smss.exe und Sober.i / Sober.k

#0
08.03.2005, 14:52
...neu hier

Beiträge: 1
#1 ich benutze norton internet security und es schlägt bei mir sekündlich alarm, da "smss.exe versucht, auf das internet zuzugreifen". nachdem ich "blockieren" und "immer diese aktion verwenden" ausgewählt habe, tauchte sekündlich folgende meldung auf: "STOP: 0x10020AF (unknown blocking). possible reason: your firewall is blocking one or more system files" UND SO WEITER... . also habe ich die blockierung wieder aufgehoben und erhalte erneut die warnung, dass smss.exe auf mein internet zugreife...
was kann ich tun? soll ich zulassen, dass smss.exe auf das internet zugreift? wie warnung wurde als hoch eingestuft.
Seitenanfang Seitenende
08.03.2005, 15:20
Member

Beiträge: 34
#2 Naja ich würds zulassen wenn du deinne rechner nicht schrotten willst, nicht alle Programm die aufs Internet zugreifen wollen sind automatisch Viren...
__________
IN MIR BRENNT DIE RACHE!!! Es ist mehr Holz erforderlich....
Seitenanfang Seitenende
09.03.2005, 07:20
...neu hier

Beiträge: 3
#3 Bei mir ist es genau so. Habe auch smss.exe blockiert. Am gleichen Tag hatte ich allerdings auch die folgende eMail erhalten und bin leider auf deren Inhalt reingefallen:

"Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.
Anhang (ATTACHMENT): Mailtexte.zip"

Ich habe den Eintrag in der Regristry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run\
"Services.dll"="C:%WinDIR%\Ssagent\System\smss.exe"

und folgende Dateien im Windowsordner:
C:\%WinDIR%\msagent\system\smss.exe
C:\%WinDIR%\msagent\system\zipzip.zab
C:\%WinDIR%\read.me

Laut Beschreibung von antivir.de deutet alles auf den Wurm: Sober.l hin.

Leider findet weder mein installiertes und aktuelles Norton-Antivirus noch AntiVir keine Infektion.

Liegt nun eine Infektion vor oder nicht. Hoffe, mir kann jemand helfen.

Viele Grüße
Bernhard
Seitenanfang Seitenende
09.03.2005, 18:46
...neu hier

Beiträge: 2
#4 Hallo! Hatte gestern und heute genau dasselbe Problem! Konnte es aber jetzt lösen! Mit der E-Mail bekam ich nicht nur smss.exe, sondern auch noch den Blasterwurm (der sofort von Norton entfernt werden konnte) und SoberL! Letzterer machte sich heute bemerkbar, konnte aber von Norton nicht gelöscht werden, ebenso smss.exe... Hatte letztere auch erst blockiert und bekam dauern die Fehlermeldung vom System... Löschen ging nicht, weil das Programm ständig aktiv war... Das lässt sich aber umgehen, wenn man den Computer im abgesicherten Modus hochfährt (beim Hochfahren F8 ständig drücken und dann auf abgesicherter Modus klicken). Dann smss.exe suchen und löschen. Aber darauf achten, dass nur die falsche smss gelöscht wird (Erstell-Datum beachten!), da eine Datei gleichen Namens zur normalen Software gehört! Sober habe ich mit Norton isoliert und dann gelöscht! Jetzt funktioniert alles wieder normal und ich hoffe, das bleibt auch so! Hatte bloß beim wieder Hochfahren ein Pop up, dass smss.exe nicht gefunden werden kann... Habe es einfach weggeklickt und bislang keine Probleme mehr gehabt! Hoffe, dass ich Euch helfen konnte!

Viele Grüße Conny
Seitenanfang Seitenende
09.03.2005, 19:39
Moderator
Avatar joschi

Beiträge: 6466
#5 Als erstes mal:
Beschreibung zu sober.i
man leses sich insbesondere die Beschreibung zur Entfernung durch.
Removal-Tool: http://www.bsi.de/av/vb/Rmsoberl.exe

Grundsätzlich ist heute zu Tage immer größte Wachsamkeit geboten, wenn man ein Mail mit Anhang von unbekannten Absendern oder sogenanten MailerDaemons mit (Pseudo-) Fehlermeldungen bekommt.
Das Verbreiten von Würmern über das Medium Email ist neben Netz-Würmern die häufigste Art der Verbreitung.

Das im Eröffnungs-Post geschilderte Problem lässt stark eine Infektio mit Sober.i vermuten. Das gilt zu 100% für bernhard3105 und cornel

Siehe auch Smss.exe Trojaner / Virus?
Um es gleich aufzulösen: Jede Malware kann jeden beliebigen Namen annehmen, meist verrät nur der Standort der Datei , ob es eine Systemdatei ist oder nicht.
Hier Infos zum echten Windows-Systemprozess "smss.exe"

Zum Thema Blaster: Ist ein Netzwurm und lässt dementsprechend vermuten, dass das befallene Betriebsystem nicht auf dem neuesten Stand ist. Es spielt dann auch keine Rolle, ob ein AV-Produkt den Wurm entfernen konnte.
Falls das System nicht gepatcht ist, ist der Wurm ganz schnell auf ein Neues im System. Mehr infos zu Blaster gibts bereits am Board (s. Signatur)

Edit:// Die Signatur-Server von Antivir kommen wie es scheint so kangsam wieder in Schwung. Die signatur für sober.i (Symantec: Sober.k)
Zu Norton: Note: Virus definitions version 70307t (extended version 3/7/2005 rev. 20) or greater are required to detect this threat.

Seit zwei Tagen bekannt/den Signaturen hinzugefügt. Also: Updaten !
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
09.03.2005, 21:31
...neu hier

Beiträge: 2
#6 Hi!

@Joschi: Ich habe mir schon einmal ein Patch gegen Blaster runtergeladen (letztes Jahr), daher war ich selbst erstaunt, dass er nun wieder auftauchte... Allerdings konnte er sein Unwesen gar nicht erst treiben, da er automatisch gelöscht wurde... Muss ich trotzdem eine Aktualisierung des Systems vornehmen? Eigentlich mache ich regelmäßige automatische Updates über T-Online... Ein Norton-Update hab ich heute erst gemacht! Hoffe mal, dass ich jetzt erstmal Ruhe hab... Normalerweise öffne ich nie dubiose mails... Aber diesmal bin ich leider reingefallen... Grrr! Und sich dann als absoluter Laie den Kopf zerbrechen müssen... Zum Glück gibt es Foren wie diese!

Viele Grüße
Conny
Seitenanfang Seitenende
09.03.2005, 21:46
Moderator
Avatar joschi

Beiträge: 6466
#7

Zitat

Muss ich trotzdem eine Aktualisierung des Systems vornehmen?
Wenn Du den Blaster mit einem Mail bekommen hast, dann eigentlich nicht.
Seit dem Blaster-Patch sind viele andere z.T sehr wichtige Patches erschienen. Im Zweifelsfall mal Windows-Update-Funktion nutzen. Schützt natürlich nicht gegen unbedacht geöffnete Mails ;) .
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
09.03.2005, 21:58
...neu hier

Beiträge: 3
#8 Erstmal vielen Dank an joschi und Cornel. Ich denke, mein PC (XP SP2) ist wieder clean. Nachdem ich im abgesicherten Modus, Systemwiederherstellung deaktiviert und dann FixSober drüber laufen ließ.
Allerdings habe ich im Taskmanager immer noch smss.exe drin stehen. Der SecurityTaskManager gibt mir zwar "nicht aktive Datei" dazu an, aber wie kommt die überhaupt wieder da rein ???
Seitenanfang Seitenende
09.03.2005, 22:11
Moderator
Avatar joschi

Beiträge: 6466
#9 Wie oben schon erwähnt: Smss.exe ist auch ein normaler Windows-Prozess.
C:\WINNT\System32\smss.exe ist der korrekte Pfad.
Über www.prcview.com bekommste einen brauchbaren Taskmanager. Systemprozesse zeigt er nur an, wenn er unter einem Admin-Account gestartet wird.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
09.03.2005, 22:13
...neu hier

Beiträge: 3
#10 Ok, alles klar. Vielen Dank für die schnellen und hilfreichen Antworten.
Ich mach jetzt Feierabend und sage tschüß bis zum nächsten Problem.
Viele Grüße aus Schwerte
Bernhard
Seitenanfang Seitenende
12.03.2005, 15:02
...neu hier

Beiträge: 4
#11 Email-Worm.Win32.Sober.I trotz F-Secure Anti Virus Schutzprogramm!!!

Hallo,
auch ich habe am 07.03. eine identische eMail wie Bernhard3105 erhalten und bin dummerweise gleichfalls auf den Text hereingefallen. Zuvor hatte ich die eMail allerdings noch von F-Secure Antivirus 2005 web.de-Edition checken lassen(!) und erhielt ein negatives Testergebnis: "ok kein Virus" (plus "obligatorischem" – aber doch wohl SEHR ernst zu nehmenden - Hinweis auf Restrisiko).
Derart "beruhigt" habe ich den Anhang mit einem Doppelklick geöffnet, nachdem ich zuvor noch probiert habe, eine Telefonnummer des vermeintlichen Absenders herauszubekommen. Aber dann ging's los...

Die Festplatte "raste los" und mir schwante gleich Böses. Habe augenblicklich das Netzkabel gezogen und das Notebook und "per Kaltstart" brutalstmöglich ausgeschaltet – aber es war zu spät. Nach dem Neustart zeigte mein F-Secure Anti Virusprogramm (etwas zu spät) den Hinweis:
"Bösartiger Code in Datei C:\Windows\msagent\system\smss.exe gefunden.
Infektion: Email-Worm.Win32.Sober.I. Aktion: Die Datei wurde umbenannt."

Der Neustart des Systems am folgenden Tag brachte nun auch noch die Warnmeldung von Windows: "C:\Windows\msagent\system\smss.exe ist keine zulässige WIN32-Anwendung. OK".
Ich habe daraufhin alle in diesem Verzeichnis gelisteten Dateien mit Datum 07.03. gelöscht. Dies waren:
emdata.mmx 07.03. 12 kb;
smss 07.03. Anwendung 0 kb;
smss.oxe 07.03. 48 kb OXE-D-Datei und
zipzip.zab 07.03. zab-Datei 64 kb.
Aber, keine Ahnung, ob das nützlich oder katastrophal war...

Habe weitere smss*.*-Dateien gesucht und bin fündig geworden in den Verzeichnissen: C:\Windows\Prefetch\smss.exe-0121066A.pf 11 kb und c:\Windows\system32\smss 45 kb Anwendung
Der Versuch, auch diese smss-Datei zu löschen misslang. Umbenennen klappte, aber auch die umbenannte Datei zu löschen misslang wiederholt. Gelöscht werden konnte aber die Datei im Verzeichnis "Prefetch" problemlos. Hatte allerdings keine Ahnung WAS ich da genau tue, hatte nur das Gefühl, dass ich etwas tun müsste. Wahrscheinlich das nackte Grauen für kompetente Leute wie Euch!

Am 09.03. nach Aufstart erneut eine Viruswarnung meiner F-Secure-AV. "Virus gefunden. Das Objekt konnte nicht desinfiziert werden. Objekt wurde umbenannt. C.\system volume information\restore{57926FOE-5982-4403-A176-2B05239B3F76}\RP57\A0009738.exe". Inzwischen war die Anzahl der angezeigten Informationen deutlich angestiegen auf 13.

Habe mich nun endlich Hilfe suchend an den F-Secure-Support gewandt und meinen "Fall" geschildert. Diese verwiesen mich dann (dankenswerter Weise) auf Eure Site board.protecus.de.

Bin beeindruckt(!!!) von Eurem Forum und danke mal an dieser Stelle, dass es Euch gibt!!!
Habe nun die "threads" über den Sober-Wurm gesucht, studiert – versucht zu begreifen, bin absoluter Laie – und auf der Grundlage verschiedener Empfehlungen/Anweisungen folgende Aktionen gestartet:

- auf Windows XP SP2 upgedatet,
- die automatische Aktualisierung aktiviert,
- sonstige Windows Tools upgedatet,
- hijäckthis und Stinger.exe downgeloadet und laufen lassen.
- bin dann den folgend zitierten Empfehlungen von Sabina gefolgt,

Zitat:
Sabina posteteHallo@ralf131167Deaktivieren Wiederherstellung«XPhttp://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Datenträgerbereinigung: und Löschen der Temporary-Dateien<Start<Ausfuehren--> reinschreiben : cleanmgrloesche nur:#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.#Click:Temporäre Dateien, o.k HijackThis/1.99 BETA VersionDownload: http://www.merijn.org/files/beta/hijackthis199_beta.zipAlternativ: http://www.hijackthis.de/downloads/...his199_beta.zip1.LogLade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->nun dasKOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" mfgSabina

- habe mich registriert und das Log von hijackthis als Antwort in o.a. recht alten Beitrag an protecus gesandt, aber keine Reaktion erfahren. Hab auch keine Ahnung, wie und ob man überhaupt hier auf seinen Hilferuf aufmerksam machen kann.

- bin zwischenzeitlich durch das Studium verschiedenster Links über protecus zum Thema immer ein klein wenig klüger geworden, (Euch nochmals meinen Dank dafür!!!);
- habe zwischenzeitlich meine Platte mit F-Secure und Stinger auf Befall scannen lassen, ohne Ergebnis.

- habe dann endlich den Beitrag von Bernhard3105 und die offensichtlich erfolgreiche Bekämpfung des Sober gefunden; daraufhin meinen alten Beitrag gelöscht und

- nun nochmals die Prozedur:
- Systemwiederherstellung deaktiviert
- im gesicherten Bereich gestartet
- mein F-Secure ließ sich im gesicherten Bereich nicht starten!!!
- nun dank Euch das W32.Sober Removal Tool 1.2.1 "FixSober" von Symantec geladen und laufen lassen
- und ENDLICH die Erfolgsmeldung "W32.Sober has been succesfully removed from your computer! Here is the report:
- total number of scanned files 100870
- number of deleted files 4
- number or repaired files 0
- number of registry entries fixed 0"

- 2. Lauf zur Kontrolle: "W32.Sober has not been found on your computer!
- Nun noch einmal die Datenträgerbereinigung
- und fühl mich endlich besser! Noch nicht gut, aber besser!

Bin nur froh, dass ich Windows Outlook wegen der Virusgefahr nicht als Mailserver(?) einsetze.
Ich werde nun auch noch weitere Empfehlungen die ich über protecus und die Homepage von Sabina in Erfahrung bringen konnte umsetzen, wie Umstellung auf Mozilla, Einrichtung eines Administrator-Users, ...

Vielleicht kann mir auch noch jemand die Frage beantworten, warum das F-Secure-AV nicht beim Check vor der Mail gewarnt hat und warum ich es im abgesicherten Modus nicht starten konnte. Ist es vielleicht nicht die optimale Wahl? Habe es als web.de-Premium-Nutzer als Testversion für ein Jahr erhalten.

Ich würde nun liebend gern das aktuelle highjackthis-Log von einer kompetenten Person checken lassen und hoffe dabei auf "Grünes Licht" von Euch, damit auch das letzte ungute Gefühl weicht.

Vielen Dank dafür im voraus!!! Und gleichfalls meine Dank an dir restlichen Forum-Teilnehmer und besonders Bernhard3105, der mich durch seine Anfrage und Erfolgsmeldung auf den (hoffentlich) richtigen Weg brachte.

Mit freundlichen Grüßen
und den besten Wünschen
Peter

Hier nun der LOG:

Logfile of HijackThis v1.99.1
Scan saved at 14:38:13, on 12.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [ Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [_Services.dll] C:\WINDOWS\msagent\system\smss.exe
O4 - Global Startup: Event Reminder.lnk = C:\Programme\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{731D6653-A575-4644-93DD-44C033896E46}: NameServer = 213.191.92.86 213.191.74.19
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
__________
mfg
Peter
Dieser Beitrag wurde am 12.03.2005 um 15:09 Uhr von Peter777 editiert.
Seitenanfang Seitenende
12.03.2005, 15:57
Moderator
Avatar joschi

Beiträge: 6466
#12 O4 - HKLM\..\Run: [ Services.dll] C:\WINDOWS\msagent\system\smss.exe

Dieser Eintrag (2x) im abgesicherten Modus in hijackthis markieren und "fixen" und Datei löschen. Gehört zu Sober.I (Sober.L).


O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
Überprüfe mal über "Eigenschaften" der Datei, ob der Hersteler "Intel" ist.
Falls positiv, Eintrag stehen lassen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
15.03.2005, 13:57
...neu hier

Beiträge: 4
#13 Hallo, @joschie,

tausend Dank für die sehr schnelle Antwort (und den Hinweis "Durch'suchen' à (...)". Ersparte wirklich die Folgefrage nach dem "fixen und loeschen" J)

1. Zunächst zur Datei-Info zu C:\WINDOWS\SYSTEM32\igfxsrvc.dll
Eigenschaften Allgemein: Dateityp Programmbibliothek
Erstellt: Di., 23. November 2004
Geändert am : 6. April 2003 (Anm. "verstehe wer will, wie eine Dateiänderung vor Erstellung derselben erfolgen kann, aber gut…?!)
Version: 3.0.0.2104; Beschreibung igfxsrvc Module
Copyright: Copyright 1999-2003, Intel Corporation
Dateiinfo: ohne Bemerkungen (leer)

Habe die Datei also unangetastet gelassen.


2. Die Datei smss in C:\WINDOWS\msagent\system habe ich in highjackthis markiert und den Button "fix checked" geklickt, womit sie offensichtlich bereits gelöscht wurde. Habe jedenfalls keine Möglichkeit zum manuellen Löschen gefunden. Die Datei war verschwunden. Hatte das gesamte C:\WINDOWS abgesucht.
Der erneute Virustest mit FixSober hat auch wieder keinen Sober mehr entdecken können.
Darf ich nun hoffen, dass mein Book wirklich wieder "sauber" ist?

Hier noch einmal das aktuelle Log:
und EUCH allen und insbesondere "joschi" nochmals DANKE!!!
(Seid ihr eigentlich hauptberuflich oder ehrenamtlich tätig? Wer finanziert denn die Seite? Ist jedenfalls 'ne ausgezeichnete und weiterbildende Einrichtung. Meine Empfehlungen sind voll des Lobes. Auf das es Euch noch lange gibt!!!)
Mit freundlichen Grüßen,
Peter


Logfile of HijackThis v1.99.1
Scan saved at 13:17:43, on 15.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Global Startup: Event Reminder.lnk = C:\Programme\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
__________
mfg
Peter
Seitenanfang Seitenende
15.03.2005, 15:49
Moderator
Avatar joschi

Beiträge: 6466
#14 Mhja, hab ich mir fast gedacht, dass die Datei vom Removal-Tool entfernt wurde, der Eintrag jedoch stehen blieb. C:\WINDOWS\msagent\system\smss.exe war nicht unter den aktiven Prozessen sichtbar, von daher nicht weiters kritisch. Vermutlich kann man deinen Rechner als "sauber" bezeichnen.

Besten Dank für die [Weiter-]Empfehlungen !
Hier sind allesamt ehrenamtlich unterwegs.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
15.03.2005, 16:53
...neu hier

Beiträge: 4
#15 Wunderbar! Das klingt doch gut!
Danke - Danke - Danke!
Und bin sprachlos...Und Empfehlungen sind das Mindeste...
Werde hier künftig regelmäßig einen Stop einlegen...
Glück, Gesundheit und ein langes Leben Euch Allen! Bis zum nächsten Mal...
__________
mfg
Peter
Dieser Beitrag wurde am 15.03.2005 um 16:54 Uhr von Peter777 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: