Hi,

nach langem hin und her habe ich vor etwa 3 wochen den rechner meines vaters komplett neu aufgesetzt! leider hat sich trotz firefox, antivir, aktiver xp firewall, sp2 mit allen updates wieder irgendwas eingeschlichen!

hab leider von HJT null ahnung und wollte euch mal fragen ob da was verdächtig ist?

Logfile of HijackThis v1.99.1
Scan saved at 16:45:51, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\Dyndnsupdate\DNSerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TightVNC\WinVNC.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Hans-Peter\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~4\IEBUTT~2.DLL
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl03a\BrStDvPt.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: klickTel Herbst 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SmartUI.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104497258675
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

hoffe das sys ist sauber :-(

thx

mfg THY

Hi

Schick mal folgende Files bei virustotal.com rauf und schau was rauskommt.

C:\WINDOWS\system32\Brmfrmps.exe

Aber wenn das wirklich von Brother ist, dann ist das harmlos.

Sonst finde ich so spontan nix böses.

Lg

mOIn auch

überprüfe lieber diese Dateien
(evtl. Troj/IRCBot-HA)
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 angaben,
auch wenn nichts gefunden wurde.

MFG

Hi

Ja stimmt, habe gerade nach C:\WINDOWS\system32\nvsvcd.exe

gegoogelt, könnte wirklich was sein.

na ja .. nobody is perfect

zur ssms.exe wurde nichts gefunden! allerdings befindet sie sich bei mir im system32 ordner?
File size: 50688 bytes
MD5: f529c489bf4a8921dfed80638ecda656
SHA1: bc2b4adc622cfec52b424f3fe5fc48cbc5c270ad

die C:\WINDOWS\system32\nvsvcd.exe
kann ich garnicht erst finden!

[.nvsvc] C:\WINDOWS\system\smss.exe /w

Der Eintrag ist def. verdächtig.
(könnte ein/der zlob sein)

Den Eintrag auf jedenfall mal aus der Registry schmeissen ..

Das File kannst mir irgendwie zukommen lassen, ich schaue es mir dann an

Btw: wieso du die andere Datei nicht findest ist klar
steht ja "(file missing)" dabei

lg

die smss.exe findet sich auch im ordner
C:\WINDOWS\ServicePackFiles\i386

wie kann ich dir das file den zukommen lassen :-)

Der Rechner ist als KOMPROMITTIERT anzusehen, da mehrere Schädlinge aktiv sind/waren!

Unteranderem: (wahrscheinlich!)

Troj/Mifeng-C
Troj/IRCBot

Es bleibt nur noch die Neuinstallation übrig, alles andere wäre sinnlos!

Gruß
Sunny

EDIT:

Zitat:

die smss.exe findet sich auch im ordner
C:\WINDOWS\ServicePackFiles\i386

Diese smss.exe gehört zu Windows, es ist eine Systemdatei

Hi

die smss.exe findet sich auch im ordner
C:\WINDOWS\ServicePackFiles\i386

DIE solltest du in Ruhe lassen ..

Aber die die da im Autorun gestartet wird ist def. nicht original.

Lass mir die Datei zukommen BEVOR du dein System plattmachst.
(Und damit würde ich noch warten ..)

lg

uih :-(
hab ich doch grad erst vor 2 wochen gemacht :-) hätte nie gedacht das sich mein paps so schnell wieder was einfängt :-(
gibts keine möglichkeit den zu löschen?

Zitat:

Zitat von Njall

Aber die die da im Autorun gestartet wird ist def. nicht original.

Und ob die Original ist, sie steht zwar nicht im "normalen" Autostart, aber sie ist auch eine Systemdatei!
Bei der Datei smss.exe handelt es sich um den Sitzungsmanager (Session Manager) von Windows NT/W2K/XP. smss.exe wird direkt vom Systemprozess gestartet und kontrolliert jeweils eine Usersitzung. Zusätzlich lädt der Prozess für jeden User die gewohnte Systemumgebung.
Die Datei "smss.exe" befindet sich im Ordner C:\Windows\System32.

Die im Hijacklog erwähnte steht aber hier:

Zitat:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Zitat:

Lass mir die Datei zukommen BEVOR du dein System plattmachst.
(Und damit würde ich noch warten ..)

Versau dir ruhig auch dein System

Zitat:

Zitat von Thybald

uih :-(
hab ich doch grad erst vor 2 wochen gemacht :-) hätte nie gedacht das sich mein paps so schnell wieder was einfängt :-(
gibts keine möglichkeit den zu löschen?

Ihr solltet mal Euer Sicherheitskonzept überarbeiten. Wie schafft ihr denn das, ständig Viecher in das System zu schleusen?

Zitat:

Zitat von Thybald

gibts keine möglichkeit den zu löschen?

Doch, die gibt es, aber das ist nicht das Problem. Schau mal in die Anleitung. Gruß

@Njall hast ne pm :-)

Hi

Was die Datei ist weiss ich, nur ist die normalerweise nicht im system verz. sondern im system32.
( C:\WINDOWS\system\smss.exe IST NICHT gleich C:\WINDOWS\system32\smss.exe
)

Auf einem Default XP Sp2 gibt es KEINE Datei mit dem Namen im system Verz.
(und den Session Manager über den Autorun in der Registry zu starten wäre irgendwie absurd).

Ich kann mir mein System mit Windows Files per se nicht versauen

Ich schaue mit diese Datei an sofer es die richtige ist und dann sehen wir weiter.

Lg