|
Wurm-Befall Guten Tag! Ich habe seit einigen Tagen das Problem das mir Antivir immer wieder Würmer meldet die ich selber mit Antivir nicht wegbekomme. Mit Pestpatrol oder Noadware hatte ich bis jetzt auch noch keinen Erfolg. Vorher hatte ich Norton Antivirus 05 drauf. Doch Norton hat diese und andere Störenfriede die Antivir gefunden hat erst garnicht erkannt. Leider nützt es nichts wenn ich den Temp-Ordner lösche wo diese Würmer herkommen da sie sich von irgendwo andersher von meiner Platte replizieren. http://home.arcor.de/randall-caine/Viren/virus1.jpg http://home.arcor.de/randall-caine/Viren/virus2.jpg http://home.arcor.de/randall-caine/Viren/virus3.jpg http://home.arcor.de/randall-caine/Viren/virus4.jpg Hijackthis Noch kurze Systemdaten: Windows XP Pro SP2 und Updates Aktuellste Treiber - Via 4in1 Ich hoffe das die Infos erstmal ausreichend sind. Ich danke im voraus. Mfg Randall Caine Ich habe eben ein Beitrag zu diesen Thema gefunden in den eine Lösung vorgeschlagen wird. Über die Suche hatte ich vorher kein Erfolg. Mal sehen ob sich mein Prob jetzt hiermit erledigt. |
@Randall Zitat:
|
Hallo, Gehe mal in den abgesicherten Modus (F8 beim booten) und verschiebe dort die Datei C:\WINDOWS\system\smss.exe in einen neuen Ordner den du Quarantäne nennst. Dann, wieder im normalen Modus, überprüfst du die Datei im Quarantäneordner hier und postest das Ergebnis. Grüße Wildone |
Also. Ich habe die smss.exe aus den system32 Ordner in einen Quarantäne-Ordner kopiert, denn verschieben lies sich die exe nicht da sie im Windowsbetrieb nicht beendet werden kann. Dann bin ich in den Abgesicherten Modus von Windows und habe dort den Task per "Tuneup Process Manager" mit den Namen "Session Manager Subsystem" beendet und die smss.exe aus den system32 Ordner gelöscht. Danach gleich nochmal "ClearProg" ausgeführt und den Rechner neu gestartet. Soweit ist ja alles gut gelaufen bis zu den Moment als Windows mir mit den Bluescreen kam in den stand "Session3_Initialization_Failed" und Windows sich nicht mehr starten lies. Was nun? Abgesicherter Modus geht nicht genauso wenig wie "Letzte funktionierende Konfiguration". So musste ich mit erschrecken feststellen das es an der fehlenden smss.exe lag. Wer an der Fortsetzung interessiert ist soll sich melden. Mfg Randall |
Hallo, ich meinte auch nicht den System32 Ordner, da ist der wichtige Systemprozess smss.exe drin, ich meinte die Datei im Ordner C:\Windows\System Aber ich habe vorhin deine Screenshots nicht angezeigt bekommen (experimentiere gerade an meinem System rum) damit ist eigentlich schon klar das du um ein Neuaufsetzen nicht herum kommen wirst wenn du wieder ein vertrauenswürdiges System haben willst. Grüße Wildone |
Okay okay. Ich habe soeben meine verdächtige smss.exe mal bei "virustotal.com durchchecken lassen. Hier das ernüchterne Ergebniss: This is a report processed by VirusTotal on 03/07/2006 at 15:47:41 (CET) after scanning the file "smss.exe" file. Antivirus Version Update Result AntiVir 6.33.1.53 03.07.2006 no virus found Avast 4.6.695.0 03.06.2006 no virus found AVG 718 03.06.2006 no virus found Avira 6.33.1.53 03.07.2006 no virus found BitDefender 7.2 03.07.2006 no virus found CAT-QuickHeal 8.00 03.07.2006 no virus found ClamAV devel-20060126 03.07.2006 no virus found DrWeb 4.33 03.07.2006 no virus found eTrust-InoculateIT 23.71.95 03.07.2006 no virus found eTrust-Vet 12.4.2108 03.07.2006 no virus found Ewido 3.5 03.07.2006 no virus found Fortinet 2.71.0.0 03.07.2006 no virus found F-Prot 3.16c 03.07.2006 no virus found Ikarus 0.2.59.0 03.07.2006 no virus found Kaspersky 4.0.2.24 03.07.2006 no virus found McAfee 4711 03.06.2006 no virus found NOD32v2 1.1432 03.06.2006 no virus found Norman 5.70.10 03.07.2006 no virus found Panda 9.0.0.4 03.07.2006 no virus found Sophos 4.03.0 03.07.2006 no virus found Symantec 8.0 03.07.2006 no virus found TheHacker 5.9.5.107 03.06.2006 no virus found UNA 1.83 03.07.2006 no virus found VBA32 3.10.5 03.07.2006 no virus found Also hat es "Cleanprog" im Abgesicherten Modus geschafft. Hoffe ich mal. Den bis jetzt kam noch keine Meldung von Antivir. Aber mich kann fast nichts mehr erschrecken. Mfg Randall |
Hallo, wenn es tatsächlich die Datei im Ordner C:\Windows\System war die du überprüft hast dann liegen hier alle Virenscanner daneben, das wird definitiv ein Trojaner sein. Wenn du vor dem Neuaufsetzen noch eine gute Tat vollbringen willst dann schicke ein paar AV Herstellern die Datei wie hier beschrieben, damit sie ihre Signaturen aktualisieren können. Hier noch mal die Anleitung zum Neuaufsetzen, achte darauf keine ausführbaren Dateien (exe, com, pif, scr, ..) auf das neue System zu übernehmen. Grüße Wildone |
Zitat:
This is a report processed by VirusTotal on 03/07/2006 at 15:57:57 (CET) after scanning the file "smss.exe" file. Antivirus Version Update Result AntiVir 6.33.1.53 03.07.2006 no virus found Avast 4.6.695.0 03.06.2006 no virus found AVG 718 03.06.2006 BackDoor.Generic2.JNY Avira 6.33.1.53 03.07.2006 no virus found BitDefender 7.2 03.07.2006 Backdoor.IRCBot.GE CAT-QuickHeal 8.00 03.07.2006 no virus found ClamAV devel-20060126 03.07.2006 Trojan.IRCBot-151 DrWeb 4.33 03.07.2006 BackDoor.Xbot eTrust-InoculateIT 23.71.95 03.07.2006 no virus found eTrust-Vet 12.4.2108 03.07.2006 no virus found Ewido 3.5 03.07.2006 Backdoor.IRCBot.nw Fortinet 2.71.0.0 03.07.2006 suspicious F-Prot 3.16c 03.07.2006 no virus found Ikarus 0.2.59.0 03.07.2006 Backdoor.IRCBot.NW Kaspersky 4.0.2.24 03.07.2006 Backdoor.Win32.IRCBot.nw McAfee 4711 03.06.2006 BackDoor-CMQ NOD32v2 1.1432 03.06.2006 a variant of Win32/Agent.TV Norman 5.70.10 03.07.2006 W32/Ircbot.ZX Panda 9.0.0.4 03.07.2006 Bck/IRCBot.SS Sophos 4.03.0 03.07.2006 no virus found Symantec 8.0 03.07.2006 Backdoor.IRC.Bot TheHacker 5.9.5.107 03.06.2006 Backdoor/IRCBot.nw UNA 1.83 03.07.2006 Backdoor.IRCBot VBA32 3.10.5 03.07.2006 Backdoor.Win32.IRCBot.nw Man man man bin ich blöd. Na die Lacher von euch sind ja dann berechtigt. |
Hallo, lacht doch keiner, ich zumindest nicht. Die Datei wurde ja extra deswegen so benannt damit sie mit dem Systemprozess verwechselt wird. Also wie schon befürchtet, Backdoorbefall das heißt System neu machen. Anleitung hast du ja jetzt, frohes schaffen. Grüße Wildone |
Reicht es nicht aus wenn ich die Datei im Abgesicherten Modus lösche? Ist es schlimm wenn ich die Vire drauf lasse und Antivir blöockiert sie immer? Mfg Randall Ich habe die smss.exe aus den System Ordner mit Tuneup Shredder gelöscht. Sollte es das jetzt gewesen sein? |
Hallo, leider reicht das bloße löschen nicht, da dein PC momentan ein ferngesteuerter Zombie ist und keiner eine Ahnung hat was alles schon verändert wurde. Gib mal Botnetz in google ein, dann kannst du nachlesen von was genau du gerade ein Teil bist. Wird übrigens alles auch in den ersten Zeilen der Anleitung zum Neuaufsetzen haarklein erklärt. Grüße Wildone |
Kann ich ein Removal-Tool von einen anderen Rechner ausführen der an ein Netzwerk angeschlossen ist so das ich auf diese Art mein Rechner säubern kann? Mfg Randall |
Hallo, so verstehe doch, dein Rechner ist kompromittiert und kein Tool der Welt kann dir sagen was alles verändert wurde. Ich ziehe mich jetzt hier zurück, alles was gesagt werden muss wurde gesagt, befolge es oder lass es, zwingen kann ich dich nicht. Grüße Wildone |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board