wie bekomme ich Syshost.exe weg? |
||
---|---|---|
#0
| ||
12.05.2004, 12:40
Member
Beiträge: 1095 |
||
|
||
12.05.2004, 13:00
Ehrenmitglied
Beiträge: 29434 |
#17
Feeble
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Die Wiederherstellung deaktivieren(nach der Reinigung wieder aktivieren) Fixe , was @Pfaff gepostet hat neustarten -------------------------------------------------------------------------- OnlineScann http://housecall.trendmicro.com/ Lade die mwav.exe, scanne und loesche manuell alles, was er nicht beseitigt. http://www.mwti.net/antivirus/free_utilities.asp (vorher an @Pfaff schicken, was Trojaner und Viren sind) Lade AdAware(free) http://lavasoft.element5.com/german/support/download/ Lade WebWasher , saeubere den IE http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html Aktualisiere den IE http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.05.2004 um 13:06 Uhr von Sabina editiert.
|
|
|
||
12.05.2004, 15:00
...neu hier
Beiträge: 5 |
#18
also ist die datei ntwdm.exe keine wichtige u ich kann sie ganz sicher löschen?
|
|
|
||
12.05.2004, 15:45
Ehrenmitglied
Beiträge: 29434 |
#19
Wenn dein Antivirus ntwdm.exe als Wurm erkennt, dann freue dich und loesche.
:\WINDOWS\system32 ntwdm.exe ArchiveType: RAR SFX (self extracting) --> syshost.exe [FUND!] Enthält Signatur des Wurmes Worm/Francette.H MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.05.2004 um 15:47 Uhr von Sabina editiert.
|
|
|
||
12.05.2004, 16:26
...neu hier
Beiträge: 5 |
#20
hmm.. also ad aware habe ich schon drauf, wenn ich aber nun wirklich diese ganzen dateien, die er nciht "mag" lösche, funktionieren diverse progs wie kazza aber nciht mehr...
|
|
|
||
12.05.2004, 17:49
Ehrenmitglied
Beiträge: 29434 |
#21
Das beste, du deinstallierst den Kaaza + Spyware und installierst den KaazaLite.
http://www.chip.de/downloads/c_downloads_8833716.html (laden von <LowSpeed Download< MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.05.2004 um 17:56 Uhr von Sabina editiert.
|
|
|
||
12.05.2004, 20:23
...neu hier
Beiträge: 5 |
#22
was genau meinte raman denn nun damit, von wegen datei nciht löschen, weil die zu win gehört? gehört ntwdm.exe zu win oder darf ich die ganz sicher einfach weg löschen?
|
|
|
||
12.05.2004, 20:27
Moderator
Beiträge: 7805 |
#23
Ganz einfach. Diese Datei gehort zu windows: C:\WINDOWS\System32\ctfmon.exe
der rest der angegebenen nicht. Nutze mal den Mwav* Link, den Sabina dir vorgeschlagen hat. Das erledigt das fuer dich * http://www.mwti.net/antivirus/free_utilities.asp __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.05.2004, 01:25
...neu hier
Beiträge: 5 |
#24
Möchte mich einmal ganz lieb bei euch bedanken. Ich habe das gefühl es läuft wieder alles. Auf jeden Fall hat mein "upgedatetes" antirvir proggi zwei viren u einen trojaner entdeckt, die ich allerdings manuell entfernen musste.hab alles brav befolgt ;-) hoffe, ich habe jetzt alles runter. aber dafür habt ihr ja das bessere auge ;-)
Logfile of HijackThis v1.97.7 Scan saved at 01:21:38, on 14.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\Winampa.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AIM95\aim.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Kazaa Lite K++\KazaaLite.kpp C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Dokumente und Einstellungen\Danny\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Danny\LOKALE~1\Temp\mwavscan.com" /s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe O4 - HKLM\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "Danny" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "Danny" O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: AIM (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38116.5676736111 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BFD6F9B7-A854-4D44-A703-338E610D623A}: NameServer = 212.82.225.7 212.82.225.12 alles sauber ? :-) |
|
|
||
14.05.2004, 16:49
Ehrenmitglied
Beiträge: 29434 |
#25
meiner Meinung nach ja.
fixe , damit es aus dem Autostart kommtist alles<gut< O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Danny\LOKALE~1\Temp\mwavscan.com" /s der Antivir. reicht voellig aus, also hole den Bitdefender auch aus dem Autostart) O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.05.2004 um 16:54 Uhr von Sabina editiert.
|
|
|
||
14.05.2004, 16:54
Moderator
Beiträge: 7805 |
#26
Das wichtigste fehlt noch:
Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) updaten, updaten, updaten, updaten, updaten, updaten, updaten, updaten!! Und falls ich es vergessen haben sollte, du musst noch via www.windowsupdate.com updaten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.05.2004, 16:56
Ehrenmitglied
Beiträge: 29434 |
#27
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp
MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2004, 09:30
...neu hier
Beiträge: 3 |
#28
Hallo,
auch ich hab das gleiche Problem... Syshost.exe verursacht eine Prozessorauslastung von 100% sobald ich im Internet bin. Hier mein Hijackthis log: Logfile of HijackThis v1.97.7 Scan saved at 09:29:03, on 15.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Opera7\Opera.exe D:\Download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINDOWS\system32\mshe1p.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Microsoft Service] C:\WINDOWS\system32\syshost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.4000347222 O17 - HKLM\System\CCS\Services\Tcpip\..\{C28C371B-82AB-400F-8850-AEA4F5050555}: NameServer = 217.237.151.161 194.25.2.129 Habt ihr Rat für mich? Danke schonmal im Vorraus Habe übrigens den Antivir mal durchlaufen lassen und einige Troianer entfernt. Die Datei ntwdm.exe zeigt er als infiziert aber nicht löschbar an. Kann ich die Manuell löschen? Dieser Beitrag wurde am 15.05.2004 um 10:17 Uhr von Thorgrimm editiert.
|
|
|
||
15.05.2004, 13:18
Moderator
Beiträge: 7805 |
#29
Fixe das und loesche die ntwdm.exe:
O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINDOWS\system32\mshe1p.exe O4 - HKLM\..\Run: [Microsoft Service] C:\WINDOWS\system32\syshost.exe Diese Dateien natuerlich nach einem Neustart auch loeschen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.05.2004, 15:18
Ehrenmitglied
Beiträge: 29434 |
#30
@Thorgrimm
Fixe auchzusaetzlich: O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab neustarten ------------------------------------------------------------------------ und scanne mit Antivirus, AdAware im abgesicherten Modus.(F8 beim Hochfahren druecken) http://www.lavasoft.de/support/download/ http://www.free-av.com/ Lade Webwasher und saeubere den Browser IE http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html Deaktiviere die Wiederherstellung vorher , kannst du nach der Reinigung wieder aktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 ----------------------------------------------------------------------------- Ist das dein regulaerer Server?? O17 - HKLM\System\CCS\Services\Tcpip\..\{C28C371B-82AB-400F-8850-AEA4F5050555}: NameServer = 217.237.151.161 194.25.2.129 MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.05.2004 um 15:25 Uhr von Sabina editiert.
|
|
|
||
raman hat recht
Ich hab den Fehler oben schon rausgemacht.
Also nicht wundern
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware