Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jul 2012

Funderingar kring möjligt virus

Varför körs vissa av system och vissa av min egna användare?

På en av dom står det "Local service"

Sedan så när jag klickar "open file location" i processhanteraren och försöker ta bort (det jag är nästan säker på är virus på grund av skumma saker som har förisgått på min dator på senaste tiden) och sen då jag försöker ta bort svchost.exe filen så står det bara att jag behöver tillåtelse av "Trusted installer"

Sedan då jag kollade i "computer management" så kollar jag under EventViewer/Windowslogs/security så ser jag att det har ändrats en massa (om detta är normalt vet jag inte)

Här är ett av exemplera :

Special privileges assigned to new logon.

Subject:
Security ID: SYSTEM
Account Name: SYSTEM
Account Domain: NT AUTHORITY
Logon ID: 0x3e7

Privileges: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege

Där är en bild på hur det ser ut. Här är en till på hur det blir i cmd då jag försöker skriva in net view kommandot.

Här är kommer också nåt som verkar en smula misstänksamt, notera att det är i system32 directoryn svchost.exe filen ligger. An account was successfully logged on.

Subject:
Security ID: SYSTEM
Account Name: PC-PC$
Account Domain: WORKGROUP
Logon ID: 0x3e7

Logon Type: 5

New Logon:
Security ID: SYSTEM
Account Name: SYSTEM
Account Domain: NT AUTHORITY
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID: 0x284
Process Name: C:\Windows\System32\services.exe

Network Information:
Workstation Name:
Source Network Address: -
Source Port: -

Detailed Authentication Information:
Logon Process: Advapi
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

Jag vet inte om jag fullkomligt är ute och cyklar om detta. Då vi tidigare haft haft problem med intrång i datorer och mobiler etc av en person som varit intresserad av min mamma som inte heller förstår vad ett privatliv innebär så känns det värt att vara paranoid. Jag har inga direkta bevis på att det är just personen i fråga som orsakar det men jag blir jävligt fundersam då man sitter och tittar på film och utan att man rör varken tangentbordet eller musen så tas källkoden på hemsidan fram och i adress fältet börjar det skrivar typ nb-bn-bb-n--b-nb--n och strax därefteråt så börjas det även sökas i C:// på samma sak. Jag misstänker att han använder någon slags windows fjärrhjälp eller liknande för att få kunna åstakomma det här. Ursäkta för min extremt oslipade svenska men jag har varit uppe alldeles för länge och försökt få ut nåt vettigt ur det här och själv har jag inte lyckas åstakommit något förutom det ni ser i den här tråden (kan dock säkert ha glömt nåt nu då jag väl tänker på det lol) och därför anlitar jag mig på sweclockers forumet och hoppas att det sitter någon sorts datorsäkerhetsexpert bakom skärmen som har lust att hjälpa en stackars bortappad liten nybörjare i datorsäkerhetens tätväxta jungel.

All hjälp uppskattas tack i förväg

Trädvy Permalänk
Medlem
Plats
Boden
Registrerad
Jul 2013
Skrivet av Fabbeee:

Då man sitter och tittar på film och utan att man rör varken tangentbordet eller musen så tas källkoden på hemsidan fram och i adress fältet börjar det skrivar typ nb-bn-bb-n--b-nb--n och strax därefteråt så börjas det även sökas i C:// osv.

All hjälp uppskattas!!!

Det låter ju som att du har en RAT i datorn så jag skulle så fort som möjligt formatera hårddisken och installera om Windows.

-

Trädvy Permalänk
Medlem
Plats
Svartå
Registrerad
Jan 2012
Skrivet av Fabbeee:

Varför körs vissa av system och vissa av min egna användare?

På en av dom står det "Local service"

Sedan så när jag klickar "open file location" i processhanteraren och försöker ta bort (det jag är nästan säker på är virus på grund av skumma saker som har förisgått på min dator på senaste tiden) och sen då jag försöker ta bort svchost.exe filen så står det bara att jag behöver tillåtelse av "Trusted installer"

Sedan då jag kollade i "computer management" så kollar jag under EventViewer/Windowslogs/security så ser jag att det har ändrats en massa (om detta är normalt vet jag inte)

Här är ett av exemplera :

Special privileges assigned to new logon.

Subject:
Security ID: SYSTEM
Account Name: SYSTEM
Account Domain: NT AUTHORITY
Logon ID: 0x3e7

Privileges: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege

http://s1.postimg.org/bbl2w6apn/asdasdasd.jpg

Där är en bild på hur det ser ut. Här är en till på hur det blir i cmd då jag försöker skriva in net view kommandot.

http://s9.postimg.org/czb3zisaj/asdasdasd.jpg

Jag vet inte om jag fullkomligt är ute och cyklar med då vi tidigare i familjen har haft problem med intrång i våra privatliv via hackade och infikterade datorer osv av en person som varit intresserad av min mamma och ej förstår vad ett privatliv innebär. Och eftersom han hade tillgång till våra datorer fysiskt också pga han hjälpte mig mycket med att uppgradera/laga min dator förut eftersom jag inte varit lika kunnig då, Jag har inget bevis på att det är just han som orsakar det men jag blir jävligt fundersam då man sitter och tittar på film och utan att man rör varken tangentbordet eller musen så tas källkoden på hemsidan fram och i adress fältet börjar det skrivar typ nb-bn-bb-n--b-nb--n och strax därefteråt så börjas det även sökas i C:// osv, Jag misstänker att han använder någon slags windows fjärrhjälp eller liknande för att få kunna åstakomma det här. Ursäkta för min extremt oslipade svenska men jag har varit uppe alldeles för länge och försökt få ut nåt vettigt ur det här.

All hjälp uppskattas!!!

Dold text

SVCHOST används av datorn, för att köra 32bit program i ett 64bit operativsystem. Avsluta den inte, då den hjälper din dator att fungera korrekt med dina program.
Däremot är det väldigt oroande, att din dator beter sig som den gör. Dom gånger mina gamla datorer har gjort samma sak, så har det antingen berott på buggar, eller så har det mycket riktigt berott på att dom blivit fjärrstyrda av någon person eller bott.
Om du inte har ett antivirus program installerat, så gör detta omedelbart. T.ex AVG Free Antivirus 2015, gör sedan en scanning av hela datorn.
Tänk på att cracks kan ge utslag och även andra filer. Så fråga här på Swec innan du raderar virus om du skulle ha sådana.
Maleware och Trojan´s är väldigt vanliga, och skall utan tanke på annat raderas omedelbart.
/Lifooz

Charles Bukowski, poet och författare

"Hur i helvete ska en människa kunna njuta av att väckas 6.30 på morgonen av en alarmklocka, hoppa upp ur sängen, klä på sig, tvinga i sig mat, borsta tänder och hår, och kämpa sig genom trafiken för att ta sig till en plats där man i all väsentlighet tjänar massor av pengar åt någon annan och samtidigt förväntas vara tacksam över möjligheten?"

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jul 2012
Skrivet av Rigor:

Det låter ju som att du har en RAT i datorn så jag skulle så fort som möjligt formatera hårddisken och installera om Windows.

Har gjort det tidigare men ändå så är personen i fråga förmodligen tillbaka med hans privatlivs-inbrott. Det som hade varit bäst i min situation hade väl varit att få något hårdbevis så man kan polisanmäla personen i fråga.

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jul 2012
Citat:

SVCHOST används av datorn, för att köra 32bit program i ett 64bit operativsystem. Avsluta den inte, då den hjälper din dator att fungera korrekt med dina program.
Däremot är det väldigt oroande, att din dator beter sig som den gör. Dom gånger mina gamla datorer har gjort samma sak, så har det antingen berott på buggar, eller så har det mycket riktigt berott på att dom blivit fjärrstyrda av någon person eller bott.
Om du inte har ett antivirus program installerat, så gör detta omedelbart. T.ex AVG Free Antivirus 2015, gör sedan en scanning av hela datorn.
Tänk på att cracks kan ge utslag och även andra filer. Så fråga här på Swec innan du raderar virus om du skulle ha sådana.
Maleware och Trojan´s är väldigt vanliga, och skall utan tanke på annat raderas omedelbart.
/Lifooz

Tänkte göra precis så och sedan dra ut internetsladden inatt så han inte kan vara runt och pillra då jag sover :/

Trädvy Permalänk
Medlem
Plats
Skåneland
Registrerad
Jun 2009

Rekommenderar att du installerar antivirus program och scannar av datorn.

Du kan också ta en "Packet Capture" med Wireshark, så kan man rätt fort se om det går mysko trafik.

Finns även mer nybörjar vänliga program som TCPVIEW som listar alla anslutningar du har aktiva, portar osv.

netstat -an i cmd, listar portar som har anslutningar / portar som din dator lyssnar på.

- - - - S.T.A.L.K.E.R FAN - - - -

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2014
Skrivet av Fabbeee:

Tänkte göra precis så och sedan dra ut internetsladden inatt så han inte kan vara runt och pillra då jag sover :/

Första jag gör när jag installerat/formaterat om en dator är att stänga av fjärrhjälpen.. ^^

Om det nu är någon som går in på din dator och du vill ta personen på bar gärning så KANSKE detta funkar, har inte testat själv

Ta ut internet
öppna ett textdokument
skriv netstat -abno > C:\users\%username%\desktop\filnamn.txt
spara denna fil och döp den till vad du vill men avsluta med (.bat) alltså filnamn.bat ska den heta.
I med internet
nästa gång då misstänker något så öppna denna filen så kommer kommandotolken skapa ett textdokument på ditt skrivbord med alla processer med internetanslutning dvs att om någon är på din dator kan du ha turen att hans/hennes ipadress står där.

(Vet inte om detta funkar ^^ bara en snilleblixt man kom på nu efter att ha vart vaken länge)

Om du inte vet hur du stänger av fjärrhjälp..
högerklicka på datorn (i startmenyn) > egenskaper > avancerade systeminställningar > fjärrsessioner. (Förutsatt att du har Win7)

Edit: såg nu att du har printscreenat och där har du iaf win7.
Net view listar bara datorer i det egna nätverket, men det kanske du visste.

Tröttnat på att ha signatur

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Sep 2005

Är de skadligt att C:\Windows\System32\services.exe körs för dig?
Gå igenom din automatiska lista för körningar (scheduler), ex vecko defragmentering

Snälla alla ni som skapar å svarar, F A K T A!
Så ingen gissningslek där ni leker, å skapa inte en tråd innan ni vet hur ni ska forma den till nåt konkret.
Du som trådskapare blir irriterad över brist på hjälp å dom som ska hjälpa blir less på att korrigera folk.

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jul 2012
Skrivet av mannen99:

Rekommenderar att du installerar antivirus program och scannar av datorn.

Du kan också ta en "Packet Capture" med Wireshark, så kan man rätt fort se om det går mysko trafik.

Finns även mer nybörjar vänliga program som TCPVIEW som listar alla anslutningar du har aktiva, portar osv.

netstat -an i cmd, listar portar som har anslutningar / portar som din dator lyssnar på.

Skrivet av imjohannes5670:

Första jag gör när jag installerat/formaterat om en dator är att stänga av fjärrhjälpen.. ^^

Om det nu är någon som går in på din dator och du vill ta personen på bar gärning så KANSKE detta funkar, har inte testat själv

Ta ut internet
öppna ett textdokument
skriv netstat -abno > C:\users\%username%\desktop\filnamn.txt
spara denna fil och döp den till vad du vill men avsluta med (.bat) alltså filnamn.bat ska den heta.
I ed internet
nästa gång då misstänker något så öppna denna filen så kommer kommamndotolken skapa ett textdokument på ditt skrivbord med alla processer med internetanslutning dvs att om någon är på din dator kan du ha turen att hans/hennes ipadress står där.

(Vet inte om detta funkar ^^ bara en snilleblixt man kom på nu efter att ha vart vaken länge)

Om du inte vet hur du stänger av fjärrhjälp..
högerklicka på datorn (i startmenyn) > egenskaper > avancerade systeminställningar > fjärrsessioner. (Förutsatt att du har Win7)

Edit: såg nu att du har printscreenat och där har du iaf win7.
Net view listar bara datorer i det egna nätverket, men det kanske du visste.

Skrivet av Bloopy:

Är de skadligt att C:\Windows\System32\services.exe körs för dig?
Gå igenom din automatiska lista för körningar (scheduler), ex vecko defragmentering

Tack som fan för hjälpen har inte haft tillgång till datorn igår och i förrgår pga nyårsfirande och så, förlåt för segt svar

Jag tog hem programmet som hette TCPView och tittade igenom det, snabbt insåg jag att jag inte har den blekaste aning vad som ska anses vara normala aktiviteter och vad som kan anses vara misstänkta aktiviteter, sparade därför allt som en text fil och tänkte paste'a den här så någon kunnig person kan titta igenom den och sedan svara om det är nåt som kan vara lite skumt.

[System Process] 0 TCP pc-pc 58445 157.56.148.23 http TIME_WAIT
[System Process] 0 TCP pc-pc 58449 a23-212-108-183.deploy.static.akamaitechnologies.com http TIME_WAIT
[System Process] 0 TCP pc-pc 58452 a23-212-108-183.deploy.static.akamaitechnologies.com http TIME_WAIT
[System Process] 0 TCP pc-pc 58455 a23-214-149-71.deploy.static.akamaitechnologies.com http TIME_WAIT
[System Process] 0 TCP pc-pc 58460 ec2-50-18-155-32.us-west-1.compute.amazonaws.com http TIME_WAIT
[System Process] 0 TCP pc-pc 58464 a23-212-108-191.deploy.static.akamaitechnologies.com http TIME_WAIT
[System Process] 0 TCP pc-pc 58468 134.170.185.125 http TIME_WAIT
AISuite3.exe 2636 TCP pc-pc 58477 103.10.4.40 ftp SYN_SENT
avgui.exe 1344 UDP PC-PC 57557 * *
chrome.exe 1424 TCP pc-pc 58209 de-in-f188.1e100.net 5228 ESTABLISHED
chrome.exe 1424 TCP pc-pc 58236 87.98.157.148 http ESTABLISHED 3 1 014 25 32 010
chrome.exe 1424 TCP pc-pc 58418 87.98.135.234 http ESTABLISHED 16 9 742 48 51 804
chrome.exe 1424 TCP pc-pc 58431 de-in-f101.1e100.net http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58433 de-in-f138.1e100.net https ESTABLISHED
chrome.exe 1424 TCP pc-pc 58437 de-in-f138.1e100.net https ESTABLISHED 4 3 149 5 279
chrome.exe 1424 TCP pc-pc 58439 de-in-f94.1e100.net https ESTABLISHED
chrome.exe 1424 TCP pc-pc 58442 157.56.148.23 http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58443 de-in-f94.1e100.net https ESTABLISHED
chrome.exe 1424 TCP pc-pc 58446 a23-212-108-183.deploy.static.akamaitechnologies.com http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58447 a23-212-108-183.deploy.static.akamaitechnologies.com http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58448 a23-212-108-183.deploy.static.akamaitechnologies.com http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58450 a23-212-108-183.deploy.static.akamaitechnologies.com http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58451 a23-212-108-183.deploy.static.akamaitechnologies.com http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58454 a23-214-149-71.deploy.static.akamaitechnologies.com http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58456 23.101.68.210 http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58463 a23-212-108-191.deploy.static.akamaitechnologies.com http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58466 134.170.185.125 http ESTABLISHED
chrome.exe 1424 TCP pc-pc 58474 server15.adblockplus.org https ESTABLISHED 4 736 4 5 332
chrome.exe 1424 TCP pc-pc 58476 notification2.adblockplus.org https ESTABLISHED
cpuz.exe 5060 TCP pc-pc 58137 ns204837.ovh.net http CLOSE_WAIT
lsass.exe 652 TCP PC-PC 49163 PC-PC 0 LISTENING
lsass.exe 652 TCPV6 pc-pc 49163 pc-pc 0 LISTENING
NvBackend.exe 2772 TCP PC-PC 23401 PC-PC 0 LISTENING
NvBackend.exe 2772 UDP PC-PC 48200 * *
NvNetworkService.exe 1832 TCP PC-PC 9990 PC-PC 0 LISTENING
nvtray.exe 2760 UDP PC-PC 48201 * *
services.exe 644 TCP PC-PC 49155 PC-PC 0 LISTENING
services.exe 644 TCPV6 pc-pc 49155 pc-pc 0 LISTENING
SpotifyWebHelper.exe 2632 TCP PC-PC 4370 PC-PC 0 LISTENING
SpotifyWebHelper.exe 2632 TCP PC-PC 4380 PC-PC 0 LISTENING
Steam.exe 1912 TCP PC-PC 27036 PC-PC 0 LISTENING
Steam.exe 1912 TCP pc-pc 57535 146-66-156-10.valve.net 27018 ESTABLISHED 2 112
Steam.exe 1912 UDP PC-PC 27036 * *
Steam.exe 1912 UDP PC-PC 55564 * *
svchost.exe 888 TCP PC-PC epmap PC-PC 0 LISTENING
svchost.exe 940 TCP PC-PC 49153 PC-PC 0 LISTENING
svchost.exe 2720 TCP PC-PC 52394 PC-PC 0 LISTENING
svchost.exe 2392 UDP PC-PC ssdp * * 18 8 571 99 31 858
svchost.exe 2392 UDP pc-pc ssdp * *
svchost.exe 2720 UDP PC-PC teredo * *
svchost.exe 2392 UDP PC-PC ws-discovery * *
svchost.exe 1132 UDP PC-PC ws-discovery * *
svchost.exe 1132 UDP PC-PC ws-discovery * *
svchost.exe 2392 UDP PC-PC ws-discovery * *
svchost.exe 1280 UDP PC-PC llmnr * * 6 138
svchost.exe 2720 UDP pc-pc 49428 * * 7 383 7 545
svchost.exe 1132 UDP PC-PC 58934 * *
svchost.exe 2392 UDP PC-PC 59821 * *
svchost.exe 2392 UDP PC-PC 63437 * * 5 665
svchost.exe 888 TCPV6 pc-pc epmap pc-pc 0 LISTENING
svchost.exe 2676 TCPV6 pc-pc 3587 pc-pc 0 LISTENING
svchost.exe 940 TCPV6 pc-pc 49153 pc-pc 0 LISTENING
svchost.exe 2720 TCPV6 pc-pc 52394 pc-pc 0 LISTENING
svchost.exe 2392 UDPV6 [0:0:0:0:0:0:0:1] 1900 * *
svchost.exe 2392 UDPV6 [fe80:0:0:0:4834:6f46:c69b:851e] 1900 * *
svchost.exe 2676 UDPV6 pc-pc 3540 * * 16 12 492
svchost.exe 1132 UDPV6 pc-pc 3702 * *
svchost.exe 2392 UDPV6 pc-pc 3702 * *
svchost.exe 1132 UDPV6 pc-pc 3702 * *
svchost.exe 2392 UDPV6 pc-pc 3702 * *
svchost.exe 1280 UDPV6 pc-pc 5355 * *
svchost.exe 1132 UDPV6 pc-pc 58935 * *
svchost.exe 2392 UDPV6 pc-pc 59822 * *
svchost.exe 2392 UDPV6 [0:0:0:0:0:0:0:1] 63436 * * 40 14 880
System 4 TCP pc-pc netbios-ssn PC-PC 0 LISTENING
System 4 TCP PC-PC microsoft-ds PC-PC 0 LISTENING
System 4 TCP PC-PC icslap PC-PC 0 LISTENING
System 4 TCP PC-PC wsd PC-PC 0 LISTENING
System 4 TCP PC-PC 10243 PC-PC 0 LISTENING
System 4 UDP pc-pc netbios-ns * * 30 1 500
System 4 UDP pc-pc netbios-dgm * *
System 4 TCPV6 pc-pc microsoft-ds pc-pc 0 LISTENING
System 4 TCPV6 pc-pc icslap pc-pc 0 LISTENING
System 4 TCPV6 pc-pc wsd pc-pc 0 LISTENING
System 4 TCPV6 pc-pc 10243 pc-pc 0 LISTENING
wininit.exe 540 TCP PC-PC 49152 PC-PC 0 LISTENING
wininit.exe 540 TCPV6 pc-pc 49152 pc-pc 0 LISTENING
wmpnetwk.exe 2808 TCP PC-PC rtsp PC-PC 0 LISTENING
wmpnetwk.exe 2808 UDP PC-PC 5004 * *
wmpnetwk.exe 2808 UDP PC-PC 5005 * *
wmpnetwk.exe 2808 TCPV6 pc-pc rtsp pc-pc 0 LISTENING
wmpnetwk.exe 2808 UDPV6 pc-pc 5004 * *
wmpnetwk.exe 2808 UDPV6 pc-pc 5005 * *

Min dator heter PC med stora bokstäver och därför blir det PC-PC, men märkte att det också fanns en användare? som hette pc-pc alltså samma fast med små bokstäver....

Såg också att det fanns en tjänst som hette någonting med amazon.aws som både skickade och tog emot data.... Visst är detta amazon's lagringssite? jag har inte haft någonting med den att göra någonsin iallafall.....

Tänkte att jag kunde ladda upp en screen på vad som kom upp då jag skrev kommandot som det var någon som rekommenderade

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jul 2012

Här kommer också ett post om vad som kom upp då jag klickade på .bat filen som jag skrev in

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 888
RpcSs
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 0.0.0.0:554 0.0.0.0:0 LISTENING 2808
[wmpnetwk.exe]
TCP 0.0.0.0:2869 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 0.0.0.0:10243 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 0.0.0.0:27036 0.0.0.0:0 LISTENING 1912
[steam.exe]
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 540
[wininit.exe]
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 940
eventlog
[svchost.exe]
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 644
[services.exe]
TCP 0.0.0.0:49163 0.0.0.0:0 LISTENING 652
[lsass.exe]
TCP 0.0.0.0:52394 0.0.0.0:0 LISTENING 2720
Schedule
[svchost.exe]
TCP 127.0.0.1:4370 0.0.0.0:0 LISTENING 2632
[SpotifyWebHelper.exe]
TCP 127.0.0.1:4380 0.0.0.0:0 LISTENING 2632
[SpotifyWebHelper.exe]
TCP 127.0.0.1:9990 0.0.0.0:0 LISTENING 1832
[NvNetworkService.exe]
TCP 127.0.0.1:23401 0.0.0.0:0 LISTENING 2772
[NvBackend.exe]
TCP 192.168.0.4:139 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 192.168.0.4:57535 146.66.156.10:27018 ESTABLISHED 1912
[steam.exe]
TCP 192.168.0.4:58137 94.23.15.50:80 CLOSE_WAIT 5060
[cpuz.exe]
TCP 192.168.0.4:58209 74.125.24.188:5228 TIME_WAIT 0
TCP 192.168.0.4:58236 87.98.157.148:80 TIME_WAIT 0
TCP 192.168.0.4:58495 74.125.24.102:80 TIME_WAIT 0
TCP 192.168.0.4:58499 74.125.24.138:443 TIME_WAIT 0
TCP 192.168.0.4:58517 176.32.96.190:80 TIME_WAIT 0
TCP 192.168.0.4:58518 176.32.96.190:80 TIME_WAIT 0
TCP 192.168.0.4:58545 176.32.96.190:80 TIME_WAIT 0
TCP 192.168.0.4:58546 176.32.96.190:80 TIME_WAIT 0
TCP 192.168.0.4:58547 176.32.96.190:80 TIME_WAIT 0
TCP 192.168.0.4:58597 87.98.135.234:80 TIME_WAIT 0
TCP 192.168.0.4:58617 54.69.234.189:80 TIME_WAIT 0
TCP 192.168.0.4:58621 74.125.24.94:443 TIME_WAIT 0
TCP 192.168.0.4:58629 74.125.24.100:443 TIME_WAIT 0
TCP 192.168.0.4:58631 74.125.24.95:80 TIME_WAIT 0
TCP 192.168.0.4:58636 88.212.196.104:80 TIME_WAIT 0
TCP 192.168.0.4:58637 74.125.24.154:80 TIME_WAIT 0
TCP 192.168.0.4:58638 46.229.168.33:80 TIME_WAIT 0
TCP 192.168.0.4:58643 141.101.112.62:80 TIME_WAIT 0
TCP 192.168.0.4:58644 141.101.112.62:80 TIME_WAIT 0
TCP 192.168.0.4:58650 103.10.4.40:21 SYN_SENT 2636
[AISuite3.exe]
TCP [::]:135 [::]:0 LISTENING 888
RpcSs
[svchost.exe]
TCP [::]:445 [::]:0 LISTENING 4
Can not obtain ownership information
TCP [::]:554 [::]:0 LISTENING 2808
[wmpnetwk.exe]
TCP [::]:2869 [::]:0 LISTENING 4
Can not obtain ownership information
TCP [::]:3587 [::]:0 LISTENING 2676
p2pimsvc
[svchost.exe]
TCP [::]:5357 [::]:0 LISTENING 4
Can not obtain ownership information
TCP [::]:10243 [::]:0 LISTENING 4
Can not obtain ownership information
TCP [::]:49152 [::]:0 LISTENING 540
[wininit.exe]
TCP [::]:49153 [::]:0 LISTENING 940
eventlog
[svchost.exe]
TCP [::]:49155 [::]:0 LISTENING 644
[services.exe]
TCP [::]:49163 [::]:0 LISTENING 652
[lsass.exe]
TCP [::]:52394 [::]:0 LISTENING 2720
Schedule
[svchost.exe]
UDP 0.0.0.0:3544 *:* 2720
iphlpsvc
[svchost.exe]
UDP 0.0.0.0:3702 *:* 1132
EventSystem
[svchost.exe]
UDP 0.0.0.0:3702 *:* 1132
EventSystem
[svchost.exe]
UDP 0.0.0.0:3702 *:* 2392
FDResPub
[svchost.exe]
UDP 0.0.0.0:3702 *:* 2392
FDResPub
[svchost.exe]
UDP 0.0.0.0:5004 *:* 2808
[wmpnetwk.exe]
UDP 0.0.0.0:5005 *:* 2808
[wmpnetwk.exe]
UDP 0.0.0.0:5355 *:* 1280
Dnscache
[svchost.exe]
UDP 0.0.0.0:27036 *:* 1912
[steam.exe]
UDP 0.0.0.0:55564 *:* 1912
[steam.exe]
UDP 0.0.0.0:58934 *:* 1132
EventSystem
[svchost.exe]
UDP 0.0.0.0:59821 *:* 2392
FDResPub
[svchost.exe]
UDP 127.0.0.1:1900 *:* 2392
SSDPSRV
[svchost.exe]
UDP 127.0.0.1:48200 *:* 2772
[NvBackend.exe]
UDP 127.0.0.1:48201 *:* 2760
[nvtray.exe]
UDP 127.0.0.1:57557 *:* 1344
[avgui.exe]
UDP 127.0.0.1:63437 *:* 2392
SSDPSRV
[svchost.exe]
UDP 192.168.0.4:137 *:* 4
Can not obtain ownership information
UDP 192.168.0.4:138 *:* 4
Can not obtain ownership information
UDP 192.168.0.4:1900 *:* 2392
SSDPSRV
[svchost.exe]
UDP 192.168.0.4:49428 *:* 2720
iphlpsvc
[svchost.exe]
UDP [::]:3540 *:* 2676
p2pimsvc
[svchost.exe]
UDP [::]:3702 *:* 1132
EventSystem
[svchost.exe]
UDP [::]:3702 *:* 2392
FDResPub
[svchost.exe]
UDP [::]:3702 *:* 1132
EventSystem
[svchost.exe]
UDP [::]:3702 *:* 2392
FDResPub
[svchost.exe]
UDP [::]:5004 *:* 2808
[wmpnetwk.exe]
UDP [::]:5005 *:* 2808
[wmpnetwk.exe]
UDP [::]:5355 *:* 1280
Dnscache
[svchost.exe]
UDP [::]:58935 *:* 1132
EventSystem
[svchost.exe]
UDP [::]:59822 *:* 2392
FDResPub
[svchost.exe]
UDP [::1]:1900 *:* 2392
SSDPSRV
[svchost.exe]
UDP [::1]:63436 *:* 2392
SSDPSRV
[svchost.exe]
UDP [fe80::4834:6f46:c69b:851e%11]:1900 *:* 2392
SSDPSRV
[svchost.exe]

Är det verkligen normalt att svchost kommer upp då man skriver in ett kommando som har att göra med nätverksaktivitet?

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Verkar som du har Hamachi "viruset" sedan att du har viss ipv6 anslutningar. Ser ut som det är hamachi som är pc-pc med små bokstäver.

Sedan så är det väl inte bra om någon kommer in och fjärrstyr din dator, men jag skulle nog säga att personer som vet vad de sysslar med kommer inte göra intrång eller hacka sig in via fjärrstyrning. Sådant beteende antyder mest på att det är en person som varit hemma hos er och satt igång det, typ en kompis eller liknande som bara vill jävlas.

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jul 2012
Skrivet av VexedRelic:

Verkar som du har Hamachi "viruset" sedan att du har viss ipv6 anslutningar. Ser ut som det är hamachi som är pc-pc med små bokstäver.

Sedan så är det väl inte bra om någon kommer in och fjärrstyr din dator, men jag skulle nog säga att personer som vet vad de sysslar med kommer inte göra intrång eller hacka sig in via fjärrstyrning. Sådant beteende antyder mest på att det är en person som varit hemma hos er och satt igång det, typ en kompis eller liknande som bara vill jävlas.

Kan sådana virus styras av en person så att säga? Och går det på något sätt att spåra ipv6 anslutningarna? Tack som fan förresten

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Jag skämtade om virus, hamachi är så man kan köra spel via lan, används oftast till gamla spel eller pirat spel, vilket avnänder akamachi technologies cloud service. Läste bara genom det lite snabbt och inte ingående, ser t.ex att du har wmpnetwrk, vilket är windows media center för streaming, t.ex till en xbox för att kolla på film, vilket troligtvis skickar UDPv6(ipv6) inom ditt lan.

Det enda som skulle skapa någon oro är rpcSs processen eller rpc (remote procedure call) rent generellt eftersom det är en process där man över nätverk kan starta eller ta över program, de som är äldre kommer kanske ihåg före SP2 på WinXP så fanns det ett RPC virus på internet som gjorde att alla datorer stängde ner och startade om windows om man inte patchade det. Men RPC i detta fall skulle kunna vara relaterat till windows media center.

Men som sagt, om du är så himla orolig, gör som någon annan sa och formatera och installera om din dator elller åtminstone gå in och stäng av remote desktop(fjärrstyrning) om du är säker på att någon har gjort det.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2014

Established är dom du letar efter, tex så är Chrome.exe established, vilket betyder att Chrome använder Internet just nu.

Sen finns ju någon " Can not obtain ownership" som är established, den låter ju lite suspekt isåfall.

Tröttnat på att ha signatur

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av imjohannes5670:

Sen finns ju någon " Can not obtain ownership" som är established, den låter ju lite suspekt isåfall.

Det är system eftersom det är PID 4, det är bara så att Windows7 rapporterar det så, i WinXP skulle det stå System istället. Har troligtvis nåt att göra med att system processen inte är kopplade till specifika användar konton som det isf skulle rapportera, så processen, som körs via system, har ingen ägare via användar konto.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2014
Skrivet av VexedRelic:

Det är system eftersom det är PID 4, det är bara så att Windows7 rapporterar det så, i WinXP skulle det stå System istället. Har troligtvis nåt att göra med att system processen inte är kopplade till specifika användar konton som det isf skulle rapportera, så processen, som körs via system, har ingen ägare via användar konto.

Missade PID:en.. vet inte hur det är på datorn men på mobilen var det väldigt rörigt och svårt att läsa texten

Tröttnat på att ha signatur

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jul 2012

Jag har bara ett anvämdarkonto på min dator och hade från början ställt in att jag var administratatör och ändå då jag går in och försöker ändra permissions för tillexempel programfilesx86 foldern så går det inte för att "acess is denied" samt att jag kan se fyra andra konton: CREATOR OWNER, SYSTEM, Administrators(PC-PC), USERS (PC-PC) TrustedInstaller och kan inte ändra eller deny'a deras tillgång till i det här fallet programfilesx86 foldern

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2014
Skrivet av Fabbeee:

Jag har bara ett anvämdarkonto på min dator och hade från början ställt in att jag var administratatör och ändå då jag går in och försöker ändra permissions för tillexempel programfilesx86 foldern så går det inte för att "acess is denied" samt att jag kan se fyra andra konton: CREATOR OWNER, SYSTEM, Administrators(PC-PC), USERS (PC-PC) TrustedInstaller och kan inte ändra eller deny'a deras tillgång till i det här fallet programfilesx86 foldern

Skickades från m.sweclockers.com

Testat byta ägare? Egenskaper för mappen > Säkerhet > Avancerat > Ägare. Byt ägare till dig själv.

Tröttnat på att ha signatur

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Sep 2005

Allt är som det ska.
Tips: google "vad är windows"

Snälla alla ni som skapar å svarar, F A K T A!
Så ingen gissningslek där ni leker, å skapa inte en tråd innan ni vet hur ni ska forma den till nåt konkret.
Du som trådskapare blir irriterad över brist på hjälp å dom som ska hjälpa blir less på att korrigera folk.

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jul 2012
Skrivet av imjohannes5670:

Testat byta ägare? Egenskaper för mappen > Säkerhet > Avancerat > Ägare. Byt ägare till dig själv.

Det står att "trusted installer har ägare status"

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jul 2012

Har formaterat min hårddisk samt installerat om Windows. Ska det verkligen se ut såhär då?
[img="http://s1.postimg.org/68cpf7euj/20150103_234718.jpg"]

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012

Eftersom det kvarstår en ominstallation är det ju värt att leta upp källan. Använder du pirat-Windows får du skylla dig själv. Annars kanske du inte tog bort all partitioner under ominstallationen? Har du flera lagringsenheter i datorn?

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
Phenom II X4 965@3900MHz (Sommarklock)
GTX 760@1111MHz

Ibland har jag fel, men då är det någon annans fel.

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Sep 2005

Detta är ni ... där majoriteten är *no comment*

Detta borde ni istället tänka.

Snälla alla ni som skapar å svarar, F A K T A!
Så ingen gissningslek där ni leker, å skapa inte en tråd innan ni vet hur ni ska forma den till nåt konkret.
Du som trådskapare blir irriterad över brist på hjälp å dom som ska hjälpa blir less på att korrigera folk.