Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: smss.exe und crss.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 20.12.2004, 20:12   #1
emi
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



woran erkenne ich, ob ein laufender prozess ein win programm oder ein wurm ist?

smss.exe hab ich zb unter:

win/system32------das ist OK.

aber auch unter:

win/servicepackfiles und win/softwaredistribution.

sind diese beiden würmer?

soll ich bei crss.exe auch alle, ausser die unter win/sys32 laufen, löschen?

Alt 20.12.2004, 20:29   #2
chaosman
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



@emi
poste bitte ein Hijackthislogfile
download
anleitung

chaosman
__________________

__________________

Alt 20.12.2004, 20:39   #3
emi
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



Logfile of HijackThis v1.98.2
Scan saved at 21:37:57, on 20.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\MOZILL~1.3\Mozilla.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\e\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B738BD2D-5AC0-4C62-B02C-A3FE8A5D39D7} (AXReader Class) - file://D:\Content\Prokoda\XP\plugin\ad32ax.cab
__________________

Alt 20.12.2004, 20:47   #4
chaosman
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



@emi
lade dir escan hier
lese der anleitung
mache es genauso wie verlangt wird, scan dauert 1 stunde
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman
__________________
Bonus vir semper tiro

Alt 20.12.2004, 20:52   #5
emi
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



scan läuft!

aber wenn ich smss.exe unter anderen files als unter win/sys32 finde, sind die dann nicht automatisch würmer?


Alt 20.12.2004, 20:56   #6
chaosman
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



@emi
aber wenn ich smss.exe unter anderen files als unter win/sys32 finde, sind die dann nicht automatisch würmer?
kuckst du hier
http://www.neuber.com/taskmanager/de.../smss.exe.html

lasse escan alles überprüfen, vielleicht findet er noch mehr...


chaosman
__________________
--> smss.exe und crss.exe

Alt 20.12.2004, 22:33   #7
emi
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



dh. ich soll diese auf jeden fall löschen?
scan läuft immer noch......zzzzzzzz

Alt 21.12.2004, 00:01   #8
emi
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



so da:
3 std. und 75.000 files später:

File C:\WINDOWS\system32\drivers\etc\1.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.

das sollte ich kopieren?

Wed Dec 08 13:17:49 2004 => Total Disinfected Files: 0

Wed Dec 08 13:17:49 2004 => Total Files Scanned: 24248
Wed Dec 08 13:17:49 2004 => Total Virus(es) Found: 0
Wed Dec 08 13:17:49 2004 => Total Disinfected Files: 0
Wed Dec 08 13:17:49 2004 => Total Files Renamed: 0
Wed Dec 08 13:17:49 2004 => Total Deleted Files: 0
Wed Dec 08 13:17:49 2004 => Total Errors: 3
Wed Dec 08 13:17:49 2004 => Time Elapsed: 00:38:38
Wed Dec 08 13:17:49 2004 => Virus Database Date: 2004/12/02
Wed Dec 08 13:17:49 2004 => Virus Database Count: 111161

Alt 21.12.2004, 08:02   #9
MountainKing
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



Du musst die Namen der Dateien schon richtig schreiben, eine crss.exe sehe ich bei dir nicht, sondern die csrss.exe. Das ist zwar nur ein Buchstabe aber ein himmelweiter Unterschied zwischen gefährlichem Trojaner und wichtigem Systemfile. Bei Dateien unter win/servicepackfiles und win/softwaredistribution handelt es sich in der Regel um Backupfiles von Windows-Dateien, also keine Schädlinge.
Poste mal den Inhalt der beiden Hostdateien.

Alt 21.12.2004, 08:20   #10
emi
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



wie zeige ich den inhalt an?

und wenn diese beiden in ordnung sind wie du sagst, was mach ich dann mit den beiden infected dateien, die mir escan angezeigt hat?

Alt 21.12.2004, 08:28   #11
MountainKing
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



Öffne sie mit dem Editor und kopiere den Inhalt. Ich bin mir nicht sicher, ob das nicht evtl. ein fehlalarm ist, deswegen möchte ich wissen, was drinsteht.

Alt 21.12.2004, 22:13   #12
emi
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



das ist smss.exe aus dem servicepackfiles ordner:

ԑ|Ý‘|ï`—|@z”|â‘|0‘|^(“| <|A  ! p- p! S e s s i o n M a n a g e r SMSS:PFILE: Skipping duplicate specifier `%wZ'
SMSS:PFILE: Created descriptor for `%wZ' (`%wZ')
parsing specified failed SMSS:PFILE: SmpParseCommandLine(%wZ) failed with status %X
SMSS:PFILE: Paging file specifier `%wZ'
SMSS:PFILE: Too many paging files specified - %d
SMSS:PFILE: Created volume descriptor for`%wZ'
SMSS:PFILE: Query volume `%wZ' (handle %p) for size failed with status %X
SMSS:PFILE: Failed to allocate a volume descriptor (%u bytes)
SMSS:PFILE: Volume `%wZ' (%X) cannot store a paging file
SMSS:PFILE: Query volume `%wZ' (handle %p) for device info failed with status %X
SMSS:PFILE: Open volume `%wZ' failed with status %X
\ ? ? \ A : \ SMSS:PFILE: Query(ProcessDeviceMap) failed with status %X
SMSS:PFILE: NtCreatePagingFile (%wZ, %I64X, %I64X) succeeded.
success SMSS:PFILE: NtCreatePagingFile (%wZ, %I64X, %I64X) failed with %X
failed SMSS:PFILE: Trimmed size of `%wZ' to maximum allowed
SMSS:PFILE: Validating sizes for `%wZ' %I64X %I64X
SMSS:PFILE: Failed to delete page file `%wZ' (status %X)
SMSS:PFILE: Deleted stale paging file - %wZ
SMSS:PFILE: Failed to open for deletion page file `%wZ' (status %X)
SMSS:PFILE: Failed query for size potential pagefile `%wZ' with status %X
SMSS:PFILE: Trying to get size for `%wZ'
SMSS:PFILE: Querying volume `%wZ' for free space
SMSS:PFILE: unexpected exception %X with record %p
SMSS:PFILE: Failing for min %I64X, max %I64X, real min %I64X
SMSS:PFILE: min %I64X, max %I64X, real min %I64X
SMSS:PFILE: Free space on volume `%wC' is %I64X
SMSS:PFILE: Detected size %I64X for future paging file `%wZ'
SMSS:PFILE: Skipping crash dump checking for `%wZ' on non boot volume `%wC'
SMSS:PFILE: Failed to query free space for boot volume `%wC'
SMSS:PFILE: Checking for crash dump in `%wZ' on boot volume
SMSS:PFILE: No volume descriptor for `%wZ'
SMSS:PFILE: NtQuerySystemInformation failed with %x
\ ? ? \ ? : \ p a g e f i l e . s y s SMSS:PFILE: Creating emergency paging file.
SMSS:PFILE: Creating a normal paging file (`%wZ')
SMSS:PFILE: Trying lower sizes for (`%wZ')
SMSS:PFILE: Creating a system managed paging file (`%wZ')
SMSS:PFILE: Failed to create volume descriptors (status %X)
SMSS:PFILE: No paging file was requested
I N I T D B G S M ÿÿÿÿ͕XH֕XH SMSS: Unable to keep track of session ID -- no memory available
SmExecPgm: NtDuplicateObject (Thread) Failed %lx
SmExecPgm: NtDuplicateObject (Process) Failed %lx
SmExecPgm: NtOpenProcess Failed %lx
U n h a n d l e d E x c e p t i o n i n S e s s i o n M a n a g e r W i n d o w s L o g o n P r o c e s s W i n d o w s S u b S y s t e m - g - x n t s d - d n t s d - p - 1 - d S e s s i o n M a n a g e r I n i t i a l i z a t i o n : SmpStartCsr, SmpExecuteInitialCommand Failed. Status=%x
SMSS: SmpStartCsr, SmpLoadSubSystemsForMuSession Failed. Status=%x
TNtTerminateProcess NtRaiseHardError vRtlInitUnicodeString ‹RtlAdjustPrivilege @RtlFreeHeap SRtlUpcaseUnicodeChar GRtlUnicodeStringToInteger ŽRtlAllocateHeap ERtlFreeUnicodeString  DbgPrintEx $RtlExtendedIntegerMultiply NtQueryVolumeInformationFile Ä NtOpenFile g NtClose wcslen wcscpy ë NtQueryInformationProcess | NtCreatePagingFile 3NtSetInformationFile è NtQueryInformationFile  DbgPrint ÿ NtQuerySystemInformation ¦_allmul @NtSetSecurityObject RtlSetOwnerSecurityDescriptor RtlSetDaclSecurityDescriptor xRtlAddAccessAllowedAce ÉRtlCreateAcl ÓRtlCreateSecurityDescriptor ŒRtlAllocateAndInitializeSid RtlDosPathNameToNtPathName_U "RtlExpandEnvironmentStrings_U NtQueryValueKey
swprintf Ç NtOpenKey JNtSetValueKey w NtCreateKey s NtCreateFile NtReadFile °_chkstk wcsstr Ï_wcsupr ¹ NtMakeTemporaryObject ƒ NtCreateSymbolicLinkObject Á NtOpenDirectoryObject wcsncpy ‘RtlAnsiStringToUnicodeString pRtlInitAnsiString À_stricmp  NtCreateSection J LdrVerifyImageMatchesChecksum p NtCreateDirectoryObject RtlSetEnvironmentVariable H LdrUnloadDll 9 LdrGetProcedureAddress uRtlInitString > LdrLoadDll °RtlCompareUnicodeString RtlEqualString ómemmove Ì_wcsicmp ØRtlCreateUnicodeString RtlDosSearchPath_U àRtlQueryEnvironmentVariable_U RtlEqualUnicodeString –RtlAppendUnicodeToString •RtlAppendUnicodeStringToString cNtWaitForSingleObject !NtResumeThread ýRtlDestroyProcessParameters ÚRtlCreateUserProcess ÐRtlCreateProcessParameters ORtlUnlockBootStatusData eRtlGetSetBootStatusData ·RtlLockBootStatusData “ NtDisplayString øsprintf ” NtDuplicateObject µRtlLengthSid IRtlGetAce ÛRtlPrefixUnicodeString ü NtQuerySymbolicLinkObject Ð NtOpenSymbolicLinkObject ã NtQueryDirectoryObject NtRequestWaitReplyPort 3RtlFindMessage .NtSetEvent CNtSetSystemInformation q NtCreateEvent ²RtlLeaveCriticalSection RtlEnterCriticalSection wcscat A LdrQueryImageFileExecutionOptions ‹ NtDelayExecution ¬ NtInitializeRegistry êRtlQueryRegistryValues ‘ NtDeleteValueKey ÎRtlCreateEnvironment ÜRtlCreateUserThread } NtCreatePort {RtlInitializeCriticalSection 7NtSetInformationProcess ÕRtlCreateTagHeap 8NtSetInformationThread í NtQueryInformationToken Ò NtOpenThreadToken ª NtImpersonateClientOfPort m NtConnectPort k NtCompleteConnectPort N NtAcceptConnectPort Ë NtOpenProcess NtReplyWaitReceivePort !RtlExitUserThread NtReplyPort !RtlSetThreadIsCritical bNtWaitForMultipleObjects RtlSetProcessIsCritical ERtlUnicodeStringToAnsiString Y NtAdjustPrivilegesToken Ì NtOpenProcessToken BRtlUnhandledExceptionFilter ntdll.dll RRtlUnwind NtQueryVirtualMemory  DbgBreakPoint ËRtlNormalizeProcessParams



wolltest du das sehen oder mach ich da was falsch?
musste einiges rauslöschen, da nur 10.000 zeichen erlaubt sind.
wenns stimmt, poste ich dir dann noch die anderen. wollte vorher nur mal fragen?

Alt 21.12.2004, 22:56   #13
emi
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



hier ist zb eine von trojan 32.qhost infizierte datei.
was mach ich da am besten? fixqhost reicht?

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost





127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

Alt 21.02.2007, 19:39   #14
Smile-Tony
 
smss.exe und crss.exe - Standard

smss.exe und crss.exe



Also ich bin neu hier

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Alt 03.04.2008, 17:07   #15
DerVirenMann
 
smss.exe und crss.exe - Unglücklich

smss.exe und crss.exe



Joa aber ich hab da sowas

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Thema geschlossen

Themen zu smss.exe und crss.exe
ausser, erkenne, laufe, löschen, löschen?, programm, prozess, smss.exe, win, woran, wurm, würmer



Ähnliche Themen: smss.exe und crss.exe


  1. smss.exe,ecuwua.exe,ecuwub.exe
    Plagegeister aller Art und deren Bekämpfung - 14.01.2011 (1)
  2. smss.exe nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 09.06.2009 (1)
  3. [smss.exe]
    Plagegeister aller Art und deren Bekämpfung - 04.11.2008 (1)
  4. smss.exe
    Log-Analyse und Auswertung - 20.03.2008 (2)
  5. smss.exe als Rootkit?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2008 (4)
  6. smss.exe-Trojaner!!
    Plagegeister aller Art und deren Bekämpfung - 11.12.2007 (1)
  7. Crss Probleme, Systemausgelastet
    Log-Analyse und Auswertung - 29.07.2007 (2)
  8. smss.exe???
    Log-Analyse und Auswertung - 09.07.2007 (2)
  9. smss.exe winlogon.exe??
    Plagegeister aller Art und deren Bekämpfung - 18.01.2006 (3)
  10. crss.exe
    Log-Analyse und Auswertung - 05.01.2006 (2)
  11. ständige Wiederkehr von smss.exe
    Plagegeister aller Art und deren Bekämpfung - 24.07.2005 (1)
  12. crss.exe
    Log-Analyse und Auswertung - 13.03.2005 (6)
  13. smss.exe
    Plagegeister aller Art und deren Bekämpfung - 03.03.2004 (2)
  14. Was ist die smss.exe?
    Plagegeister aller Art und deren Bekämpfung - 03.03.2004 (4)
  15. Trojaner smss.exe??
    Plagegeister aller Art und deren Bekämpfung - 10.02.2004 (3)
  16. trojaner smss.exe
    Antiviren-, Firewall- und andere Schutzprogramme - 10.01.2004 (2)
  17. smss.exe
    Plagegeister aller Art und deren Bekämpfung - 26.12.2003 (27)

Zum Thema smss.exe und crss.exe - woran erkenne ich, ob ein laufender prozess ein win programm oder ein wurm ist? smss.exe hab ich zb unter: win/system32------das ist OK. aber auch unter: win/servicepackfiles und win/softwaredistribution. sind diese - smss.exe und crss.exe...
Archiv
Du betrachtest: smss.exe und crss.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.