Är detta ett virus?

2008-10-10, 17:37 #1

Medlem

Reg: Sep 2008

Inlägg: 2 119

Har en process i msconfig som verkar illasinnad, eftersom om jag krysser ur den så kryssar den i sig automatiskt. Jag skannade med nod32 för nån timma sen och den hittade inget men om någon vet något om sbthost.exe så vore jag tacksam. Bara för att vara säker så postar jag en Hjt logg också.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:41, on 2008-10-10
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program\ESET\ESET Smart Security\ekrn.exe
C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
C:\Program\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program\iTunes\iTunesHelper.exe
C:\Program\Java\jre1.6.0_07\bin\jusched.exe
C:\Program\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\sbthost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program\DNA\btdna.exe
C:\Program\Logitech\SetPoint\SetPoint.exe
C:\Program\iPod\bin\iPodService.exe
C:\Program\Delade filer\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\SYSTEM32\cidaemon.exe
c:\program\itunes\itunes.exe
C:\Program\Last.fm\LastFM.exe
C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Program\Delade filer\Apple\Mobile Device Support\bin\distnoted.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comodo.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program\Real\RealPlayer\rpbrowserrecordplugin.d ll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Speed Driver] sbthost.exe
O4 - HKLM\..\RunServices: [Speed Driver] sbthost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\Program\DELADE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.v bs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\Program\DELADE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.v bs" (User 'Default user')
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1222277345781
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows CardSpace idsvcTmPfw (idsvcTmPfw) - Unknown owner - .exe (file missing)
O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: Windows Installer MSIServerWMPNetworkSvc (MSIServerWMPNetworkSvc) - Unknown owner - C:\WINDOWS\
O23 - Service: NMSAccessU - Unknown owner - C:\Program\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Remote Procedure Call (RPC) Locator RpcLocatorNetDDE (RpcLocatorNetDDE) - Unknown owner - C:\WINDOWS\
O23 - Service: Secondary Logon Service seclogonAppMgmt (seclogonAppMgmt) - Unknown owner - C:\WINDOWS\
O23 - Service: ServiceLayer - Nokia. - C:\Program\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Automatiska uppdateringar wuauservRDSessMgr (wuauservRDSessMgr) - Unknown owner - C:\WINDOWS\

--
End of file - 6747 bytes

Citera

2008-10-10, 18:15 #2

Medlem

Reg: Jul 2007

Inlägg: 1 390

Vet du var Speed Driver är för nåt?
O4 - HKLM\..\Run: [Speed Driver] sbthost.exe

Sök efter sbthost.exe på datorn, hittar du sökvägen testa ladda upp filen på virustotal.com
Ta och genomsök med malwarebytes antimalware malwarebytes.org efter det.

Citera

2008-10-10, 18:43 #3

Medlem

Reg: Mar 2007

Inlägg: 12 238

den är iaf väldigt misstänksam, skicka den kaspersky, kolla samma fil i natt eller i morgon (om nu inte virustotal visar nåt vettigt)
http://www.kaspersky.com/scanforvirus

Citera

2008-10-10, 22:15 #4

Medlem

Reg: Sep 2008

Inlägg: 2 119

Hittade en fil SBTHOST.EXE-1DA57CDC.pf i prefetch laddade upp denna på kaspersky och visade sig vara ren och likaså på virustotal.
Ska jag ta bort den endå eller hur ska jag göra?

Citera

2008-10-10, 22:47 #5

Medlem

Reg: Jul 2007

Inlägg: 1 285

Citat:

Ursprungligen postat av Twitter

Hittade en fil SBTHOST.EXE-1DA57CDC.pf i prefetch laddade upp denna på kaspersky och visade sig vara ren och likaså på virustotal.
Ska jag ta bort den endå eller hur ska jag göra?

Det är ej rätt fil, den är en liten fil som gynnar när processen sbthost.exe skall startas.

Vad står det ifall du markerar O4 - HKLM\..\Run: [Speed Driver] sbthost.exe och trycker på "info on selected item"?

__________________
Senast redigerad av w580i 2008-10-10 kl. 22:52.

Citera

2008-10-10, 22:57 #6

Medlem

Reg: Mar 2007

Inlägg: 12 238

Citat:

Ursprungligen postat av Twitter

Hittade en fil SBTHOST.EXE-1DA57CDC.pf i prefetch laddade upp denna på kaspersky och visade sig vara ren och likaså på virustotal.
Ska jag ta bort den endå eller hur ska jag göra?

C:\WINDOWS\system32\sbthost.exe

Citera

2008-10-11, 21:26 #7

Medlem

Reg: Sep 2008

Inlägg: 2 119

Bump

Citera

2008-10-12, 00:39 #8

Medlem

Reg: Jul 2005

Inlägg: 6

Du kanske se mer om processen start i reg om du använder Autostart av microsoft sysinternals.

Citera

Är detta ett virus?

Skapa ett konto eller logga in för att kommentera

Skapa ett konto

Logga in