Vraag & Antwoord

Beveiliging & privacy

kerio personal firewall

Anoniem
quasi3
7 antwoorden
  • Ik heb een laptop (toshiba A30 met Windows XP) heb/had geen rare dingen met de laptop.
    Laatst in de nieuwsbrief van Computertotaal werd de firewall van KPF aangeprezen. Omdat ik er maar niet achter kon komen of de XP firewall nou wel of niet werkte (heb er al een paar keer naar gezocht, maar nooit gevonden; wat zit dat ding moeilijk weggestopt) besloten de KFP down te loaden en te installeren.

    Gebruik het nu een aantal dagen probleemloos. Diverse programma's waar ik regelmatig mee werk vroegen om toestemming het internet op te gaan. Daar zaten ook enige onbekende tussen. Welke ik ken heb ik toestemming gegeven wen welke ik niet ken de eerste dagen eenmalig geen toestemming en daarna definitief.

    Er is een programma dat hardnekkig terug blijft komen. Maar deze vraagt geen toestemming om het internet op te gaan, maar om een andere applicatie te starten. SVShost, niet te verwarren met SVChost.
    Ik heb in eerste insantie toestemming gegeven en had geen problemen. Na een tijdje heb ik beide uitgeschakeld. Maar dan ook bij alle 3 de regels verbied gezet. Dus onder het kopje "Aan het starten", "Aan het wijzigen" en "Andere aan het starten". Daarna de PC opnieuw opgestart en toen gebeurde er eigenlijk iets kinderachtigs. Ik kon geen programma's starten via het menu "Start". Wanneer ik op start klikte, dan verscheen even het menu, maar deze zakte gelijk weer terug. De programma's op mijn desktop kon ik wel startte. Een ander probleem was opslaan van bestanden op mijn laptop. De tekst welke er stond bleef aldoor maar geselecteerd. Telkens wanneer ik een letter in tikte, werd deze letter weer geselecteerd en de volgende ingetikte letter overschreef dus deze eerdere letter.
    Programma's starten/afsluiten, website opvragen/sluiten moest ik steeds 2 maal opdracht toe geven.

    Wat alleen over blijft is bij afsluiten van mijn laptop, dan komt steeds in beeld dat ik meen SVShost een applicatie wil starten. De laptp wordt wel gewoon afgesloten.

    Ik heb toen in KFP beide eerder genoemde items, SVShost en SVChost, op "vragen" gezet. Waarna de problemen direkt voorbij waren.
    Heb ik nu een virus? Welke kan ik eventueel verwijderen? Waar dienen deze voor?

    Heeft iemand een advies voor mij?

    Henk.

    Ik heb wel een bril, maar ben geen nerd.
  • Zie:

    http://www.liutilities.com/products/wintaskspro/processlibrary/svshost/
  • SVShost is een virus.

    Download HijackThis.
    Sla het bestand op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.
    Run het programma. Klik op scan, save log en sla het log op als een .txt bestand.
    Kopieer en plak de volledige inhoud van dit logbestand in je volgende bericht.

    Of viruscanner updaten en scannen
    of online scannen
  • Hier is de tekst van het logbestand van Hijack This:

    Logfile of HijackThis v1.97.7
    Scan saved at 22:30:15, on 6-5-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
    C:\Program Files\EzButton\CPLDBL10.EXE
    C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
    C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
    C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\WINDOWS\System32\vxehexjr.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
    C:\WINDOWS\System32\svshost.exe
    C:\svchost.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\WINDOWS\System32\Wzkvdvohtask.exe
    C:\Program Files\Opera7\opera.exe
    C:\Hijack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/Stoere/Mijn%20documenten/Mijn%20webs/Henks%20Wereld4/Henk's%20startpagina2.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2K0.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
    O4 - HKLM\..\Run: [CPLDBL10] C:\Program Files\EzButton\CPLDBL10.EXE
    O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
    O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
    O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
    O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [logmon] C:\WINDOWS\System32\vxehexjr.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe"
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
    O4 - HKLM\..\Run: [svshostdriver] svshost.exe
    O4 - HKLM\..\Run: [Services] C:\svchost.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [logmon] C:\WINDOWS\System32\vxehexjr.exe
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Yahoo! Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    Ik hoop dat je me meer kunt vertellen.

    Henk.
  • Oeps ,, Delete dubbel post.. :wink:
  • Hoi Stoere2003,
    Beeindig via taakbeheer (ctrl+alt+del) de processen: vxehexjr.exe, svshost.exe, Wzkvdvohtask.exe

    Vink in Hijackthis ALLEEN die regels aan die hieronder staan beschreven (je kan altijd weer een backup terugzetten). Sluit de browser en andere vensters behalve hijackthis en klik op "fix checked". START DAARNA OPNIEUW OP.

    [b:31abbfcbd8]O4 - HKLM\..\Run: [logmon] C:\WINDOWS\System32\vxehexjr.exe
    O4 - HKLM\..\Run: [svshostdriver] svshost.exe
    O4 - HKLM\..\Run: [Services] C:\svchost.exe
    O4 - HKCU\..\Run: [logmon] C:\WINDOWS\System32\vxehexjr.exe

    Verwijder na de herstart, bij voorkeur in de veilige mode, deze (eventueel nog) aanwezige bestanden of mappen
    (let op: Sommige kunnen verborgen staan dus eerst even dit uitvoeren: Start > instellngen > configuratiescherm > Mapopties > tabblad Weergave > klik "verborgen bestanden en mappen weergeven" en verwijder het vinkje bij Extensies voor bekende bestandstypen verbergen. > OK):
    C:\WINDOWS\System32\vxehexjr.exe < = dit bestand
    C:\WINDOWS\System32\svshost.exe < = dit bestand LET OP de juiste naam!
    C:\svchost.exe < = dit bestand LET OP niet het bestand met dezelfde naam in de C:\WINDOWS\system32 map
    C:\WINDOWS\System32\Wzkvdvohtask.exe < = dit bestand[/b:31abbfcbd8]

    En installeer een virusscanner en laat hem nog een volledige systeem scan doen! :)
  • Quasi bedankt,

    Ik heb de 4 bestanden verwijderd. Naast dat ik ze van mijn harde schijf heb verwijderd heb ik ze ook nog uit de lijst bij KFP moeten verwijderen.

    Mijn laptop lijkt ook nog steeds naar behoren te functioneren.
    Komende dagen nog even in de gaten houden.

    Ik moet alleen nog op zoek naar een virusscanner.

    Henk.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.