wie bekomme ich Syshost.exe weg?

#0
12.05.2004, 12:40
Member

Beiträge: 1095
#16 @feebel
raman hat recht ;)

Ich hab den Fehler oben schon rausgemacht.
Also nicht wundern

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 12.05.2004 um 12:40 Uhr von paff editiert.
Seitenanfang Seitenende
12.05.2004, 13:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Feeble

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Die Wiederherstellung deaktivieren(nach der Reinigung wieder aktivieren)

Fixe , was @Pfaff gepostet hat


neustarten
--------------------------------------------------------------------------
OnlineScann
http://housecall.trendmicro.com/

Lade die mwav.exe, scanne und loesche manuell alles, was er nicht beseitigt.
http://www.mwti.net/antivirus/free_utilities.asp
(vorher an @Pfaff schicken, was Trojaner und Viren sind)

Lade AdAware(free)
http://lavasoft.element5.com/german/support/download/

Lade WebWasher , saeubere den IE
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

Aktualisiere den IE
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.05.2004 um 13:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.05.2004, 15:00
...neu hier

Beiträge: 5
#18 also ist die datei ntwdm.exe keine wichtige u ich kann sie ganz sicher löschen?
Seitenanfang Seitenende
12.05.2004, 15:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Wenn dein Antivirus ntwdm.exe als Wurm erkennt, dann freue dich und loesche.
:\WINDOWS\system32
ntwdm.exe
ArchiveType: RAR SFX (self extracting)
--> syshost.exe
[FUND!] Enthält Signatur des Wurmes Worm/Francette.H

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.05.2004 um 15:47 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.05.2004, 16:26
...neu hier

Beiträge: 5
#20 hmm.. also ad aware habe ich schon drauf, wenn ich aber nun wirklich diese ganzen dateien, die er nciht "mag" lösche, funktionieren diverse progs wie kazza aber nciht mehr...
Seitenanfang Seitenende
12.05.2004, 17:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Das beste, du deinstallierst den Kaaza + Spyware und installierst den KaazaLite.
http://www.chip.de/downloads/c_downloads_8833716.html
(laden von <LowSpeed Download<;)
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.05.2004 um 17:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.05.2004, 20:23
...neu hier

Beiträge: 5
#22 was genau meinte raman denn nun damit, von wegen datei nciht löschen, weil die zu win gehört? gehört ntwdm.exe zu win oder darf ich die ganz sicher einfach weg löschen?
Seitenanfang Seitenende
12.05.2004, 20:27
Moderator

Beiträge: 7805
#23 Ganz einfach. Diese Datei gehort zu windows: C:\WINDOWS\System32\ctfmon.exe

der rest der angegebenen nicht. Nutze mal den Mwav* Link, den Sabina dir vorgeschlagen hat. Das erledigt das fuer dich

* http://www.mwti.net/antivirus/free_utilities.asp
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.05.2004, 01:25
...neu hier

Beiträge: 5
#24 Möchte mich einmal ganz lieb bei euch bedanken. Ich habe das gefühl es läuft wieder alles. Auf jeden Fall hat mein "upgedatetes" antirvir proggi zwei viren u einen trojaner entdeckt, die ich allerdings manuell entfernen musste.hab alles brav befolgt ;-) hoffe, ich habe jetzt alles runter. aber dafür habt ihr ja das bessere auge ;-)


Logfile of HijackThis v1.97.7
Scan saved at 01:21:38, on 14.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AIM95\aim.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Kazaa Lite K++\KazaaLite.kpp
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Danny\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Danny\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKLM\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "Danny"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "Danny"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38116.5676736111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFD6F9B7-A854-4D44-A703-338E610D623A}: NameServer = 212.82.225.7 212.82.225.12

alles sauber ? :-)
Seitenanfang Seitenende
14.05.2004, 16:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 meiner Meinung nach ja.

fixe , damit es aus dem Autostart kommt;)ist alles<gut<;)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Danny\LOKALE~1\Temp\mwavscan.com" /s

der Antivir. reicht voellig aus, also hole den Bitdefender auch aus dem Autostart)
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.05.2004 um 16:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.05.2004, 16:54
Moderator

Beiträge: 7805
#26 Das wichtigste fehlt noch:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

updaten, updaten, updaten, updaten, updaten, updaten, updaten, updaten!!
Und falls ich es vergessen haben sollte, du musst noch via www.windowsupdate.com updaten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.05.2004, 16:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
15.05.2004, 09:30
...neu hier

Beiträge: 3
#28 Hallo,
auch ich hab das gleiche Problem...
Syshost.exe verursacht eine Prozessorauslastung von 100% sobald ich im Internet bin.

Hier mein Hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 09:29:03, on 15.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Opera7\Opera.exe
D:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINDOWS\system32\mshe1p.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Service] C:\WINDOWS\system32\syshost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.4000347222
O17 - HKLM\System\CCS\Services\Tcpip\..\{C28C371B-82AB-400F-8850-AEA4F5050555}: NameServer = 217.237.151.161 194.25.2.129

Habt ihr Rat für mich?
Danke schonmal im Vorraus

Habe übrigens den Antivir mal durchlaufen lassen und einige Troianer entfernt.
Die Datei ntwdm.exe zeigt er als infiziert aber nicht löschbar an. Kann ich die Manuell löschen?
Dieser Beitrag wurde am 15.05.2004 um 10:17 Uhr von Thorgrimm editiert.
Seitenanfang Seitenende
15.05.2004, 13:18
Moderator

Beiträge: 7805
#29 Fixe das und loesche die ntwdm.exe:

O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINDOWS\system32\mshe1p.exe
O4 - HKLM\..\Run: [Microsoft Service] C:\WINDOWS\system32\syshost.exe

Diese Dateien natuerlich nach einem Neustart auch loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.05.2004, 15:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 @Thorgrimm

Fixe auchzusaetzlich:

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab

neustarten
------------------------------------------------------------------------
und scanne mit Antivirus, AdAware im abgesicherten Modus.(F8 beim Hochfahren druecken)
http://www.lavasoft.de/support/download/
http://www.free-av.com/

Lade Webwasher und saeubere den Browser IE
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

Deaktiviere die Wiederherstellung vorher , kannst du nach der Reinigung wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

-----------------------------------------------------------------------------
Ist das dein regulaerer Server??
O17 - HKLM\System\CCS\Services\Tcpip\..\{C28C371B-82AB-400F-8850-AEA4F5050555}: NameServer = 217.237.151.161 194.25.2.129

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.05.2004 um 15:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: