Weil mein Laptop bei Internetzugriffen recht langsam geworden war, stieß ich auf der Suche nach der Ursache auf eine Datei namens syshost.exe, die pausenlos versuchte, „nach Hause“ an die

IP 192.168.120.252

zu telefonieren. Da sie in ihren nimmermüden Bemühungen ständig andere Ports abklopfte, war diese Datei auch der Urheber der Langsamkeit. Sie war 2 x mit einem Run-Eintrag in der Registry vertreten, von wo aus sie auch gestartet wurde und befand sich im Ordner ...\Windows\System32. Syshost.exe wird mit dem Windows-Start geladen und verbleibt im Hintergrund bis zum Abschalten. Weil die Datei dabei ständig geöffnet ist, kann man sie auch nicht ohne weiteres löschen. Hierzu ist über den Taskmanager zunächst die Deaktivierung des Prozesses ratsam. Ob sie in der Spionage schon erfolgreich war, vermag ich nicht zu sagen. Wer hinter der IP-Nummer steckt, habe ich auch noch nicht herausbekommen. Vielleicht gelingt es einem von Euch? Schließlich ist es ja von allgemeinem Interesse zu wissen, wer einen bespitzelt.

In diesem Zusammenhang sei auch noch eine von Symantec als Kuckucksei in Norton-Programmen mitgelieferte Datei „logger.exe“ erwähnt, die man m. E. nicht benötigt. Hierbei handelt es sich vermutlich um einen sogenannten Keylogger. Keylogger sind Spione, welche die Reihenfolge eingetippter Befehle aufzeichnen und auf Anforderung weitergeben. Sie werden z. B. mißbraucht, um Passworte, Kontonummern, Benutzernamen, PINs und ähnliches herauszubekommen. Da sie sich bis zum Zeitpunkt ihrer Aktivierung durch den Drahtzieher still verhalten, bleiben sie oft unbemerkt. Nach Löschen von „logger.exe“ sind bei mir keine Störungen der Programme festzustellen gewesen.

Vor einigen Monaten fand ich „c.bat“ als ungebetenen Gast. Er war mir, wie die vorhergehenden auch, von Antivir, Spybot oder AVG nicht gemeldet worden. Da er mit ftp-Kommando arbeitet, ist auch hier ein Schädling anzunehmen.

navallo,

wenn Du GOOGLE mit syshost.exe fütterst, dann bekommst Du in diversen Sicherheitsforen das Kochrezept zum Entfernen des Schädlings.

IP-Nummern kann man über den im Internettipp angegebenen whois-Service auflösen. Bei der IP scheint es sich aber um keine "Spionagezentrale" zu handeln; nur Dein Rechner ist langsam.

Wenn sich IP Nummern so einfach verfolgen lassen, weshalb kommt es dann immer wieder zu solchen Verwirrspielen, die nicht nur hier statt finden????
Gruß Illona-ehrlich interssiert

Hallo Navallo

Es tut mir Leid, dir das sagen zumüssen, aber diesen W32/Banworm-A bekommst du nur noch wie hier https://faq.jors.net/virus.html beschrieben wieder los. Bitte lese hier wie du derartiger Malware in Zukunft vorbeugst: https://tinyurl.com/d6dmb

Nach Hause telefonieren?

Heimnetze beginnen alle mit dem Internetprotokoll
192.168.x.x
Also er rief das eigene Heimnetzwerk: Netzkarte, dsl-Modem, Router usw., andere Rechner die im Heimnetz eingebunden waren.

Der Wurm Sober funktioniert ähnlich einem Postausgangsserver (SMTP) und wollte über das eigene Netz sich selbst und E-Mails versenden.

Wenn sich Dein System noch nicht geändert hat und du feste IP dort vergeben hast, dann gib bei Start - Ausführen - ping 192.168.120.252 ein (s.o.).
Dann weißt du, wohin der "wurmige Telefonierenfinger" hingezeigt hatte.

Mit freundlichen Grüßen
Rainer

@schulle
den "syshost.exe" bin ich inzwischen los - hoffe ich. Habe ihn zunächst im Task-Manager deaktiviert, dann alle seine Einträge in der Registry gelöscht und schließlich ihn selbst gelöscht. Seitdem funktioniert der Rechner wieder in gewohnter Geschwindigkeit. Wollte damit eigentlich auch nur darauf aufmerksam machen, daß Antivirusprogramme und Spybot nicht alles lösen. Vielleicht gibt es ja noch mehr Leute, die sich wundern, warum trotz regelmäßiger Wartung der PC so langsam geworden ist. Dann lohnt es sich, mal mit der Suchfunktion nach der Datei syshost zu fahnden oder sich die Einträge im Taskmanager anzusehen.

@Illona
Ganz so einfach ist das Verfolgen von IP nicht. Es gibt dafür zwar Programme wie AYSpy (Shareware) oder Whois.at, worauf schulle schon hingewiesen hat, aber die funktionieren meist nur in geografisch eingeschränkten Bereichen und bei feststehender IP. Da vielfach bei verschiedenen (kostengünstigen) Betreibern angemeldet wird, wird aber jedesmal eine neue und somit andere IP vergeben. Weiterhin läuft die Verbindung oft über verschiedene Zwischenstationen, die bei kritischen Internetverbindungen zudem über ausländische Server weitergeleitet werden, die sich einer Kontrolle entziehen. Es gibt auch sog. Anonymizer, bei denen der Surfer sich über einen fremden Server anmeldet, dort aber nur mit Hilfe polizeilicher Ermittlungen identifizierbar ist. Da die zur Diskussion stehende Nummer mit 192.168 beginnt, also eigentlich ein Heimnetzwerk sein sollte, worauf rainer hinwies, hatte ich Hoffnung, ihn zu erwischen, was mir leider nicht gelungen ist.

Danke navallo
Gruß Illona

@navallo,

da hast Du rainer aber falsch verstanden! 192.168.120.252 war(ist) eine Adresse in Deinem EIGENEN Netzwerk. Fremde Heimnetzwerke erscheinen mit ganz andern IP-Nummern; auch Dein eigenes.

@rainer

wie machst Du es, mit ping das "Ziel" zu ermitteln? ping dient doch im Wesentlichen dazu, festzustellen ob ein "Rechner" im Netz zu erreichen ist, d.h. ob er Testpakete wieder zurückschickt, wie lange dies dauert, ob Paketverluste auftreten.

Um das Ziel zu ermitteln (und die Hops dazwischen) kenne ich nur das Unix-Kommando traceroute. Gibt es was Vergleichbares unter WINDOWS/DOS?

BTW, ich habe beim Ausführen eines Befehls über das START-Menu immer das Problem, dass sich das DOS-Fenster automatisch nach Beendigung des Befehl schließt und ich die Programmergebnisse nicht mehr sehen kann. Deshalb benutze ich aus dem Zubehör auch die DOS-Eingabeaufforderung. Gibt es irgendwo eine Einstellung, dass auch beim Ausführen über START-Menu das Fenster nicht automatisch geschlossen wird?

navallo, ich habe mit start/search nach syshost gesucht und bin nicht fündig geworden. Kann ich mich nun beruhigt zurück lehnen?

Das traceroute unter DOS habe ich gefunden: Es heißt tracert.

Als Parameter muss man wenigstens die IP-Nummer des Ziels oder seinen DNS-Namen angeben.

Weitere Parameter erhält man wie bei allen DOS-Kommandos durch den "Parameter" /?

also z.B. tracert /?

Beim Ergebnis von traceroute erfährt man auch die Namen der Zwischenstationen, die auf dem Weg zum Ziel liegen.

Das Kommando sollte man aber nicht strapazieren; es ist mal für die Netzadmins zur Diagnose geschaffen worden.

Mehr über die Kommandos ping, finger und tracert findet man im Internettipp

Hallo Navallo

Die Datei syshost.exe ist Bestandteil eines Worms der Soberfamilie und diese wird in der Uni.-Karlsruhe wie folgt beschrieben:
W32/Sober (24.10.03, akt. (+) 30.10., 12.11.03)

Alias: W32/Sober@MM [McAfee]], Sober [F-Secure], I-Worm.Sober [Kaspersky], Win32.Sober.A [Computer Associates], Win32/Sober.A [Eset], W32/Sober.A@mm [Frisk], W32/Sober.A [Norman], W32/Sober-A [Sophos], W32.Sobig.A@mm [Symantec], WORM_SOBER.A [Trend]

Typ: W32-Massen-E-Mail-Wurm
Betroffen: alle ungesicherten 32-Bit Windows-Systeme
Verbreitung: per E-Mail über Adressen aus lokal gespeicherten Dateien

Alles andere lest bitte bei https://tinyurl.com/a47yb (Uni Karlsruhe) nach
--------------------------------------------------------

Da dieser Wormtyp schon seit dem 24.10.2003 bekannt ist und eine im August vergangenen Jahres geschlossene Lücke in WindowsXP benutzt, dürfte der Befall im wesentlichen auf vier Gründe zurückzuführen sein:

1. Energische Weigerung des OP SP2 und alle darauf aufbauenden Fixes, Patches und Updates von MS zu installieren

2. Energische Weigerung des OP eine alternative Software für das Internet zu benutzen

3. Energische Weigerung des OP die Sicherheitsoptionen seiner Mailbox beim Provider entsprechent zu setzen

4. OP hat eine krankhafte Neugierde und muß unbedingt jeden Anhang einer Mail öffnen, selbst dann wenn sie von einem Unbekannten verschickt wurde und Betreff oder Text für ihn nicht zutreffent sind.

Der Worm besitzt die Fähigkeit, fehlende Komponente aus dem Internet nachzuladen bzw. sie regenerativ aus eigenen Resourcen neu zu bilden. Es ist ernsthaft zu bezweifeln das er komplett aus dem System entfernt wurde. Das System ist als kompromittiert zu betrachten. Da der Wurm sich seit längerer Zeit im System etapliert hat kann davon ausgegangen werden, das er sich bereits an alle auf dem System verfügbaren Adressen verschickt hat und dies immer wieder tun wird. Damit bekamen und bekommen ihn alle Bekannten, Verwanden, Freunde und Geschäftspartner des OP gratis.

Eindeutiges Indiz dafür ist die völlig außer Kontrolle geratene Aktivität des Systems.

Danke im Namen aller Betroffenen!
(Manchen kann man es vielleicht nicht anders sagen)

Hinterwaeldler,

danke für Deine Infos zum Thema Sicherheit. Eines versteh ich allerdings nicht so ganz: warum verkürzt Du die URL bei der Uni Karlsruhe?

Über die von Dir aufgeführten Links bin ich auf die im Internettipp angegebene Adresse gestoßen, wo ausführlich und kompetent über die sicher Konfiguration von NT-Diensten geschrieben wird.

@Hinterwaeldler,
vielen Dank für die instruktiven Hinweise. Da habe ich mir anscheinend doch mehr eingefangen, als ich für möglich hielt. Ich denke, daß sich der Übeltäter nach einer Windows-Neuinstallation schon beim ersten Gang ins Internet eingeschlichen haben könnte, als Firewall, Virenscanner und ServicePack 2 noch nicht installiert waren. Was mich irritiert, ist, daß Antivir und AVG ihn nicht angezeigt haben. Entdeckt habe ich syshost.exe etwa 3 Tage später über den TaskManager, und da ich die Datei nicht kannte, bin ich schließlich über Google fündig geworden. Nun bleibt mir nur zu hoffen, daß er in der relativ kurzen Zeit noch nicht viel infizieren konnte. Drückt mir die Daumen!

Neueste Meldung:
Stinger von McAfee hat in der Tat gerade eben noch eine mit W32/Sdbot.worm!ftp infizierte Datei in Windows\System32 gefunden und gelöscht.

Wie ich schon berichtet habe, habe ich mir nach der Neuinstallation von Windows XP und dem Versuch, eine Verbindung zum Internet herzustellen, den Wurm "sasser" innerhalb von 5 Minuten eingefangen, der den PC ständig ein- und ausschaltete. Dieser Wurm wurde von AntiVir nicht erkannt und konnte auch nicht entfernt werden.

Da half nur eins: Partition C: formatieren, Windows XP neu installieren, Service Pack 2 installieren, AntiVir installieren und erst dann die Verbindung zum Internet herstellen. Damit hatte ich Ruhe. Zumindest bis zum nächsten Mal.

Bitte Navallo

Diese Malware W32/Sdbot.worm!ftp wird nicht die letzte sein.
Bedenke:
Jedes Programm auf deinem PC besteht aus vielen Dateien. Glaubst du ernstlich, mit Malware ist das anders? Der Unterschied zu einem normalen Programm ist nur der, das Malware fehlende Komponente erkennt und wieder ersetzt.

Mit deinem Verhalten gefährdest du weniger dich selbst, denn dein System kann es kaum noch schlimmer treffen, sondern hunderte andere Anwender, die nun Gefahr laufen durch dein unvernünftiges Verhalten infiziert zu werden. In der Zeit, in welcher du vergeblich versuchst, dein System zu desinfizieren, hätte jeder andere User sein System neu installiert und wäre auf diese Art und Weise völlig frei von Malware geworden.

Vertraue keinem Scanner! Kein vernünftiger Mensch vertraut einer mit Mängel behafteten Software, sondern nur seinem gesunden Menschenverstand. Ein Scanner kann nur die Malware sicher erkennen, dessen Signaturen er in seiner Datenbank hat. Das hast du ja mittlerweile sicher schon bemerkt. Ein Scanner dient nicht dem Schutz deines Systems (das kann er gar nicht, auch wenn die Werbung was anderes verspricht) sondern lediglich als Indikator dafür, ob dein System schon kompromittiert ist oder nicht.

Um festzustellen, wie hilflos selbst teuere Scanner gegenüber Malware neuester Generation sind, kannst du bei https://virusscan.jotti.org/de/ sehr gut beobachten. Du mußt nur im unteren Bereich der Page die Tabelle eine Zeit lang beobachten und dabei in Abständen von 20-30 Sekunden die Anzeige deines Browsers aktualisieren.

Ändere dein Sicherheitskonzept. Viele Hinweise hast du schon bekommen, beachte besonders die von mir formulierten Falschregeln. Falls du mit DSL ins Internet gehst, so hole dir das bei https://ulm.ccc.de/chaos-seminar/windows-security/recording.html angebotene zweistündige Video. Wenn du dich bemühst wirst du auch dessen Inhalt verstehen. Hast du kein DSL, dann mußt du einfach mal glauben, was in die PDF hinter dem Link (unten) zur Sicherheit von Windowssystem geschrieben steht.

Ich kann nur noch einen weiteren Rat für nicht so computerversierte Leute geben:
Damit man bei der notwendigen Neuinstallation von Windows XP bei einem Virenbefall keine wichtigen Daten verliert, sollte man die Festplatte in mindestens zwei Partitionen aufteilen C: und D:. In C: kommt das Betriebssystem und die Anwendungsprogramme, in D: die "Eigenen Dateien" und die Downloads mit den neuesten aus dem Internet heruntergeladenen Treibern z.B. für Drucker und Scanner. Die Partition D: sollte man dann zur Datensicherung in regelmäßigen Abständen auf eine CD brennen.

Und noch ein Tip:

Wenn man seinen Rechner neu aufbauen muß, dann sollte man sein Adressbuch auch vorher sichern.

Unter Windows XP ist das Adressbuch zu finden unter:

Arbeitsplatz > Festplatte C: > Dokumente und Einstellungen > <Benutzername> > Anwendungsdaten > Microsoft > Adress Book > Adressbuchdatei <name>.wab

Diese Datei wird nach D: kopiert.