smss.exe und Sober.i / Sober.k |
||
---|---|---|
#0
| ||
08.03.2005, 14:52
...neu hier
Beiträge: 1 |
||
|
||
08.03.2005, 15:20
Member
Beiträge: 34 |
#2
Naja ich würds zulassen wenn du deinne rechner nicht schrotten willst, nicht alle Programm die aufs Internet zugreifen wollen sind automatisch Viren...
__________ IN MIR BRENNT DIE RACHE!!! Es ist mehr Holz erforderlich.... |
|
|
||
09.03.2005, 07:20
...neu hier
Beiträge: 3 |
#3
Bei mir ist es genau so. Habe auch smss.exe blockiert. Am gleichen Tag hatte ich allerdings auch die folgende eMail erhalten und bin leider auf deren Inhalt reingefallen:
"Hallo, jemand schickt ihre privaten Mails auf meinem Account. Ich schaetze mal, das es ein Fehler vom Provider ist. Insgesamt waren es jetzt schon 6 Mails! Ich habe alle Mail-Texte im Texteditor kopiert und gezippt. Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich. Anhang (ATTACHMENT): Mailtexte.zip" Ich habe den Eintrag in der Regristry: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run\ "Services.dll"="C:%WinDIR%\Ssagent\System\smss.exe" und folgende Dateien im Windowsordner: C:\%WinDIR%\msagent\system\smss.exe C:\%WinDIR%\msagent\system\zipzip.zab C:\%WinDIR%\read.me Laut Beschreibung von antivir.de deutet alles auf den Wurm: Sober.l hin. Leider findet weder mein installiertes und aktuelles Norton-Antivirus noch AntiVir keine Infektion. Liegt nun eine Infektion vor oder nicht. Hoffe, mir kann jemand helfen. Viele Grüße Bernhard |
|
|
||
09.03.2005, 18:46
...neu hier
Beiträge: 2 |
#4
Hallo! Hatte gestern und heute genau dasselbe Problem! Konnte es aber jetzt lösen! Mit der E-Mail bekam ich nicht nur smss.exe, sondern auch noch den Blasterwurm (der sofort von Norton entfernt werden konnte) und SoberL! Letzterer machte sich heute bemerkbar, konnte aber von Norton nicht gelöscht werden, ebenso smss.exe... Hatte letztere auch erst blockiert und bekam dauern die Fehlermeldung vom System... Löschen ging nicht, weil das Programm ständig aktiv war... Das lässt sich aber umgehen, wenn man den Computer im abgesicherten Modus hochfährt (beim Hochfahren F8 ständig drücken und dann auf abgesicherter Modus klicken). Dann smss.exe suchen und löschen. Aber darauf achten, dass nur die falsche smss gelöscht wird (Erstell-Datum beachten!), da eine Datei gleichen Namens zur normalen Software gehört! Sober habe ich mit Norton isoliert und dann gelöscht! Jetzt funktioniert alles wieder normal und ich hoffe, das bleibt auch so! Hatte bloß beim wieder Hochfahren ein Pop up, dass smss.exe nicht gefunden werden kann... Habe es einfach weggeklickt und bislang keine Probleme mehr gehabt! Hoffe, dass ich Euch helfen konnte!
Viele Grüße Conny |
|
|
||
09.03.2005, 19:39
Moderator
Beiträge: 6466 |
#5
Als erstes mal:
Beschreibung zu sober.i man leses sich insbesondere die Beschreibung zur Entfernung durch. Removal-Tool: http://www.bsi.de/av/vb/Rmsoberl.exe Grundsätzlich ist heute zu Tage immer größte Wachsamkeit geboten, wenn man ein Mail mit Anhang von unbekannten Absendern oder sogenanten MailerDaemons mit (Pseudo-) Fehlermeldungen bekommt. Das Verbreiten von Würmern über das Medium Email ist neben Netz-Würmern die häufigste Art der Verbreitung. Das im Eröffnungs-Post geschilderte Problem lässt stark eine Infektio mit Sober.i vermuten. Das gilt zu 100% für bernhard3105 und cornel Siehe auch Smss.exe Trojaner / Virus? Um es gleich aufzulösen: Jede Malware kann jeden beliebigen Namen annehmen, meist verrät nur der Standort der Datei , ob es eine Systemdatei ist oder nicht. Hier Infos zum echten Windows-Systemprozess "smss.exe" Zum Thema Blaster: Ist ein Netzwurm und lässt dementsprechend vermuten, dass das befallene Betriebsystem nicht auf dem neuesten Stand ist. Es spielt dann auch keine Rolle, ob ein AV-Produkt den Wurm entfernen konnte. Falls das System nicht gepatcht ist, ist der Wurm ganz schnell auf ein Neues im System. Mehr infos zu Blaster gibts bereits am Board (s. Signatur) Edit:// Die Signatur-Server von Antivir kommen wie es scheint so kangsam wieder in Schwung. Die signatur für sober.i (Symantec: Sober.k) Zu Norton: Note: Virus definitions version 70307t (extended version 3/7/2005 rev. 20) or greater are required to detect this threat. Seit zwei Tagen bekannt/den Signaturen hinzugefügt. Also: Updaten ! __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
09.03.2005, 21:31
...neu hier
Beiträge: 2 |
#6
Hi!
@Joschi: Ich habe mir schon einmal ein Patch gegen Blaster runtergeladen (letztes Jahr), daher war ich selbst erstaunt, dass er nun wieder auftauchte... Allerdings konnte er sein Unwesen gar nicht erst treiben, da er automatisch gelöscht wurde... Muss ich trotzdem eine Aktualisierung des Systems vornehmen? Eigentlich mache ich regelmäßige automatische Updates über T-Online... Ein Norton-Update hab ich heute erst gemacht! Hoffe mal, dass ich jetzt erstmal Ruhe hab... Normalerweise öffne ich nie dubiose mails... Aber diesmal bin ich leider reingefallen... Grrr! Und sich dann als absoluter Laie den Kopf zerbrechen müssen... Zum Glück gibt es Foren wie diese! Viele Grüße Conny |
|
|
||
09.03.2005, 21:46
Moderator
Beiträge: 6466 |
#7
Zitat Muss ich trotzdem eine Aktualisierung des Systems vornehmen?Wenn Du den Blaster mit einem Mail bekommen hast, dann eigentlich nicht. Seit dem Blaster-Patch sind viele andere z.T sehr wichtige Patches erschienen. Im Zweifelsfall mal Windows-Update-Funktion nutzen. Schützt natürlich nicht gegen unbedacht geöffnete Mails . __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
09.03.2005, 21:58
...neu hier
Beiträge: 3 |
#8
Erstmal vielen Dank an joschi und Cornel. Ich denke, mein PC (XP SP2) ist wieder clean. Nachdem ich im abgesicherten Modus, Systemwiederherstellung deaktiviert und dann FixSober drüber laufen ließ.
Allerdings habe ich im Taskmanager immer noch smss.exe drin stehen. Der SecurityTaskManager gibt mir zwar "nicht aktive Datei" dazu an, aber wie kommt die überhaupt wieder da rein ??? |
|
|
||
09.03.2005, 22:11
Moderator
Beiträge: 6466 |
#9
Wie oben schon erwähnt: Smss.exe ist auch ein normaler Windows-Prozess.
C:\WINNT\System32\smss.exe ist der korrekte Pfad. Über www.prcview.com bekommste einen brauchbaren Taskmanager. Systemprozesse zeigt er nur an, wenn er unter einem Admin-Account gestartet wird. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
09.03.2005, 22:13
...neu hier
Beiträge: 3 |
#10
Ok, alles klar. Vielen Dank für die schnellen und hilfreichen Antworten.
Ich mach jetzt Feierabend und sage tschüß bis zum nächsten Problem. Viele Grüße aus Schwerte Bernhard |
|
|
||
12.03.2005, 15:02
...neu hier
Beiträge: 4 |
#11
Email-Worm.Win32.Sober.I trotz F-Secure Anti Virus Schutzprogramm!!!
Hallo, auch ich habe am 07.03. eine identische eMail wie Bernhard3105 erhalten und bin dummerweise gleichfalls auf den Text hereingefallen. Zuvor hatte ich die eMail allerdings noch von F-Secure Antivirus 2005 web.de-Edition checken lassen(!) und erhielt ein negatives Testergebnis: "ok kein Virus" (plus "obligatorischem" – aber doch wohl SEHR ernst zu nehmenden - Hinweis auf Restrisiko). Derart "beruhigt" habe ich den Anhang mit einem Doppelklick geöffnet, nachdem ich zuvor noch probiert habe, eine Telefonnummer des vermeintlichen Absenders herauszubekommen. Aber dann ging's los... Die Festplatte "raste los" und mir schwante gleich Böses. Habe augenblicklich das Netzkabel gezogen und das Notebook und "per Kaltstart" brutalstmöglich ausgeschaltet – aber es war zu spät. Nach dem Neustart zeigte mein F-Secure Anti Virusprogramm (etwas zu spät) den Hinweis: "Bösartiger Code in Datei C:\Windows\msagent\system\smss.exe gefunden. Infektion: Email-Worm.Win32.Sober.I. Aktion: Die Datei wurde umbenannt." Der Neustart des Systems am folgenden Tag brachte nun auch noch die Warnmeldung von Windows: "C:\Windows\msagent\system\smss.exe ist keine zulässige WIN32-Anwendung. OK". Ich habe daraufhin alle in diesem Verzeichnis gelisteten Dateien mit Datum 07.03. gelöscht. Dies waren: emdata.mmx 07.03. 12 kb; smss 07.03. Anwendung 0 kb; smss.oxe 07.03. 48 kb OXE-D-Datei und zipzip.zab 07.03. zab-Datei 64 kb. Aber, keine Ahnung, ob das nützlich oder katastrophal war... Habe weitere smss*.*-Dateien gesucht und bin fündig geworden in den Verzeichnissen: C:\Windows\Prefetch\smss.exe-0121066A.pf 11 kb und c:\Windows\system32\smss 45 kb Anwendung Der Versuch, auch diese smss-Datei zu löschen misslang. Umbenennen klappte, aber auch die umbenannte Datei zu löschen misslang wiederholt. Gelöscht werden konnte aber die Datei im Verzeichnis "Prefetch" problemlos. Hatte allerdings keine Ahnung WAS ich da genau tue, hatte nur das Gefühl, dass ich etwas tun müsste. Wahrscheinlich das nackte Grauen für kompetente Leute wie Euch! Am 09.03. nach Aufstart erneut eine Viruswarnung meiner F-Secure-AV. "Virus gefunden. Das Objekt konnte nicht desinfiziert werden. Objekt wurde umbenannt. C.\system volume information\restore{57926FOE-5982-4403-A176-2B05239B3F76}\RP57\A0009738.exe". Inzwischen war die Anzahl der angezeigten Informationen deutlich angestiegen auf 13. Habe mich nun endlich Hilfe suchend an den F-Secure-Support gewandt und meinen "Fall" geschildert. Diese verwiesen mich dann (dankenswerter Weise) auf Eure Site board.protecus.de. Bin beeindruckt(!!!) von Eurem Forum und danke mal an dieser Stelle, dass es Euch gibt!!! Habe nun die "threads" über den Sober-Wurm gesucht, studiert – versucht zu begreifen, bin absoluter Laie – und auf der Grundlage verschiedener Empfehlungen/Anweisungen folgende Aktionen gestartet: - auf Windows XP SP2 upgedatet, - die automatische Aktualisierung aktiviert, - sonstige Windows Tools upgedatet, - hijäckthis und Stinger.exe downgeloadet und laufen lassen. - bin dann den folgend zitierten Empfehlungen von Sabina gefolgt, Zitat: Sabina posteteHallo@ralf131167Deaktivieren Wiederherstellung«XPhttp://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Datenträgerbereinigung: und Löschen der Temporary-Dateien<Start<Ausfuehren--> reinschreiben : cleanmgrloesche nur:#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.#Click:Temporäre Dateien, o.k HijackThis/1.99 BETA VersionDownload: http://www.merijn.org/files/beta/hijackthis199_beta.zipAlternativ: http://www.hijackthis.de/downloads/...his199_beta.zip1.LogLade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->nun dasKOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" mfgSabina - habe mich registriert und das Log von hijackthis als Antwort in o.a. recht alten Beitrag an protecus gesandt, aber keine Reaktion erfahren. Hab auch keine Ahnung, wie und ob man überhaupt hier auf seinen Hilferuf aufmerksam machen kann. - bin zwischenzeitlich durch das Studium verschiedenster Links über protecus zum Thema immer ein klein wenig klüger geworden, (Euch nochmals meinen Dank dafür!!!); - habe zwischenzeitlich meine Platte mit F-Secure und Stinger auf Befall scannen lassen, ohne Ergebnis. - habe dann endlich den Beitrag von Bernhard3105 und die offensichtlich erfolgreiche Bekämpfung des Sober gefunden; daraufhin meinen alten Beitrag gelöscht und - nun nochmals die Prozedur: - Systemwiederherstellung deaktiviert - im gesicherten Bereich gestartet - mein F-Secure ließ sich im gesicherten Bereich nicht starten!!! - nun dank Euch das W32.Sober Removal Tool 1.2.1 "FixSober" von Symantec geladen und laufen lassen - und ENDLICH die Erfolgsmeldung "W32.Sober has been succesfully removed from your computer! Here is the report: - total number of scanned files 100870 - number of deleted files 4 - number or repaired files 0 - number of registry entries fixed 0" - 2. Lauf zur Kontrolle: "W32.Sober has not been found on your computer! - Nun noch einmal die Datenträgerbereinigung - und fühl mich endlich besser! Noch nicht gut, aber besser! Bin nur froh, dass ich Windows Outlook wegen der Virusgefahr nicht als Mailserver(?) einsetze. Ich werde nun auch noch weitere Empfehlungen die ich über protecus und die Homepage von Sabina in Erfahrung bringen konnte umsetzen, wie Umstellung auf Mozilla, Einrichtung eines Administrator-Users, ... Vielleicht kann mir auch noch jemand die Frage beantworten, warum das F-Secure-AV nicht beim Check vor der Mail gewarnt hat und warum ich es im abgesicherten Modus nicht starten konnte. Ist es vielleicht nicht die optimale Wahl? Habe es als web.de-Premium-Nutzer als Testversion für ein Jahr erhalten. Ich würde nun liebend gern das aktuelle highjackthis-Log von einer kompetenten Person checken lassen und hoffe dabei auf "Grünes Licht" von Euch, damit auch das letzte ungute Gefühl weicht. Vielen Dank dafür im voraus!!! Und gleichfalls meine Dank an dir restlichen Forum-Teilnehmer und besonders Bernhard3105, der mich durch seine Anfrage und Erfolgsmeldung auf den (hoffentlich) richtigen Weg brachte. Mit freundlichen Grüßen und den besten Wünschen Peter Hier nun der LOG: Logfile of HijackThis v1.99.1 Scan saved at 14:38:13, on 12.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\CtrlVol.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [ Services.dll] C:\WINDOWS\msagent\system\smss.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [_Services.dll] C:\WINDOWS\msagent\system\smss.exe O4 - Global Startup: Event Reminder.lnk = C:\Programme\Broderbund\PrintMaster\PMremind.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{731D6653-A575-4644-93DD-44C033896E46}: NameServer = 213.191.92.86 213.191.74.19 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe __________ mfg Peter Dieser Beitrag wurde am 12.03.2005 um 15:09 Uhr von Peter777 editiert.
|
|
|
||
12.03.2005, 15:57
Moderator
Beiträge: 6466 |
#12
O4 - HKLM\..\Run: [ Services.dll] C:\WINDOWS\msagent\system\smss.exe
Dieser Eintrag (2x) im abgesicherten Modus in hijackthis markieren und "fixen" und Datei löschen. Gehört zu Sober.I (Sober.L). O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll Überprüfe mal über "Eigenschaften" der Datei, ob der Hersteler "Intel" ist. Falls positiv, Eintrag stehen lassen. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
15.03.2005, 13:57
...neu hier
Beiträge: 4 |
#13
Hallo, @joschie,
tausend Dank für die sehr schnelle Antwort (und den Hinweis "Durch'suchen' à (...)". Ersparte wirklich die Folgefrage nach dem "fixen und loeschen" J) 1. Zunächst zur Datei-Info zu C:\WINDOWS\SYSTEM32\igfxsrvc.dll Eigenschaften Allgemein: Dateityp Programmbibliothek Erstellt: Di., 23. November 2004 Geändert am : 6. April 2003 (Anm. "verstehe wer will, wie eine Dateiänderung vor Erstellung derselben erfolgen kann, aber gut…?!) Version: 3.0.0.2104; Beschreibung igfxsrvc Module Copyright: Copyright 1999-2003, Intel Corporation Dateiinfo: ohne Bemerkungen (leer) Habe die Datei also unangetastet gelassen. 2. Die Datei smss in C:\WINDOWS\msagent\system habe ich in highjackthis markiert und den Button "fix checked" geklickt, womit sie offensichtlich bereits gelöscht wurde. Habe jedenfalls keine Möglichkeit zum manuellen Löschen gefunden. Die Datei war verschwunden. Hatte das gesamte C:\WINDOWS abgesucht. Der erneute Virustest mit FixSober hat auch wieder keinen Sober mehr entdecken können. Darf ich nun hoffen, dass mein Book wirklich wieder "sauber" ist? Hier noch einmal das aktuelle Log: und EUCH allen und insbesondere "joschi" nochmals DANKE!!! (Seid ihr eigentlich hauptberuflich oder ehrenamtlich tätig? Wer finanziert denn die Seite? Ist jedenfalls 'ne ausgezeichnete und weiterbildende Einrichtung. Meine Empfehlungen sind voll des Lobes. Auf das es Euch noch lange gibt!!!) Mit freundlichen Grüßen, Peter Logfile of HijackThis v1.99.1 Scan saved at 13:17:43, on 15.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\CtrlVol.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - Global Startup: Event Reminder.lnk = C:\Programme\Broderbund\PrintMaster\PMremind.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe __________ mfg Peter |
|
|
||
15.03.2005, 15:49
Moderator
Beiträge: 6466 |
#14
Mhja, hab ich mir fast gedacht, dass die Datei vom Removal-Tool entfernt wurde, der Eintrag jedoch stehen blieb. C:\WINDOWS\msagent\system\smss.exe war nicht unter den aktiven Prozessen sichtbar, von daher nicht weiters kritisch. Vermutlich kann man deinen Rechner als "sauber" bezeichnen.
Besten Dank für die [Weiter-]Empfehlungen ! Hier sind allesamt ehrenamtlich unterwegs. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
15.03.2005, 16:53
...neu hier
Beiträge: 4 |
#15
Wunderbar! Das klingt doch gut!
Danke - Danke - Danke! Und bin sprachlos...Und Empfehlungen sind das Mindeste... Werde hier künftig regelmäßig einen Stop einlegen... Glück, Gesundheit und ein langes Leben Euch Allen! Bis zum nächsten Mal... __________ mfg Peter Dieser Beitrag wurde am 15.03.2005 um 16:54 Uhr von Peter777 editiert.
|
|
|
||
was kann ich tun? soll ich zulassen, dass smss.exe auf das internet zugreift? wie warnung wurde als hoch eingestuft.