smss.exe - Trojaner - wie Prozess beenden?

#31 Habe den Cleaner benutzt.
Er entfernt auch alle Datein. Starte ich den PC jedoch neu,
sind diese Dateien wieder da und er muss sie erneut entfernen.

Was nun?

#32 Mache es mal im abgesicherten Modus. Du nutzt den Antivir cleaner?
__________
MfG Ralf
SEO-Spam Hunter

#33 ich habe die mail bekommen; sie sofort gelöscht und das ganze ignoriert weil ich mich sicher wägte da ich die mail ja gelöscht hate, naja, das war wor 3 tagen, seit damals bekomme ich täglich solche meil wie zB Klassenfoto und auch sowas wie: "guten tag, downloaden etc. ist illegal, wir klagen Sie an Hochachtungsvoll, Justizminister Düsseldorf" *gg* genauen Text habe ich gelöscht!


einem der Klassenfoto mails habe ich geantwortet : "I HATE HACKERZ" *gg*

und ein anderes Klassenfoto mail kam von dem @aon.at Account meiner Freundin , nun da ich meine Freundin zimlich gut kenne und froh bin wenn sie den PC einschalten kann *gg* gehe ich nicht davon aus dass sie der hacker ist.


ich Habe mir das auf seite 2 dieses threads vorgeschlagene tool runtergeladen und ausgeführt... er hat mir auf C:\ 2 dateien gelöscht, eine davon war anscheinend noch ein Blaster Worm *gg*

egal, jedenfalls hat mir das tool nur die C:\ Partition meiner festplatte gescannt... wie scanne ich die restlichen Partitionen hat jemand dazu eine Idee?
Hat bitte endlich jemand ein vernünftiges Tool zum loswerden des ganzen Spuks? mir reichts inzwischen wirklich schon!

Bin dankbar für jede Hilfe!
__________
------- Rul0RR forever -------

#34 Ich habe auch sone Mail bekommen. Habe sie mal reinkopiert.


Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.

We hereby inform you that your computer was scanned under the IP 195.156.44.122 . The
contents of your computer were confiscated as an evidence, and you will be indicated.
In the next days you will receive the charge in writing.
In the Reference code: #41392, are all files, that we found on your computer.

The sender address of this mail was masked, to fend off mail bombs.


- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for "Illegal Internet Downloads", Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000

#35 Hallo Leute

Ich weis nicht, was ich mir zugezogen habe, gestern dachte ich eigentlich, es müsste Sober.C sein, anhand der hier gefundenen Informationen, aber so wie's ausschaut müsste ich da schon in den Genuss einer DeLuxe-Version gekommen sein.

Meine Freundin hat auch ein Mail bekommen (mehrfach), mit dem Subject "Hi John". (Gut, das ist in der Subjectliste von Sober.C nicht aufgeführt). Ebenfalls habe ich die Datei smss.exe auf der Kiste und ebenfalls wurden die Exefiles in "My Shared-Folder" infiziert (zumindest kann ich sie nicht löschen).

Da sind wir bei Problem 1: Ich kann weder smss.exe, noch die Exefiles in My Shared Folder löschen, auch nicht im abgesicherten Modus. Zugriff wird verweigert.

Problem 2 (was ihn zur Deluxe-Version macht): Der Virus schützt sich selber. Ich kann im Normalmodus weder Norton Antivirus öffnen (geht ganz kurz auf und schliesst sich sofort wieder), noch konnte ich ZoneAlarm installieren. Desweitern schliesst sich das IE-Fenster sofort von selbst, wenn ich in Google Schlüsselwörter wie Virus oder Firewall eingebe. Auch wenn ich auf der Bluewin-Startseite im Drop-Down-Menu "Firewall" auswählen will... Schwupp und der Internetexplorer schliesst sich. Dasselbe, wenn ich eine der in diesem Thread aufgeführten online-Virenchecks durchführen lassen will. Klicke ich die entsprechende Seite an, Schmiert der Internet-Explorer ab.

Antivir habe ich runtergeladen und laufenlassen, ebenso Norton Antivirus ugedatet und im abgesicherten Modus laufen lassen. Beide finden nichts.

Spybot habe ich laufen lassen, und auch alles fixen lassen, was er gefunden hat, gebracht hat es nichts.

Nun frage ich mich, ob ich Silvesterlike, den Virus mit einer physischen Firewall aus Nitro und Glycerin aufgehen lassen soll, oder ob ev. jemand von euch einen andern Tip hätte. Ich wäre sehr dankbar.

Nachtrag: regedit kann im Normalmodus auch nicht mehr ausgeführt werden, da ich anscheinend die Berechtigung dazu nicht habe... im abgesicherten Modus kann ich die Registry öffnen, aber in Relation zu meinen Kenntnissen trau ich mich nicht richtig, da rumzufummeln :-(

Den Taskmanager kann ich auch nicht mehr starten und wie ich gerade festgestellt habe, kann ich zwar per Liveupdate Nortons neueste updates runterladen, aber beim installieren erscheint ein graues Windowsfeld, welches leer ist und nicht reagiert... woraus ich schliesse, dass der Virus das updaten erfolgreich verhindert.

Gruss, Iron

#36 Poste mal ein Hijackthis log: http://board.protecus.de/t9391.htm Vieleicht kann man schon soviel reparieren, das du einen Onlinescan machen kannst.
__________
MfG Ralf
SEO-Spam Hunter

#37 Hallo Raman

Danke für die schnelle Antwort (trotz Jahreswechsel). Hier das Log:

Logfile of HijackThis v1.97.7
Scan saved at 12:06:17, on 01.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\Programme\Speed Disk\nopdb.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\System32\gsicon.exe
C:\Program Files\Siemens\Adsl\dslagent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Sonique\sqstart.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wininit32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\MSOffice\Office\MSOFFICE.EXE
C:\Programme\Norton Utilities\SYSDOC32.EXE
C:\Programme\Kazaa Lite K++\KazaaLite.kpp
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sunrise.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://internet.sunrise.ch/de/hom/default.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Siemens\Adsl\dslagent.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysInit] wininit32.exe -services
O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -services
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Programme\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\MSOffice\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft Office-Indexerstellung.lnk = C:\MSOffice\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {54771E6F-A5A2-4413-8FB8-7B8F85398174} - http://dl.lygo.com/Sidesearch/en_US/music/Sidesearch.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/221d80bd76053c4a5106/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AFBEEED-6B97-4EDB-AD96-620F2287DB91}: NameServer = 194.230.1.136 194.230.1.232

Ein gutes Neues Jahr

Gruss, Iron

#38

Zitat

Iron postete
Danke für die schnelle Antwort (trotz Jahreswechsel).

Fuenf Stunden schlaf muessen reichen!
Du hast wohl irgend so ein P2P Wurm. "Fix"e mal folgendes:


O4 - HKLM\..\Run: [SysInit] wininit32.exe -services
O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -services
O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers

Nach einem Neustart die Datei loeschen, dein Norton updaten und scannen lassen. Vieleicht nochmal RAV (http://www.bul-online.de/av/onlinescan.shtml) scannen lassen( Dabei bitte Nortons Autoprotect deaktivieren.)
__________
MfG Ralf
SEO-Spam Hunter

#39 Hallo raman

Danke für die Hilfe. Das fixen obgenannter Strings brachte, dass ich Norton updaten konnte (der hat aber nichts gefunden), regedit auch im Normalmodus wieder funktioniert, ich Threads die "Virus" oder "Firewall" enthalten wieder öffnen kann und auch die Online-Scans wieder funktionieren. RAV hat auch 2 Viren gefunden und "gecleant".

Insofern brachte das sehr viel. Was aber immer noch nicht funzt, ist die Dateien "smss.exe" und die "exe" im My Shared Folder zu löschen. Immerhin scheint der oder die Viren jetzt inaktiv, was ja schon mal was ist.

Hast Du ev. noch einen Tipp, wie ich die beiden "bösen" Dateien von der Kiste kriegen könnte?

Ansonsten und in jedem Fall vielen Dank für die rasche und kompetente Hilfe.

Gruss, Iron

#40 Hallo !

Ich habe auch diese Mail mit "juten Tach" bekommen.
Leider habe ich mir sofort ein Anti-Virenprogramm runtergeladen, was alle Würmer, Trojaner und Viren sofort beseitigt.
Das Problem war, dass sich diese smss.exe in System 32 befand.
Nun sind irgendwelche wichtigen Bestandteile dieses Systems gelöscht, d.h. sobald ich den PC einschalte, hängt er sich auf...da hilft kein Warten... :-(

Muss ich nun neu formatieren, oder gibt es noch irgendeine andere Möglichkeit ???

Ich schreibe gerade von einem anderen PC, d.h. ich habe noch die Möglichkeit ins Internet zu gehen, um Anti-Virenprogramme runterzuladen.

Freue mich über jede Hilfe

---Drummer---

#41 Bitte, bitte daran denken sich zu informieren. Hier wurde schon oeffter mitgeteilt, das die SMSS.EXE im System32 Verzeichniss kein Virus sondern eine Systemdatei ist! Unter Umstaenden annst du dein System wiederherstellen, indem du im Bootmenue( beimStarten, nach den Biosmeldungen die "F8" taste druecken") den Menuepunkt "letzte funktionierende Version " waehlst.
__________
MfG Ralf
SEO-Spam Hunter

#42 Sorry Raman,

smss.exe ist nicht böse und soll nicht gelöscht werden. Soweit alles klar. Ich hab einfach noch das exe im My Shared Folder, das sich stur gegen seine Entfernung wehrt.

Was solls, ich hab in ner Firewall-FAQ gelesen:

Frage: Ich muss alles freigeben, sonst funktioniert mein P2P-Proggi nicht.

Antwort: Deinstalliere die Firewall, Du brauchst keine.

Da kommt neben den technischen Problemen auch eine nicht zu unterschätzende soziopolitische Auseinandersetzung in Sachen P2P vs. Internetsicherheit mit einem Teenager auf mich zu.

Nochmals besten Dank für die prompte und kompetente Hilfel, ein Orden für Dich :-)

Iron

#43 Hi Leute, bin neu hier und habe diese sonderliche Mail auch bekommen. Bei Web.de wurde der Anhang gleich gesobert.
Absender der Mail: cikciol@gmx.net

Folgender Text war angegeben:
Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner smss.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
meld dich einfach.

Also wenn ich hier mal so rumgelesen habe, dann kann mir eigentlich nichts passieren oder? Wollte den Prozess zuerst beenden, was nicht ging.
Vor ein paar Tagen hatte ich mir auch einen Dialer im Toolfenster vom Internet Explorer eingefangen, den ich (so hoffe ich) vollständig entfernen konnte. Wenn dieses smss.exe wirklich ein Trojaner ist, kann es sein, dass er darauf zurückzuführen ist?

Über Antwort wäre ich sehr dankbar!!! Wie gesagt, bin noch ein "Frischling"

Gruß

Danny

#44 Ja, wie schojn ein paar mal hier erwaehnt wurde gehoert die Datei (c:\windows\system32\)smss.exe( unter 2000/XP) zum Betriebssystem und du sagtest ja schon, das der Virenscanner von Web.de den eigentlichen Wurm schon geloescht hatte.

Das Problem beim IE ist, das man ihn immer auf den neusten Stand (via www.windowspdate.com) halten muss!
__________
MfG Ralf
SEO-Spam Hunter

#45 Heute habe ich auch diese "Juten Tach mail" bekommen.
Ich möchte nur den Absender bekannt geben.
acloeffler@fwd02.sul.t-online.com
Kann man gegen den Absender was unternehmen? Wenn ja, möchte ich es gerne tun.

Grüße und Dank für die guten Informationen zu diesem Thema.
richard