smss.exe - Trojaner - wie Prozess beenden?

#61 Hi,
habe auch die E-Mail bekommen, Anhang nicht geöffnet aber die URL: www.support.com besucht, habe die Cookies nicht zugelassen und habe die Verbindung getrennt. Der Absender war knusti@support.com. Laut Virenscan mit NAV und Antivire online ist alles OK. Habe trotzdem den Verdacht mir was bzw. jemand geholt zuhaben: Administrator Zugriff auf das Netzwerk bei XP pro bzw. Netzwerk anzeigen nicht möglich , Bildschirmeinstellungen werden verändert etc... , Up-Date von Sybolt nicht möglich.
Anbei die Logfile, sind aber für mich Bömische Dörfer! Wäre nett, wenn ihr mir helfen könntet.

Logfile of HijackThis v1.97.7
Scan saved at 22:44:28, on 11.01.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAMME\ROXIO\GOBACK\GBPOLL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISUM.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\CCPXYSVC.EXE
C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTTRAYAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\ROXIO\GOBACK\GBTRAY.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\Programme\Norton SystemWorks\Norton CleanSweep\Monwow.exe
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiSAudio] C:\WINDOWS\SYSTEM\MP_S3.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [GoBack Polling Service] C:\Programme\Roxio\GoBack\GBPoll.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Personal Firewall\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37903.2525462963
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

#62

Zitat

moemi postete
ich brauche dringend hilfe, ich habe den Trojaner smss.exe auf dem PC... er wird bei Prozesse angezeigt, kann aber nicht beendet werden. Wie kann ich ihn entfernen? mein antivirusprogramm kann da nichts machen

#63 @ piaeins

Was möchtest Du mit Deinem Zitat sagen ?
__________
(-- Rokop --)
www.rokop-security.de

#64 hallo leute,
hab heute ebenfalls 2 mails mit sober bekommen. einmal von einem unbekannten absender (darkangel30@.... oder so) und eine von rtl (DSDS).
leider habe ich den einen anhang geöffnet, naja und dummheit muss ja bekanntlich bestraft werden.... prompt hatte ich den virus. ein freund von mir hat mir allerdings geholfen und gesagt, ich soll mir ein update von antivir holen. der virus scan hat auch den virus gefunden. außerdem hatte ich auch den trojaner tr/spooner drauf, ist jetzt auch weg. ich hoffe, dass der ganze spuk jetzt vorbei ist. führe noch ab und zu einen scan durch um sicher zu sein. aber bis jetzt geht alles......
eure tips haben mir auch sehr geholfen.... danke an alle!!!!!!

MfG

#65

Zitat

raman postete
Hast du die Email noch, bzw den Anhang? Kanntest du den Absender, was fuer ein Betreff hatte die Mail(Du hast einen Trojaner drauf?)? Also die smss.exe ist kein Virus, aber der Anhang der Mail wird es wohl gewesen sein( Sober Variante?). Mache mal einen Onlinescan:
http://www.bul-online.de/av/onlinescan.html (Rav und/oder Trend Micro)

#66 das hier habe ich bekommen!


megan@fei.org --> Du hast einen Trojaner drauf!


Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner smss.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
meld dich einfach.


wollte das nur mal hier so zeigen!!!

#67 Eine typische Sober.c Mail
__________
(-- Rokop --)
www.rokop-security.de

#68 Bis jetzt ist alles klar.
Wenn ich die Anhänge dieser Sober.c mails nicht öffne, kann ich mich auch nicht infizieren. Soweit so gut. Doch läuft das ganze Spiel schon seit über einer Woche so. Ich bekomme täglich mehrere mails dieser Art.
Der Norton hatte noch nie so viel zu tun! Wie kann ich dem Treiben ein Ende setzten und keine mails mehr bekommen. Hört es irgendwann von selbst auf?
Für schnelle Hilfe wäre ich wirklich dankbar...
Gruß

#69 Es gaebe eine Moeglichkeit, die ist aber den Aufwand vieleicht nicht wert, da ist ignorieren einfacher. Sind es viele?
__________
MfG Ralf
SEO-Spam Hunter

#70 Danke für die schnelle Antwort Raman. Es sind täglich unterschiedlich viele.
Von 2 bis 5 Stück meistens. Ist jetzt nicht tragisch die zu löschen, aber ziemlich lästig. Welche Möglichkeit wäre das sie du da ansprichst?
Gruß

#71 Du muesstest mit Hilfe des Emailheaders die Abuseabteilung des Providers ausfindig machen, ueber den der infizierte Rechner die Mails verschickt.
__________
MfG Ralf
SEO-Spam Hunter

#72 Ein echter Mißbrauch liegt aber seitens des Kunden des Providers nicht vor.
Deswegen wird das meiner Ansicht nach nicht viel bewirken. Wäre auch nicht zumutbar, bei der Flut von Mails, die auf Grund des Sober-Wurms innerhalb von 24 h durch die Leitungen gehen.
Abwarten und Mails löschen ist die Devise
__________
Durchsuchen --> Aussuchen --> Untersuchen

#73 Du hast natuerlich recht, aber ich habe die Erfahrung gemacht, das es doch in den meisten Faellen, bei T-online zumindest, was bringt, man sollte natuerlich etwas Gedult mitbringen.
__________
MfG Ralf
SEO-Spam Hunter

#74 Hi!
Ich habe auch die Juten Tach Mail bekommen. Und da mein PC in letzter Zeit eh etwas Spacken hatte, dachte ich das sie kein fake ist. *g* Hab den Anhang geöffnet und wenn ich dann auf die datei klicken will, kommt die Nachricht, dass eine DLL-Datei nicht gefunden wurde (Ich habe Win98SE). habe auch den antivir scan durchlaufen lassen, der hat nicht gemeckert. Habe ich den virus trotzdem?

#75 Hallo IHR!!
So, bin neu hier aber nicht unwissend
Habe auch das PROBLEM MIT DEM SMSS.EXE und DER "JUTEN-TACH-MAIL"....und ich kann allen sagen, die den Anhang dieser Mail definitiv NICHT geöffnet haben, auch keine Virus auf dem Rechner haben, erst recht nicht solche, die webbasierte E-Mail-Konten benutzen wie z.B. "web.de" oder "gmx.de".Diese sind auf Datenbanken der Viruserkennung expandiert und sorgen jetzt auch dafür, dass ihr erst recht gar keine Mails bekommt, die n'en Virusfile enthalten.
DIESE MAILS haben folgende Betreffzeilen!!! :

Deutsch:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
Anmeldebest
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's

Englisch:
Sorry, that's your mail
hi, its me
Thank You very very much
you are an Idoit
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Attention: To all gamers
Caution: To all gamers
registration confirmation

Für solche, die den "Sorber.C"-Trojaner auf ihrem Rechner haben(als Folge den Anhang der geöffnet zu haben), gibt es einen Scanner unter:

http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=178#

...hab' übrigens da noch n' paar(eventuelle) Infos:
Return-Path: <PKD.Recherche@fh-muenchen.de>
Received: from mx01.komtel.net (mx01.komtel.net [212.7.146.4])
by ms02.komtel.net (Mirapoint Messaging Server MOS 3.3.7-GR)
with ESMTP id BEZ74452
for justus-g@*****(geändert).de;
Sat, 24 Jan 2004 16:05:59 +0100 (CET)
Received: from NAME.de (pD9536C41.dip.t-dialin.net [217.83.108.65])
by mx01.komtel.net (Mirapoint Messaging Server MOS 3.3.7-GR)
with ESMTP id BBX10850;
Sat, 24 Jan 2004 16:05:49 +0100 (CET)
Date: Sat, 24 Jan 2004 16:05:49 +0100 (CET)
From: PKD.Recherche@fh-muenchen.de
Subject: du wirst ausspioniert
X-MailScanner: Nothing was found
Importance: Normal
X-Mailer: Microsoft Outlook Express 5.50.4807.1700
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
Message-ID: <71420537233352.64238qmail@fh-muenchen.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="MIRAPOINT_PART1_401289d4"
X-Mirapoint-Virus: VIRUSDELETED;
host=mx01.komtel.net;
attachment=[2.2];
virus=W32/Sober-C
Macht' et jut!!!Schönen Abend!!
Euer Just