|
Vaters rechner Hi, nach langem hin und her habe ich vor etwa 3 wochen den rechner meines vaters komplett neu aufgesetzt! leider hat sich trotz firefox, antivir, aktiver xp firewall, sp2 mit allen updates wieder irgendwas eingeschlichen! hab leider von HJT null ahnung und wollte euch mal fragen ob da was verdächtig ist? Logfile of HijackThis v1.99.1 Scan saved at 16:45:51, on 19.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Scansoft\PaperPort\pptd40nt.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE C:\WINDOWS\system32\Brmfrmps.exe C:\WINDOWS\Dyndnsupdate\DNSerSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TightVNC\WinVNC.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Dokumente und Einstellungen\Hans-Peter\Desktop\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~4\IEBUTT~2.DLL O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl03a\BrStDvPt.exe O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1 O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Startup: klickTel Herbst 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SmartUI.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104497258675 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing) hoffe das sys ist sauber :-( thx mfg THY |
Hi Schick mal folgende Files bei virustotal.com rauf und schau was rauskommt. C:\WINDOWS\system32\Brmfrmps.exe Aber wenn das wirklich von Brother ist, dann ist das harmlos. Sonst finde ich so spontan nix böses. Lg |
mOIn auch überprüfe lieber diese Dateien (evtl. Troj/IRCBot-HA) C:\WINDOWS\system\smss.exe C:\WINDOWS\system32\nvsvcd.exe hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 angaben, auch wenn nichts gefunden wurde. MFG |
Hi Ja stimmt, habe gerade nach C:\WINDOWS\system32\nvsvcd.exe gegoogelt, könnte wirklich was sein. na ja .. nobody is perfect ;) |
zur ssms.exe wurde nichts gefunden! allerdings befindet sie sich bei mir im system32 ordner? File size: 50688 bytes MD5: f529c489bf4a8921dfed80638ecda656 SHA1: bc2b4adc622cfec52b424f3fe5fc48cbc5c270ad die C:\WINDOWS\system32\nvsvcd.exe kann ich garnicht erst finden! |
[.nvsvc] C:\WINDOWS\system\smss.exe /w Der Eintrag ist def. verdächtig. (könnte ein/der zlob sein) Den Eintrag auf jedenfall mal aus der Registry schmeissen .. Das File kannst mir irgendwie zukommen lassen, ich schaue es mir dann an :) Btw: wieso du die andere Datei nicht findest ist klar steht ja "(file missing)" dabei ;) lg |
die smss.exe findet sich auch im ordner C:\WINDOWS\ServicePackFiles\i386 wie kann ich dir das file den zukommen lassen :-) |
Der Rechner ist als KOMPROMITTIERT anzusehen, da mehrere Schädlinge aktiv sind/waren! Unteranderem: (wahrscheinlich!) Troj/Mifeng-C Troj/IRCBot Es bleibt nur noch die Neuinstallation übrig, alles andere wäre sinnlos! Gruß Sunny EDIT: Zitat:
|
Hi die smss.exe findet sich auch im ordner C:\WINDOWS\ServicePackFiles\i386 DIE solltest du in Ruhe lassen .. Aber die die da im Autorun gestartet wird ist def. nicht original. Lass mir die Datei zukommen BEVOR du dein System plattmachst. (Und damit würde ich noch warten ..) lg |
uih :-( hab ich doch grad erst vor 2 wochen gemacht :-) hätte nie gedacht das sich mein paps so schnell wieder was einfängt :-( gibts keine möglichkeit den zu löschen? |
Zitat:
Bei der Datei smss.exe handelt es sich um den Sitzungsmanager (Session Manager) von Windows NT/W2K/XP. smss.exe wird direkt vom Systemprozess gestartet und kontrolliert jeweils eine Usersitzung. Zusätzlich lädt der Prozess für jeden User die gewohnte Systemumgebung. Die Datei "smss.exe" befindet sich im Ordner C:\Windows\System32. Die im Hijacklog erwähnte steht aber hier: Zitat:
Zitat:
|
Zitat:
|
Zitat:
|
@Njall hast ne pm :-) |
Hi Was die Datei ist weiss ich, nur ist die normalerweise nicht im system verz. sondern im system32. ( C:\WINDOWS\system\smss.exe IST NICHT gleich C:\WINDOWS\system32\smss.exe ) Auf einem Default XP Sp2 gibt es KEINE Datei mit dem Namen im system Verz. (und den Session Manager über den Autorun in der Registry zu starten wäre irgendwie absurd). Ich kann mir mein System mit Windows Files per se nicht versauen ;) Ich schaue mit diese Datei an sofer es die richtige ist und dann sehen wir weiter. Lg |
Zitat:
Ratschläge von [Gc]Sunny und ordell1234 sind das einzig Vernünftige :daumenhoc |
Ok .. auch wenn sich morgen heraustellt das über die Datei nicht "Weiss-Gott-Was" gemacht wurde, sehe ich ein das ich hier auf verlorenen Posten stehe mit meiner Meinung. :( Also bitte, mach was die anderen sagen, ich bin zumindest nicht schuld dran, meine Meinung ist es nicht. lg |
Njall, stehst für mich nicht auf verlorenen posten:-) hab doch geschrieben, das sich die smss.exe bei mir im C:\WINDOWS\system32\smss.exe befindet net das ich was formatiere was garnicht von nöten ist :-) |
Du stehst hier auf verlorenem Posten mit der Meinung, weil in höchsten Maße unvernünftig und fahrlässig ist, einen kompromittierten Rechner nicht sofort vom Netz zu trennen! |
Zitat:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w Mach die Kiste platt, wahrscheinlich wird sich irgendein IRC-Bot herauskristallisieren. :kloppen: Sieh zu, dass Du in Zukunft dir erst garkeine Schädlinge einhandelst. |
@ Virenprofessor Njall Schon beim Lesen des ersten HJT-Logs hätte Dir doch auffallen müssen, dass der PC damit verseucht ist: http://www.sophos.de/security/analyses/w32agoboten.html Damit ist IMHO keine sinnvolle Bereinigung möglich. Du solltest Dir Deine Hinweise an die TO genauer überlegen. Du merkst aber schon, dass Du hier nur aneckst:D |
naja, führt wohl kein weg dran vorbei :-( auch wenns net mein rechner ist und ich eigentlich davon ausging, das firefox, sp2, aktivierte firewall, antivir ausreichend schutz für meinen dad seie! |
mOIn nochmal die Datei ist mit Sicherheit auch hier C:\WINDOWS\system\smss.exe vorhanden sonst würde sie im Log von HijackThis nicht auftauchen, du hast dir einen Backdoortrojaner eingefangen -->Quelle Sophos Zitat:
MFG EDIT: Ist die richtige Entscheidung auch wenns bitter ist. |
Zitat:
Lest Euch mal diesen Artikel durch => Kompromittierung unvermeidbar? |
@All Lest Ihr auch mal vorangegangene Beiträge?:kloppen: |
Hi Also das der Rechner verseucht ist, war ja klar, das diese smss.exe nicht origl auch .. das habe ich ja heute schon mal geschrieben. Das ich wo anecke kann sein, ja .. ich habe meine Meinung und kann die denke ich mal durchaus belegen. Das Problem ist, das ich leider nicht alles sagen kann was dazu dienlich wäre mich zu verstehen, aber nachdem ich eigentlich nur Leuten helfen will hier, denke ich mal könnte man durchaus versuchen auch mich zu verstehen. Ich bin sicher nicht allwissen, das ist keiner und das nehme ich auch nicht in Anspruch. Ich würde mich über ein paar PM zu dem Thema freuen, dann kann man das sinnvoll ausdiskutieren, wenn daran jemand Interesse hat. lg |
@Njall, schau mal in diesen Grunsatzdiskussionsthread. Da hatten wir schon etliche Posting über die Frage "Bereinigen oder neu aufsetzen?" |
Ok, lese ihn gerade :) :daumenhoc |
Noch ein Nachtrag für Njall: Selbst der Hersteller F-Secure plädiert für ein Neuaufsetzen bei Rootkitbefall. Nur so lässt sich das Risiko auch eliminieren: Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board