokken, wat redelijk onzinnig is.

Om deze post niet al te nuttig te maken, zal ik toch nog even een wilde gok doen..
Filename is standaard filename bij een van de bekendere backdoors/remote access tools...

Wat veiliger computeren mag dus wel, begin eens met een goede virusscanner en firewall.
Lees de FAQ ook eens door.

vrijdag 16 juli 2004 12:26

Acties:
  • 996
  • Registratie: Januari 2004
  • Laatst online: 22:44

996

Topicstarter
[quote]Verwijderd schreef op 16 juli 2004 @ 12:18:
.......

Om deze post niet al te nuttig te maken, zal ik toch nog even een wilde gok doen..
1. Filename is standaard filename bij een van de bekendere backdoors/remote access tools...

2. Wat veiliger computeren mag dus wel, begin eens met een goede virusscanner en firewall.
Lees de FAQ ook eens door.[/quote

punt 1. waarom kan ik dat niet vinden op Google of hier op Tweakers, volgens mij heb je geen gelijk . . . :/

punt 2. ik gebruik Norton Anti-virus en Zone-alarm beiden worden regelmatig up-to-date gehouden, verder download ik echt geen dialers, klik niet op pop-ups etc.

vrijdag 16 juli 2004 12:31

Acties:
  • Freee!!
  • Registratie: December 2002
  • Laatst online: 10:18

Freee!!

Trotse papa van Toon en Len!

996 schreef op 16 juli 2004 @ 12:26:
[...]
punt 1. waarom kan ik dat niet vinden op Google of hier op Tweakers, volgens mij heb je geen gelijk . . . :/
Ik kreeg net een stuk of 10 hits met Google, dus waarom jij het niet kan vinden :?
punt 2. ik gebruik Norton Anti-virus en Zone-alarm beiden worden regelmatig up-to-date gehouden, verder download ik echt geen dialers, klik niet op pop-ups etc.
Mag ik je aanraden over te stappen op een andere virusscanner :? Zoek maar eens een paar topics door over de kwaliteiten van diverse virusscanners. Tevens ben ik ook niet echt onder de indruk van Zone-Alarm.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

vrijdag 16 juli 2004 12:43

Acties:

Verwijderd

996 schreef op 16 juli 2004 @ 12:26:
punt 1. waarom kan ik dat niet vinden op Google of hier op Tweakers, volgens mij heb je geen gelijk . . . :/
Omdat ze op de andere fora alleen maar roepen "hey, dat ziet er verdacht uit, delete dat maar." ipv. daadwerkelijk een idee te hebben waar ze mee te maken hebben.
Iets wat we op GoT zoveel mogelijk moeten voorkomen naar mijn mening.
Daarnaast zei ik ook dat het een gok was...er is veel spul met (ongeveer)zelfde naam.
punt 2. ik gebruik Norton Anti-virus en Zone-alarm beiden worden regelmatig up-to-date gehouden, verder download ik echt geen dialers, klik niet op pop-ups etc.
Mja..met een beetje tool bypass je za @ standaard settings zonder problemen.
NAV is niet echt geweldig als het backdoors/trojans gaat.

Als ik jou was zou ik iig m'n bak eens doorlichten met een andere AV, liefst eentje die bekend staat om goede backdoor detectie.

vrijdag 16 juli 2004 13:28

Acties:
  • 996
  • Registratie: Januari 2004
  • Laatst online: 22:44

996

Topicstarter
Mr. Liu schreef op 16 juli 2004 @ 12:31:
[...]

Ik kreeg net een stuk of 10 hits met Google, dus waarom jij het niet kan vinden :?


[...]

Mag ik je aanraden over te stappen op een andere virusscanner :? Zoek maar eens een paar topics door over de kwaliteiten van diverse virusscanners. Tevens ben ik ook niet echt onder de indruk van Zone-Alarm.
Dat van die hits in Google klopt, maar in geen enkele link volgt uitsluitsel wat dat winsvc16.exe nou precies is en doet . . . en dat was juist mijn vraag ;)

Welke proggramma's zijn meer aan te raden dan Norton en ZA ? (aan het onderschrift van Schouw te zien: Kaspersky :) )

[ Voor 5% gewijzigd door 996 op 16-07-2004 13:30 ]

vrijdag 16 juli 2004 13:42

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 01-12 20:09

lordgandalf

Kaspersky heeft hier zich meerdere keren bewezen hier en als je op de link van jotti kijkt dan zie je dat de detection ratio van kaspersky ook niet erg mis is :D

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 16 juli 2004 22:06

Acties:
  • 996
  • Registratie: Januari 2004
  • Laatst online: 22:44

996

Topicstarter
Ergens diep in de prullenbak heb ik nog een bestand gevonden dat geïnfecteerd is. hieronder vinden jullie de bevindingen van de "jotti-scan":

Service load:
0% 100%
File: WinSvc16.exeCommon Startup
Status:
INFECTED/MALWARE })

AntiVir
No viruses found (1.41 seconds taken)
BitDefender
Backdoor.SDBot.Gen (4.01 seconds taken)
ClamAV
No viruses found (5.14 seconds taken)
F-Prot Antivirus
No viruses found (0.47 seconds taken)
F-Secure Anti-Virus
Backdoor.SdBot.or (probable variant) (3.78 seconds taken)
Kaspersky Anti-Virus
Backdoor.SdBot.or (probable variant) (3.52 seconds taken)
McAfee VirusScan
W32/Spybot.worm.gen.e (4.32 seconds taken)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* File length: 85018 bytes.

[ Changes to filesystem ]
* Creates directory C:\WINDOWS\SYSTEM\MsSvc32.
* Creates file C:\WINDOWS\SYSTEM\MsSvc32\WinSvc16.exe.

[ Changes to registry ]
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders".
* Sets value "Common Startup"="C:\WINDOWS\SYSTEM\MsSvc32" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders".

[ Network services ]
* Attempts to resolve name "wasdo7.ddo.jp".
* Connect port 6667 [TCP], IP 193.75.75.100.
* Connects to IRC server.
* Connect port 113 [TCP], IP 0.0.0.0.
* IRC: Uses nickname Lhsa.
* IRC: Uses username Nancy.
* IRC: Sets the channel mode for channel Lhsa to +i.
* IRC: Joins channel #shywas1 with password .

[ Process/window information ]
* Enumerates running processes. (20.12 seconds taken)

Ik heb de genoemde registervermelding alswel het bestand zelf verwijderd. Ook ben ik nu met een trial versie van Kaspersky mijn bak aan het scannen.
Eerste indruk van Kaspersky is dat het een overzichtelijk en gebruiksvriendelijk programma is. (Dus bedankt _/-\o_ voor de tip !)

Hebben jullie verder nog tips ? Welke firewall in plaats van ZA is aan te raden ?

EDIT:
Ik ben onder de indruk van Kaspersky, het heeft al zeker 10 trojans en andere meuk-bestanden gevonden in mijn tijdelijke internet-bestanden. Ben teleurgesteld in Zone Alarm en Norton :'( Denk dat ik die trial versie van Kaspersky maar om ga zetten in een definitieve versie.
Kaspersky gebruikt wel veel systemresources tijdens het scannen . . . ? Lijkt meer belastend dan Norton ?

[ Voor 14% gewijzigd door 996 op 16-07-2004 22:45 . Reden: ervaring met Kaspersky ]

zaterdag 17 juli 2004 02:08

Acties:
  • BoGhi
  • Registratie: Juli 2002
  • Laatst online: 21-09 10:42

BoGhi

ZoneAlarm is een prima firewall, maar niet beter dan de instellingen die het heeft meegekregen bij de installatie, of daarna. Tenzij iemand een onderbouwd argument kan geven waarom dit niet zo is, of specifiek, waarom die verantwoordelijk zou zijn voor de Trojans op jouw PC.

Programmers don't die. They GOSUB without RETURN

zaterdag 17 juli 2004 02:41

Acties:
  • Jordi
  • Registratie: Januari 2000
  • Niet online

Jordi

#1#1

996 schreef op 16 juli 2004 @ 22:06:
EDIT:
Ik ben onder de indruk van Kaspersky, het heeft al zeker 10 trojans en andere meuk-bestanden gevonden in mijn tijdelijke internet-bestanden. Ben teleurgesteld in Zone Alarm en Norton :'( Denk dat ik die trial versie van Kaspersky maar om ga zetten in een definitieve versie.
Kaspersky gebruikt wel veel systemresources tijdens het scannen . . . ? Lijkt meer belastend dan Norton ?
Dank voor het gebruik van mijn scanservice :P

Mja. Meer belastend in gebruik. Het is maar wat je liever hebt he. Kaspersky herkent nu eenmaal veel en veel meer dan Norton (om over bepaalde antivirusproducten nog maar te zwijgen!) en heeft zodoende iets meer tijd nodig om alles te screenen. Ik denk dat je er goed aan doet dit programma te behouden. Norton laat vele steekjes vallen. Dingen die niet herkend worden door bepaalde scanners, submit ik naar de diverse antivirusmakers. Zo af en toe doe ik eens een scan met Norton AntiVirus vanuit VmWare op wat ik verstuur. Gemiddeld herkent Norton 2 a 3 virussen/trojans/backdoors op de 10 samples die ik verstuur. Niet iets om over naar huis te schrijven IMO. Veel geluk met Kaspersky!

Het zal wel niet, maar het zou maar wel.

zaterdag 17 juli 2004 13:42

Acties:
  • Freee!!
  • Registratie: December 2002
  • Laatst online: 10:18

Freee!!

Trotse papa van Toon en Len!

996 schreef op 16 juli 2004 @ 13:28:
[...]
Dat van die hits in Google klopt, maar in geen enkele link volgt uitsluitsel wat dat winsvc16.exe nou precies is en doet . . . en dat was juist mijn vraag ;)
Oeps, verkeerd begrepen, sorry.
Welke proggramma's zijn meer aan te raden dan Norton en ZA ? (aan het onderschrift van Schouw te zien: Kaspersky :) )
Ik gebruik AVG1 van Grisoft en TPF2 van Tiny Software, beide naar tevredenheid. Af en toe nog eens een housecall erbij en nog nooit een besmetting gevonden (wel een aantal virusmailtjes onderschept met AVG).

1De gratis versie
2Betaald

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq