Datei logsmss32.exe??? Dringender Trojaner-Verdacht

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.04.2004, 14:37
...neu hier

Beiträge: 4
#1 Hi!
Ich habe offenbar ein großes Problem:
Mein völlig PC-unkundiger Bruder hat sich an meinem pc zu schaffen gemacht... er sagte, er habe über gmx mails bekommen von dieser art: HAHA, neugierig???
er bekam laut seiner aussage auch mails von freunden, mit merkwürdigen betreffs: Ihr Passwort, Registreirungsdaten etc.
er hat einen Dateianhang geöffnet, der ''Buchstabensalat'' war (.pif)
es tut mir leid, daß ihr euch mit solchen Idoit auseinandersetzen müsst, denn es sollte ja jedem bekannt sein, daß man sowas nicht öffnet!
Dennoch, bitte helft mir, ich weiss nicht was sache ist. folgende datei fand ich auch im taskmanager: logsmss32.exe
ad-aware findet sachen wie coolwebsearch und winlogon.exe, die malware sein sollen. habe ein logfile erstellt:
Logfile of HijackThis v1.97.7
Scan saved at 15:14:08, on 28.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Antivir\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\HiJackThis.exe
C:\Programme\Dialer Control\dc.exe
C:\Programme\Opera-Browser\Opera.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKCU\..\Run: [hostservice] C:\WINDOWS\System32\logsmss32.exe
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38029.420162037

Bitte helft mir, ich vermute ich habe auch einen dialer gefangen, wegen der bemerkung hostservice in der logfile...
Danke
Seitenanfang Seitenende
28.04.2004, 14:44
Member

Beiträge: 1095
#2 Hi Fixe bitte das

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKCU\..\Run: [hostservice] C:\WINDOWS\System32\logsmss32.exe
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe

Dann neustart

Schauen ob immernoch alles weg ist

Dann dies durchführen
http://board.protecus.de/t9373.htm

Dann Nochmal Logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
28.04.2004, 14:44
Member
Avatar Dafra

Beiträge: 1122
#3 Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKCU\..\Run: [hostservice] C:\WINDOWS\System32\logsmss32.exe
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe

MFG
DAFRA



#############################EDIT########################
@Paff
Den Post hab ich zu erst gesehen ;););)
Naja egal ;) ;)
Haben ja beide das gleiche....
Dieser Beitrag wurde am 28.04.2004 um 14:45 Uhr von Dafra editiert.
Seitenanfang Seitenende
28.04.2004, 15:28
...neu hier

Themenstarter

Beiträge: 4
#4 So, hab die dateien gefixt, 2 waren, nachdem ich ad-aware genutzt habe, nicht mehr in der aktuellen logfile, darunter die datei home-old undsoweiter und der s-sys registry-schlüssel... ist das schlimm?
und ich habe noch ne frage. habe gehört, daß die java-updates so nicht nötig seien. wie kann ich diesen jusched.exe prozess undsoweiter deaktivieren, denn vermutlich hält er stete verbindung mit mir unbekannten servern... man weiss ja nie. gibt es sonst noch etwas bemerkenswertes? hier die neue logfile:

Logfile of HijackThis v1.97.7
Scan saved at 16:05:58, on 28.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivir\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Opera-Browser\Opera.exe
C:\HiJackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38029.420162037
Seitenanfang Seitenende
28.04.2004, 15:39
Member

Beiträge: 1095
#5

Zitat

henning123 postete
So, hab die dateien gefixt, 2 waren, nachdem ich ad-aware genutzt habe, nicht mehr in der aktuellen logfile, darunter die datei home-old undsoweiter und der s-sys registry-schlüssel... ist das schlimm?
Das ist sogar super.
Da hat Ad-Aware dir Arbeit abgenommen ;)


Zitat


und ich habe noch ne frage. habe gehört, daß die java-updates so nicht nötig seien. wie kann ich diesen jusched.exe prozess undsoweiter deaktivieren, denn vermutlich hält er stete verbindung mit mir unbekannten servern... man weiss ja nie. gibt es sonst noch etwas bemerkenswertes? hier die neue logfile:
Du kannst den Eintrag
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe

Einfach fixen in HiJackThis (ankreuzen/FixCHecked drücken.)
Dann wird der Prozess beim nächsten Windowsstart nicht mehr gestartet

Gruß paff

Sollte morgen die Startseite (riverra.cc) wieder auftauchen
empfehle ich diesen Thread
http://board.protecus.de/t9537-3.htm
oder poste hier nochmal ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 28.04.2004 um 16:28 Uhr von paff editiert.
Seitenanfang Seitenende
28.04.2004, 15:50
...neu hier

Themenstarter

Beiträge: 4
#6 Danke, Danke und nochmals Danke!
Ihr habt mir sehr geholfen!
Also, wohlan, ich werde sehen, ob die meinen browser morgen wieder hijacken!
Ansonsten wird mein Laptop jetzt vor den Wurstklauen meines Bruders per schloss geschützt!!! HEHE

Bis hoffentlich nicht allzu bald
Seitenanfang Seitenende
22.07.2008, 20:25
...neu hier

Beiträge: 5
#7 Hi leute!

habe Probleme mit "error cleaner, privacy protection und spyware &malware"

Kam nicht mal in taskmanager!!
Mein Festplattenlaufwerk c:\ sowie mein cd/dvd rom laufwerk wird nicht mehr angezeigt!!
Habe schon mit Spybot S&D durchsucht, kamen ca. 66 einträge vor!
So komm ich jetzt wenigstens in task-manager und in die registrierkartei!!
Trotzdem ist der mist noch drauf und laufwerk c:\ und cd\dvd laufwerk sehe ich trotzdem nicht!! Außerdem ist mein rechner seitdem ziemlich langsam!!
Bittte helft mir!


lasse gerade auch noch ad-aware durchlaufen!!
Seitenanfang Seitenende
22.07.2008, 20:33
Moderator

Beiträge: 7804
#8 ERoeffne hier http://board.protecus.de/newtopic.php?boardid=3 bitte ein neues Thema zu deinem Problem. Dieses Thema ist schon ueber 4 Jahre alt! ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: