smss.exe - Trojaner - wie Prozess beenden?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
11.01.2004, 22:50
Member
Beiträge: 12 |
||
|
||
12.01.2004, 13:50
...neu hier
Beiträge: 1 |
#62
Zitat moemi postete |
|
|
||
12.01.2004, 14:19
Member
Beiträge: 54 |
||
|
||
19.01.2004, 20:27
...neu hier
Beiträge: 1 |
#64
hallo leute,
hab heute ebenfalls 2 mails mit sober bekommen. einmal von einem unbekannten absender (darkangel30@.... oder so) und eine von rtl (DSDS). leider habe ich den einen anhang geöffnet, naja und dummheit muss ja bekanntlich bestraft werden.... prompt hatte ich den virus. ein freund von mir hat mir allerdings geholfen und gesagt, ich soll mir ein update von antivir holen. der virus scan hat auch den virus gefunden. außerdem hatte ich auch den trojaner tr/spooner drauf, ist jetzt auch weg. ich hoffe, dass der ganze spuk jetzt vorbei ist. führe noch ab und zu einen scan durch um sicher zu sein. aber bis jetzt geht alles...... eure tips haben mir auch sehr geholfen.... danke an alle!!!!!! MfG |
|
|
||
21.01.2004, 04:29
...neu hier
Beiträge: 1 |
#65
Zitat raman postete |
|
|
||
21.01.2004, 14:39
...neu hier
Beiträge: 1 |
#66
das hier habe ich bekommen!
megan@fei.org --> Du hast einen Trojaner drauf! Juten Tach, habe mal einen internet port scan gemacht. dabei konnte ich deinen rechner sehen und einsteigen. deine mail adresse hab ich auch auf deinem pc gefunden. bei dir ist der trojaner smss.exe am wüten. deshalb kann jeder auf deinen rechner zugreifen! du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden. du wirst aber feststellen, das er sich nicht beenden lässt. solltest du windows98/me haben, siehst du ihn erst gar nicht im task! dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage hat es gedauert, bis ich endlich ein programm zum entfernen gefunden habe. ich hab's dir mal mit beigetan. wenn fragen, meld dich einfach. wollte das nur mal hier so zeigen!!! |
|
|
||
21.01.2004, 17:30
Member
Beiträge: 54 |
||
|
||
22.01.2004, 20:58
...neu hier
Beiträge: 3 |
#68
Bis jetzt ist alles klar.
Wenn ich die Anhänge dieser Sober.c mails nicht öffne, kann ich mich auch nicht infizieren. Soweit so gut. Doch läuft das ganze Spiel schon seit über einer Woche so. Ich bekomme täglich mehrere mails dieser Art. Der Norton hatte noch nie so viel zu tun! Wie kann ich dem Treiben ein Ende setzten und keine mails mehr bekommen. Hört es irgendwann von selbst auf? Für schnelle Hilfe wäre ich wirklich dankbar... Gruß |
|
|
||
22.01.2004, 21:08
Moderator
Beiträge: 7805 |
#69
Es gaebe eine Moeglichkeit, die ist aber den Aufwand vieleicht nicht wert, da ist ignorieren einfacher. Sind es viele?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.01.2004, 22:09
...neu hier
Beiträge: 3 |
#70
Danke für die schnelle Antwort Raman. Es sind täglich unterschiedlich viele.
Von 2 bis 5 Stück meistens. Ist jetzt nicht tragisch die zu löschen, aber ziemlich lästig. Welche Möglichkeit wäre das sie du da ansprichst? Gruß |
|
|
||
22.01.2004, 22:28
Moderator
Beiträge: 7805 |
#71
Du muesstest mit Hilfe des Emailheaders die Abuseabteilung des Providers ausfindig machen, ueber den der infizierte Rechner die Mails verschickt.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.01.2004, 22:34
Moderator
Beiträge: 6466 |
#72
Ein echter Mißbrauch liegt aber seitens des Kunden des Providers nicht vor.
Deswegen wird das meiner Ansicht nach nicht viel bewirken. Wäre auch nicht zumutbar, bei der Flut von Mails, die auf Grund des Sober-Wurms innerhalb von 24 h durch die Leitungen gehen. Abwarten und Mails löschen ist die Devise __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
23.01.2004, 05:45
Moderator
Beiträge: 7805 |
#73
Du hast natuerlich recht, aber ich habe die Erfahrung gemacht, das es doch in den meisten Faellen, bei T-online zumindest, was bringt, man sollte natuerlich etwas Gedult mitbringen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.01.2004, 22:23
...neu hier
Beiträge: 1 |
#74
Hi!
Ich habe auch die Juten Tach Mail bekommen. Und da mein PC in letzter Zeit eh etwas Spacken hatte, dachte ich das sie kein fake ist. *g* Hab den Anhang geöffnet und wenn ich dann auf die datei klicken will, kommt die Nachricht, dass eine DLL-Datei nicht gefunden wurde (Ich habe Win98SE). habe auch den antivir scan durchlaufen lassen, der hat nicht gemeckert. Habe ich den virus trotzdem? |
|
|
||
25.01.2004, 00:40
...neu hier
Beiträge: 1 |
#75
Hallo IHR!!
So, bin neu hier aber nicht unwissend Habe auch das PROBLEM MIT DEM SMSS.EXE und DER "JUTEN-TACH-MAIL"....und ich kann allen sagen, die den Anhang dieser Mail definitiv NICHT geöffnet haben, auch keine Virus auf dem Rechner haben, erst recht nicht solche, die webbasierte E-Mail-Konten benutzen wie z.B. "web.de" oder "gmx.de".Diese sind auf Datenbanken der Viruserkennung expandiert und sorgen jetzt auch dafür, dass ihr erst recht gar keine Mails bekommt, die n'en Virusfile enthalten. DIESE MAILS haben folgende Betreffzeilen!!! : Deutsch: Betr: Klassentreffen Testen Sie ihren IQ Bankverbindungs- Daten Neuer Dialer Patch! Ermittlungsverfahren wurde eingeleitet Ihre IP wurde geloggt Sie sind ein Raubkopierer Sie tauschen illegal Dateien aus Ich hasse dich Ich zeige sie an! Sie Drohen mir!! Anime, Pokemon, Manga, Handy ... Anmeldebest Neu! Legales Filesharing Umfrage: Rente erst mit 80! du wirst ausspioniert Ein Trojaner ist auf Ihrem Rechner! Du hast einen Trojaner drauf! Hi, Ich bin's Englisch: Sorry, that's your mail hi, its me Thank You very very much you are an Idoit why me? I hate you Preliminary investigation were started Your IP was logged You use illegal File Sharing ... A Trojan horse is on your PC a trojan is on your computer! Anime, Pokemon, Manga, ... Attention: To all gamers Caution: To all gamers registration confirmation Für solche, die den "Sorber.C"-Trojaner auf ihrem Rechner haben(als Folge den Anhang der geöffnet zu haben), gibt es einen Scanner unter: http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=178# ...hab' übrigens da noch n' paar(eventuelle) Infos: Return-Path: <PKD.Recherche@fh-muenchen.de> Received: from mx01.komtel.net (mx01.komtel.net [212.7.146.4]) by ms02.komtel.net (Mirapoint Messaging Server MOS 3.3.7-GR) with ESMTP id BEZ74452 for justus-g@*****(geändert).de; Sat, 24 Jan 2004 16:05:59 +0100 (CET) Received: from NAME.de (pD9536C41.dip.t-dialin.net [217.83.108.65]) by mx01.komtel.net (Mirapoint Messaging Server MOS 3.3.7-GR) with ESMTP id BBX10850; Sat, 24 Jan 2004 16:05:49 +0100 (CET) Date: Sat, 24 Jan 2004 16:05:49 +0100 (CET) From: PKD.Recherche@fh-muenchen.de Subject: du wirst ausspioniert X-MailScanner: Nothing was found Importance: Normal X-Mailer: Microsoft Outlook Express 5.50.4807.1700 X-MSMail-Priority: Normal X-Priority: 3 (Normal) Message-ID: <71420537233352.64238qmail@fh-muenchen.de> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="MIRAPOINT_PART1_401289d4" X-Mirapoint-Virus: VIRUSDELETED; host=mx01.komtel.net; attachment=[2.2]; virus=W32/Sober-C Macht' et jut!!!Schönen Abend!! Euer Just |
|
|
||
habe auch die E-Mail bekommen, Anhang nicht geöffnet aber die URL: www.support.com besucht, habe die Cookies nicht zugelassen und habe die Verbindung getrennt. Der Absender war knusti@support.com. Laut Virenscan mit NAV und Antivire online ist alles OK. Habe trotzdem den Verdacht mir was bzw. jemand geholt zuhaben: Administrator Zugriff auf das Netzwerk bei XP pro bzw. Netzwerk anzeigen nicht möglich , Bildschirmeinstellungen werden verändert etc... , Up-Date von Sybolt nicht möglich.
Anbei die Logfile, sind aber für mich Bömische Dörfer! Wäre nett, wenn ihr mir helfen könntet.
Logfile of HijackThis v1.97.7
Scan saved at 22:44:28, on 11.01.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAMME\ROXIO\GOBACK\GBPOLL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISUM.EXE
C:\PROGRAMME\NORTON PERSONAL FIREWALL\CCPXYSVC.EXE
C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTTRAYAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\ROXIO\GOBACK\GBTRAY.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\Programme\Norton SystemWorks\Norton CleanSweep\Monwow.exe
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiSAudio] C:\WINDOWS\SYSTEM\MP_S3.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [GoBack Polling Service] C:\Programme\Roxio\GoBack\GBPoll.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Personal Firewall\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37903.2525462963
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab