Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   smss.exe macht probleme, bitte um hilfe ! (https://www.trojaner-board.de/50116-smss-exe-macht-probleme-bitte-um-hilfe.html)

maverikone 03.03.2008 13:06
smss.exe macht probleme, bitte um hilfe !
 
Hallo zusammen,

wie ich schon oft hier im board gelesen habe ist mein problem nicht das erste mal genannt worden, da aber die dort genannten hilfen mir nicht zum erfolg verholfen haben möchte ich nun auch meine hjack log euch senden.

Code:
Logfile of HijackThis v1.99.1
Scan saved at 12:44:20, on 03.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\tasks\update.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Christian und Verena\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [546d5d2a] rundll32.exe "C:\WINDOWS\system32\ctunrbum.dll",b
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: WinApp - {C285CF22-115F-3252-41AC-F686D912C63D} - C:\WINDOWS\system32\clipuser32.dll
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" /m PifEng.dll (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
Ich muss dazu sagen das ich den ordner namens Net.... im abgesicherten modus gelöscht habe seitdem war erst mal ruhe doch dann fing es an das der Internet Explorer wie auch Mozilla firefox seiten öffnen mit werbung und unseriösen spyware anbietern mit dem text "Ihr computer ist infiziert laden sie dieses programm ...."

Bitte um eure hilfe weiss nicht mehr weiter.

Danke

blow-in 03.03.2008 13:52
Hallo maverikone
Werte mal die Datei C:\WINDOWS\system32\ctunrbum.dll
bei Virustotal aus. Das Ergebnis hier posten.
Dann mal noch einen Scan mit SmitfraudFix
das Log ebenfalls hier posten.

maverikone 03.03.2008 15:37
Hallo blow-in danke erst mal für deine hilfe, hier ist der report von

Virus Total:

Code:
AhnLab-V3 2008.2.29.1 2008.03.03 -
AntiVir 7.6.0.73 2008.03.03 TR/Vundo.Gen
Authentium 4.93.8 2008.03.02 -
Avast 4.7.1098.0 2008.03.02 -
AVG 7.5.0.516 2008.03.03 Lop
BitDefender 7.2 2008.03.03 Trojan.Vundo.EAH
CAT-QuickHeal 9.50 2008.03.01 -
ClamAV 0.92.1 2008.03.03 -
DrWeb 4.44.0.09170 2008.03.03 -
eTrust-Vet 31.3.5582 2008.03.03 -
Ewido 4.0 2008.03.03 -
FileAdvisor 1 2008.03.03 -
Fortinet 3.14.0.0 2008.03.03 -
F-Prot 4.4.2.54 2008.03.02 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.03 -
Ikarus T3.1.1.20 2008.03.03 -
Kaspersky 7.0.0.125 2008.03.03 not-a-virus:AdWare.Win32.Virtumonde.gen
McAfee 5242 2008.02.29 -
Microsoft 1.3301 2008.03.03 Trojan:Win32/Vundo.gen!A
NOD32v2 2917 2008.03.03 -
Norman 5.80.02 2008.02.29 Vundo.gen59
Panda 9.0.0.4 2008.03.02 Suspicious file
Prevx1 V2 2008.03.03 Lop
Rising 20.34.02.00 2008.03.03 -
Sophos 4.27.0 2008.03.03 Troj/Virtum-Gen
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.03.03 -
TheHacker 6.2.92.231 2008.03.02 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.02 Adware.Vundo.Gen!Pac.18
Webwasher-Gateway 6.6.2 2008.03.03 Trojan.Vundo.Gen
und hier der Report von SmitFruadFix:

Code:
SmitFraudFix v2.300

Scan done at 15:24:55,54, 03.03.2008
Run from C:\Dokumente und Einstellungen\Christian und Verena\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\tasks\update.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

myrtille 03.03.2008 16:15
Hi,
ich möchte nicht dazwischen funken, aber weißt du was folgende Datei tut?
Zitat:
c:\windows\tasks\update.exe
Wenn nicht diese bitte auch bei virustotal auswerten lassen.

lg myrtille

blow-in 04.03.2008 07:33
Hallo maverikone
Bitte noch die Datei, wie von myrtille beschrieben bei Virustotal überprüfen.
Dann sehen wir weiter. Ich denke aber nicht, dass es etwas schlimmes ist und wir deinen Rechner wieder sauber bekommen.

maverikone 04.03.2008 16:07
Hallo blow-in und myrtille,

Hier ist der gewünschte Report :

Code:
AhnLab-V3 2008.3.4.0 2008.03.04 -
AntiVir 7.6.0.73 2008.03.04 -
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.04 -
AVG 7.5.0.516 2008.03.04 -
BitDefender 7.2 2008.03.04 -
CAT-QuickHeal 9.50 2008.03.04 -
ClamAV 0.92.1 2008.03.04 -
DrWeb 4.44.0.09170 2008.03.04 -
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5585 2008.03.04 -
Ewido 4.0 2008.03.04 -
FileAdvisor 1 2008.03.04 -
Fortinet 3.14.0.0 2008.03.04 -
F-Prot 4.4.2.54 2008.03.03 -
F-Secure 6.70.13260.0 2008.03.04 -
Ikarus T3.1.1.20 2008.03.04 -
Kaspersky 7.0.0.125 2008.03.04 -
McAfee 5243 2008.03.03 -
Microsoft 1.3301 2008.03.03 -
NOD32v2 2921 2008.03.04 -
Norman 5.80.02 2008.03.04 -
Panda 9.0.0.4 2008.03.03 -
Prevx1 V2 2008.03.04 -
Rising 20.34.12.00 2008.03.04 -
Sophos 4.27.0 2008.03.04 -
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.03.04 -
TheHacker 6.2.92.232 2008.03.04 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.04 -
Webwasher-Gateway 6.6.2 2008.03.04 -

blow-in 04.03.2008 17:09
Zu der letztgenannten Datei hätte ich noch gerne, ob du sie in dem Verzeichnis siehst? c:\windows\tasks\update.exe und wenn du auf diese Datei gehst, mit der rechten Maustaste und dann Eigenschaften. Was wird gemeldet?
Wenn du sie nicht siehst, mache die versteckten Dateien sichtbar.

maverikone 04.03.2008 19:49
Hallo blow-in,

In dem Verzeichnis "c:\windows\tasks" ist die update.exe nicht zu sehen !

Mfg. Maverikone und danke für die Hilfe :)

maverikone 04.03.2008 19:59
Hallo nochmal kleiner nachtrag

habe gerade mal unter der Systemsteuerung-Ordneroptionen "Versteckte ordner ausblenden" ausgeschaltet also das ich alle ordner und dateien sehen kann und zusätzlich die option "Geschützte Systemdateien ausblenden" ebenfalls deaktiviert damit ich auch diese einsehen kann.

Kann jedoch immer noch nicht diese update.exe im ordner "c:\windows\tasks" sehen.

Habe einmal zur probe "c:\windows\tasks\update.exe" ausgeführt, es öffnete sich eine CommandConsole oder DOS Fenster, es geschah aber nichts, es blinkte nur der courser oben links.

Vielleicht hilft euch das etwas weiter bei euren bemühungen!?!?!

Mfg. Maverikone

THX

boston 04.03.2008 22:28
dann sende

c:\windows\tasks\update.exe

mal an avira.
Submit your sample

und bitte

C:\WINDOWS\system32\clipuser32.dll

bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
auswerten lassen und das komplette ergebnis hier posten.

blow-in 05.03.2008 08:45
Zitat:
Zitat von maverikone (Beitrag 325868)
In dem Verzeichnis "c:\windows\tasks" ist die update.exe nicht zu sehen
Dann würde es mich interessieren, wie du die Datei bei Virustotal hochgeladen hast. Oder hast du es richtiger Weise gemacht, in dem du den Path eingegeben hast?

maverikone 05.03.2008 11:47
Hallo zusammen,

1. zu boston

"c:\windows\tasks\update.exe" habe ich an avira geschickt habe die meldung erhalten das, dass Avira Labor team noch am prüfen ist.


Hier ist der Report zu "C:\WINDOWS\system32\clipuser32.dll"

Code:
AhnLab-V3 2008.3.4.0 2008.03.05 -
AntiVir 7.6.0.73 2008.03.05 TR/Spy.Agent.259072
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.05 -
AVG 7.5.0.516 2008.03.05 PSW.Generic5.ALJU
BitDefender 7.2 2008.03.05 -
CAT-QuickHeal 9.50 2008.03.04 TrojanPSW.Delf.apy
ClamAV 0.92.1 2008.03.05 -
DrWeb 4.44.0.09170 2008.03.05 Trojan.PWS.Club
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5589 2008.03.05 -
Ewido 4.0 2008.03.04 -
FileAdvisor 1 2008.03.05 -
Fortinet 3.14.0.0 2008.03.05 -
F-Prot 4.4.2.54 2008.03.04 W32/Delf.B.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.05 W32/Delf.BKSK
Ikarus T3.1.1.20 2008.03.05 BehavesLikeTrojan.ShellObject
Kaspersky 7.0.0.125 2008.03.05 Trojan-PSW.Win32.Delf.apy
McAfee 5244 2008.03.04 -
Microsoft 1.3301 2008.03.05 PWS:Win32/Delf.ALD
NOD32v2 2923 2008.03.05 probably a variant of Win32/PSW.Delf.AMJ
Norman 5.80.02 2008.03.04 W32/Delf.BKSK
Panda 9.0.0.4 2008.03.04 Trj/Delf.AIE
Prevx1 V2 2008.03.05 Generic.Email.Worm
Rising 20.34.21.00 2008.03.05 -
Sophos 4.27.0 2008.03.05 -
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.03.05 Infostealer
TheHacker 6.2.92.233 2008.03.04 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.04 -
Webwasher-Gateway 6.6.2 2008.03.05 Trojan.Spy.Agent.259072
2. zu blow-in

Ich habe den Path direkt kopiert also " c:\windows\tasks\update.exe " und bei Virustotal eingefügt !

Mfg Maverik

maverikone 05.03.2008 13:43
Hey

hab noch ne frage habe ja jetzt mal wie schon genannt jetzt unter der Systemsteuerung-> Ordneroptionen -> Ansicht alles sichtbar gemacht ... muss ich jetzt noch mal alles scannen lassen oder machen virustotal und SmitFraudfix das automatisch ?


Mfg. Maverik ... Danke

myrtille 05.03.2008 14:53
Nein, nochmal scannen ist nicht notwendig. Virustotal, Smitfraudfix sind nicht von den explorer-Einstellungen abhängig und können daher auch so alle Dateien durchsuchen.

Allerdings solltest du die Datei jetzt sehen?

lg myrtille

blow-in 05.03.2008 15:09
Ich denke mal, dass du dir hier einen neuen Trojaner eingefangen hast.
clipuser32.dll Was der so alles anstellt weis ich nicht. Auf jeden fall läd er weitere Malware nach.
Wir können es weiter versuchen mit der Bereinigung. Ich kann dir aber keinen Erfolg versprechen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:17 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131