wie bekomme ich Syshost.exe weg?

#0
15.05.2004, 15:56
...neu hier

Beiträge: 3
#31 Ne meine Ip fängt immer mit 80.139 an (T-online)
Seitenanfang Seitenende
15.05.2004, 16:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 dann fixe das bitte auch(nach dem Laden der Tools !!), scanne alles mit den Tools und stell es dann neu ein.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.05.2004, 16:48
...neu hier

Beiträge: 3
#33 So danke erst mal...

hab jetzt alles gemacht und System läuft wieder bei den gewohnten unter 10% ;)

Wie kann ich mich denn grundsätzlich gut schützen?
Habe jetzt den WebWasher und Antivir als Schutz brauch ich noch ne Firewall oder reichen diese beiden Programme in Verbindung mit regelmäßigen Softwareupdates?

Danke
Thorgrimm
Seitenanfang Seitenende
15.05.2004, 16:50
Kodi
zu Gast
#34 Könnt ihr das mal kurz check0rn?
Danke im Voraus!!

Logfile of HijackThis v1.97.7
Scan saved at 16:51:11, on 15.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\wanmpsvc.exe
E:\WINDOWS\System32\MsPMSPSv.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
E:\Programme\QuickTime\qttask.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\AOL 9.0\aoltray.exe
E:\WINDOWS\System32\wuauclt.exe
E:\Programme\AOL 9.0\waol.exe
E:\Programme\AOL 9.0\shellmon.exe
E:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Anti-Viren\AVWUPSRV.EXE
E:\Dokumente und Einstellungen\Mazdak Tabai\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.battle.net/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - E:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - E:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AOLDialer] E:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = E:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6DE9088-9A0D-4EE0-B51A-3FBC0069EFC1}: NameServer = 195.93.75.134
Seitenanfang Seitenende
15.05.2004, 16:53
Member
Avatar Dafra

Beiträge: 1122
#35 Fix mal:
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - E:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - E:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

Sonst ist sauber.
MFG
DAFRA
Seitenanfang Seitenende
15.05.2004, 16:58
Kodi
zu Gast
#36 thx .... ich werds mach0rn. ......
achja vielleicht weisste auch bei diesem problem rat ....
also ich hab windows xp home edition installiert .....
mein vadder hat xp professional drauf getan und nochmal xp home edition ....
am anfang wenn der pc startet .... kann ich eine dieser 3 systeme auswählen zum starten ..... will aber die anderen beiden bis auf mein xp home edition nicht mehr haben!! Wie kann ich die lösch0rn??? Sodass nur noch das eine da ist!??
Help plz !!!
Seitenanfang Seitenende
15.05.2004, 17:11
Member
Avatar Dafra

Beiträge: 1122
#37 c:\boot.ini
editieren, such danach mal bei google, und vor dem ändern speichern.
MFG
DAFRA
Seitenanfang Seitenende
15.05.2004, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 @Thorgrimm
Firewall
http://www.tucows.com/preview/213160.html
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2004, 19:14
...neu hier

Beiträge: 9
#39 Also hallo erstmal n Kumpel hat mir den Link hier gegeben und ihr scheint ja echt voll die ahnung zu haben also hoffe ich ihr könnt mir helfen!
Ich hatte schon lange jetzt mit diversen Viren zu tun und habe schließlich neulich mein rechner formatiert. Beim ersten einloggen ins Netz bekam ich sofort wieder Sasser den ich wohl aba mit dem microsoft update (habe aber keine service packs) auch gelöscht habe. Trotzdem habe ich nun das syshost.exe -Problem und habe diese datei gelöscht, da mir ein Freund dazu geraten hat... Die Datei ist im Papierkorb ich weiß nicht ob dies richtig war oder nicht.
Nach lesen dieses Forums habe ich Hijack runtergeladen und sende nun den Quellcode, da ich hoffe ihr könnt mir helfen ;)
Außerdem würde ich eure Meinung gerne wissen welches Anti-Viren Programm ihr am besten findet um generell neuen (und alten) Problemen durch Viren/Trojaner/etc. vorzubeugen. Ist Pc-Chillin gut oda gibt es andere Freeware, die wirklich gut arbeitet?
Also hier der Quellcode von Hijack:

Logfile of HijackThis v1.97.7
Scan saved at 18:53:35, on 25.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\mslaugh.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programme\SmartSurfer2.3\SmartSurfer.exe
C:\WINDOWS\System32\navmgrd.exe
d:\games\warcraft iii\war3.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Robert\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.warcraft.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [DSService] dmrss.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [Microsoft Update] navmgrd.exe
O4 - HKLM\..\RunServices: [DSService] dmrss.exe
O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A5D9DB9-F450-49FB-8E59-94A9780E2C31}: NameServer = 62.104.191.241 62.104.196.134






DANKE im vorraus ciao Wills.
Seitenanfang Seitenende
25.05.2004, 19:26
Member
Avatar Dafra

Beiträge: 1122
#40 Fix:
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [DSService] dmrss.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [Microsoft Update] navmgrd.exe
O4 - HKLM\..\RunServices: [DSService] dmrss.exe
O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe

Und schick mir bitte diese Datein:
dmrss.exe
syshost.exe

An:

Spam-Email@gmx.net

MFG
DAFRA
Dieser Beitrag wurde am 25.05.2004 um 19:37 Uhr von Dafra editiert.
Seitenanfang Seitenende
25.05.2004, 19:28
Moderator

Beiträge: 7805
#41 Fixe bitte folgendes:

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [DSService] dmrss.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [Microsoft Update] navmgrd.exe
O4 - HKLM\..\RunServices: [DSService] dmrss.exe
O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe

So, das Problem ist nur, das das alles Wurmer sind. SD.bots, Blaster.a(!) und Francette.a .

Falls du auf deinem Rechner die dmrss.exe(wohl im Windows oder System32 Ordner), finden solltest schicke sie bitte an virus@protecus.de .

Im Grunde kann ich dir aber nur empfehlen deinen Rechner komplett neu aufzusetzen, da man nur erahnen kann, was sich noch alles ungesehen auf deinem Rechner befindet. Auch scheinen keinerlei Patches, Av-Programme installiert zu sein.

Edit: Ich werde langsam!;)
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 25.05.2004 um 19:37 Uhr von raman editiert.
Seitenanfang Seitenende
25.05.2004, 19:40
...neu hier

Beiträge: 9
#42 Danke aba die Sache ist die...
Ich hatte früher gar kein Av-Programm, da das auch nicht wirklich notwendig war aba in letzter Zeit hat sich da ja scheinbar viel geändert.
Ich habe erst vor einer woche formatiert und nun noch kein Av Programm auf meiner Platte was ich noch ändern werde...
Es wäre jedoch kein Problem erneut Festplatte komplett zu formatieren ich weiß bloß nicht wie ich richtig diesen Viren vorbeugen kann.
Mit meinem 56k erweist sich das updaten bzw dl von Av-Progs bzw anderen Windowns-Patches etc als sehr schwierig...
Seitenanfang Seitenende
25.05.2004, 20:02
...neu hier

Beiträge: 2
#43 Ja grüßt euch erstmal alle zusammen...
Beim lesen der Beiträge hier im Forum kommt man ja schon ins grübeln. Bis vor kurzem dachte ich, dass mein comp so ziemlich save ist, da er ja durch Antivir und die Hardware-Firewall des Routers geschützt ist, aber Vertrauen ist gut und Kontrolle ist besser...HEHE
drum hab ich einfach auch mal das hijacklog gepostet.
Könnt ihr mir sagen ob soweit alles in ordnung is?

Logfile of HijackThis v1.97.7
Scan saved at 19:45:41, on 25.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Treiber\Wlan\Utility\NetgearAG.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Tools\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Abspieler\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\devldr32.exe
C:\Treiber\MouseWare\MouseWare\system\em_exec.exe
C:\Programme\Encarta\Encarta Enzyklopädie Professional 2004 DVD\EDICT.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
d:\strategiespiele\warcraft 3\war3.exe
C:\Tools\StealthBot\StealthBot v2.4.exe
C:\Browser\Opera\Opera.exe
E:\unzipped\Software\hijackthis1977\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Tools\Pop-Up Stopper Basic\CCHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Pa&nicware Pop-Up Stopper Basic - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Tools\Pop-Up Stopper Basic\popuppro.dll
O4 - HKLM\..\Run: [AS00_Netgear] C:\Treiber\Wlan\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Tools\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Abspieler\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Brennprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

SO danke schon mal und macht weiter so^^
Seitenanfang Seitenende
26.05.2004, 08:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#44 @ede
Vertrauen ist gut..Kontrolle besser:
Das Log ist sauber.

http://ntsvcfg.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.05.2004, 14:58
...neu hier

Beiträge: 2
#45 Danke ihr seid super!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: