Bruke gjenopprettingspunkt for å bli kvitt virus?

[Fjonisen]

Hei!

 

Er ganske sikker på at jeg har et virus eller noe annet dritt på PCen. Prosessen svchost.exe kjører 100% av prosessorkraften så å si hele tiden. (jeg har seks forskjellige utgaver, hvorav alle sammen ligger i system32-mappen og ser like ut.

 

 

Jeg kan selvsagt avslutte den, men da får jeg blant annet problemer med internett. Har kjørt avira, AdAware, CCleaner og RegCure (som hevder å være "spesialist" på å fikse sånt) uten å finne noe, så jeg har egentlig gitt litt opp.

 

Spørsmålet mitt er: jeg har et gjenopprettingspunkt i Windows (XP Home) fra et par uker tilbake som jeg laget fordi jeg installerte nye grafikkortdrivere. Kan det ha noen hensikt å rulle tilbake til dette punktet? Hva vil egentlig skje -- vil "alt" rulles tilbake til slik det var da, eller?

 

Hvis det ikke funker har jeg et annet spørsmål. Jeg har nemlig to partisjoner på harddisken, én med Windows og mye annen nytteprogramvare (kalt C:), og én med alt annet (bilder, spill, etc). Er det mulig å formattere C: og installere XP på nytt her uten at den andre partisjonen blir affisert? Vil dette ordne opp i sakene? Vil i så fall spill og andre programmer som ligger på den andre partisjonen slutte å fungere? (regner med det, siden de vel alle har noen småting i registeret blant annet..)

 

Hva vil dere anbefale meg å gjøre?

 

Takker!

[norbat]

For å svare på noen av spørsmålene:

 

1. Ved å kjøre en systemgjenoppretting, vil systemfilene stilles tilbake. Du vil miste evt. programmer du har installer etter gjenopprettingspunktet. Du vil IKKE miste epost, dokumenter, bilder og annen personlig data.

 

2. Ja, det er fullt mulig og KUN formater C:. Den andre partisjonen vil være urørt. Program som er installert på den andre partisjonen, vil, som du selv nevner, mest sannsynlig ikke kjøre da program ofte legger inn noen filer i Windows (som da vil bli slettet når du formaterer C: ).

 

Hva du skal gjøre:

 

Følg langversjonen i følgende post: https://www.diskusjon.no/index.php?showtopic=691246, så ser vi hva vi kan gjøre ut fra det.

 

Denne svchost, finnes det normal flere av i prosesslisten. At en av dem bruker mye resusser, kan skyldes flere ting, bla. at noen programmer trenger oppdatering.

[Fjonisen]

OK, takk for hjelpen! Nå har jeg kjørt SAS og hijackthis. Her er loggene:

 

SAS-logg:

Klikk for å se/fjerne innholdet nedenfor

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 05/17/2007 at 05:58 PM

 

Application Version : 3.7.1018

 

Core Rules Database Version : 3228

Trace Rules Database Version: 1239

 

Scan type : Complete Scan

Total Scan Time : 00:36:18

 

Memory items scanned : 176

Memory threats detected : 0

Registry items scanned : 5245

Registry threats detected : 0

File items scanned : 30818

File threats detected : 9

 

Adware.Tracking Cookie

C:\Documents and Settings\Einar\Cookies\einar@cgi-bin[2].txt

C:\Documents and Settings\Einar\Cookies\[email protected][1].txt

C:\Documents and Settings\Einar\Cookies\einar@cgi-bin[1].txt

C:\Documents and Settings\Einar\Cookies\[email protected][1].txt

C:\Documents and Settings\Einar\Cookies\einar@mb[2].txt

C:\Documents and Settings\Einar\Cookies\einar@mb[1].txt

C:\Documents and Settings\Einar\Cookies\[email protected][1].txt

C:\Documents and Settings\Einar\Cookies\[email protected][1].txt

C:\Documents and Settings\Einar\Cookies\einar@mb[3].txt

 

Hijackthis-logg:

 

Klikk for å se/fjerne innholdet nedenfor

Logfile of HijackThis v1.99.1

Scan saved at 18:01:00, on 17.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

E:\Installasjonsfiler\Fnok.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.skandiabanken.no/skbweb/Logout2.aspx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [Apoint] C:\Programfiler\Apoint\Apoint.exe

O4 - HKLM\..\Run: [Dell QuickSet] C:\Programfiler\Dell\QuickSet\quickset.exe

O4 - HKLM\..\Run: [intelZeroConfig] C:\Programfiler\Intel\Wireless\bin\ZCfgSvc.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avgnt] "C:\Programfiler\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe

O4 - HKLM\..\Run: [AVFX Engine] C:\Programfiler\Creative\Creative Live! Cam\VideoFX\StartFX.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programfiler\Fellesfiler\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Programfiler\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1160814832781

O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: IntelWireless - C:\Programfiler\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programfiler\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programfiler\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programfiler\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: EvtEng - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programfiler\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programfiler\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programfiler\Intel\Wireless\Bin\WLKeeper.exe

 

 

Det virker som om problemet kommer og går litt. Noen ganger når jeg starter opp maskinen går svchost på 100% i ca. 15 minutter, før det gir seg av seg selv, og maskinen går tilbake til normalt. Andre ganger når jeg starter opp går alt som normalt. Jeg skjønner egentlig ikke helt hva problemet er.. :/ Hadde satt pris på hjelp!

[norbat]

Loggen viser ingen tegn til noen infeksjoner. Regner med du vet hva Fnok.exe er.

 

Sjekk om windows el. andre programmer trenger noen oppdateringer.

[Jallenbo]

svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated.

svchost.exe is a process registered as a backdoor vulnerability which may be installed for malicious purposes by an attacker allowing access to your computer from remote locations, stealing passwords, Internet banking and personal data. If unaccounted for, this process should be removed immediately.

svchost.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.

 

Jeg vil derfor anbefale deg å prøve en virussjekk og en spywaresjekk i følgende rekkefølge:

 

Dersom du har Windows XP kan en systemgjenoppretting etter at du har fjernet virusene føre til at du stiller tilbake maskinen til å være infisert igjen. Prøv først å fjerne virusene uten å deaktivere systemgjenoppretting.

Dersom du klarer å desinfisere maskinen stenger du av systemgjenoppretting, restarter og setter på systemgjenoppretting igjen. Dersom du ikke klarer å fjerne virus kan en systemgjenoppretting fungere, velg da et gjenopprettingspunkt hvor du VET du ikke var infisert.

 

 

All skanning etter virus og spyware skal du nå foreta i sikkermodus med nettverk.

 

Følg lenken dersom du ikke vet hvordan du starter i Sikkermodus med nettverk.

 

Foreta en virusskanning i nettleseren din med BitDefender. Dersom du finner virus starter du på nytt i sikkermodus med nettverk etter skanningen, og foretar en ny skanning.

 

Deretter tar du en spywaresjekk med Ewido Onlinescan. Dersom du finner spyware starter du på nytt i sikkermodus med nettverk etter skanningen, og foretar en ny skanning.

 

Så snart du har fått til å kjøre begge skannerne uten at de gir indikasjon på virus eller spyware er du ferdig med å skanne og skal starte maskinen i vanlig modus igjen.

 

Deretter kan du gå videre til å installere antivirusprogramvare og antispyware dersom du ikke har noe slikt fra før. Slike programmer finner du på oss.viztnd.com/secprog.shtml.

 

Les her dersom du ønsker informasjon om hva spyware er og hvordan du best mulig kan holde PC-en din ren for dette.

 

Les her dersom du ønsker lenker til informasjon om hva virus, trojanere og ormer er.

 

Når det gjelder sikkermodus skal du IKKE gjøre noe annet imens, dvs du skal ikke sitte og surfe her eller andre steder. Dette fordi du da kan starte spionprogrammene eller virusene manuelt.

Ovenstående svar med virus og spywaresjekk er basert på en utvidelse for Firefox som henter hurtigsvar på enkelte gjentagende spørsmål. Svarene hentes fra http://hurtigsvar.viztnd.com og utvidelsen til Firefox kan hentes fra www.home.no/apepost for de som ønsker det.

[Fjonisen]

Takk for hjelpen norbat og Jallenbo! Akkurat nå er jeg veldig opptatt, så foreløpig krysser jeg bare fingrene og lar det surre og gå, men jeg skal følge dine tips Jallenbro om kort tid.