grüß euch!

zum glück hab ich euch gefunden und ich hoffe, dass ihr mir helfen könnt.
folgendes problem:
ich denke, dass ich durchs surfen irgendetwas eingefangen habe. seit ca. zwei wochen läuft mein rechner nicht so einwandfrei und schnell wie vorher. wenn ich programme wie outlook express, winzip, winamp etc. starte kann es passieren, dass sich die programme aufhängen und ich sie "sofort beenden" muss, damits wieder weitergeht. außerdem bleibt im mozilla, wenn ich etwas downloade, der ladebalken am schluß hängen, und ich muss auch meinen browser "sofort beenden". es läuft eigentlich alles sehr behebig und die geschwindigkeit meiner internetverbindung ist alles andere als schnell (trotz chello = kabel).

hier mein hijackthis.log :

Logfile of HijackThis v1.99.1
Scan saved at 21:07:28, on 29.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\mswin.pif
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\smss.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Dokumente und Einstellungen\name\Eigene Dateien\_system\programme\virenreiniger\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MS Sys Security] mswin.pif
O4 - HKLM\..\RunServices: [MS Sys Security] mswin.pif
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Sys Security] mswin.pif
O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe

wisst ihr vielleicht einen rat? ich bin jedenfalls ratlos ...

lg martin

Hi,
da ich glaube, daß Du den hier draufhast, solltest Du die Datei:
C:\WINDOWS\smss.exe bei Jotti online scannen lassen. Beende vorher allerdings den Prozess.
Und bereite Dich auf ein Neuaufsetzen des Systems vor.
Poste die Ergebnisse von Jotti.
cacatoa

Hallo martin_77,

prüfe folgende Datei auch mal bei Jotti:
C:\WINDOWS\System32\mswin.pif

Teile ebenfalls das Ergebnis mit.

dartus

Hi cacatoa

Servus dartus!
Hatte mich auf die smss.exe beschränkt, weil ich denke, daß wir uns weiteres suchen sparen können...
cacatoa

Edit:
Uups, da ist ja doch einer gewaltig dran. Denke mal, Du hast den hier gemeint. Halte das für gesichert.
Wird ohne Neuaufsetzen nicht gehen.

Hallo cacatoa,

da hat doch glatt mein google versagt tztztz.

dartus

danke für die schnelle antwort.

"neu aufsetzen !!!" huch, bitte nein. ich will nicht. nein!!!
okay, ich muß es ertragen wie ein mann

zu euren tipps:
der taskmanager läßt sich nicht öffnen. d.h. ich kann die smss.exe nicht beenden. habe es aber trotzdem versucht, die datei richtung jotti zu senden. aber irgendwie sendet er schon seit einigen minuten und es tut sich nix.
und die mswin.pif finde ich nicht unter "system 32".
ah halt, jetzt ist grad eine meldung aufgetaucht "warnung: keine daten gefunden". bezieht sich wahrscheinlich auf das jotti-vorhaben ...

wie kann ich sonst noch den smss-prozess beenden?

lg martin

Hallo martin_77,

Du hast min. einen aktiven Trojaner mit Backdoorfunktionalität in Deinem System. Eine Neuinstallation ist zu Deiner eigenen Sicherheit unumgänglich, um wieder ein vertrauenswürdiges System zu besitzen.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

danke.

jetzt weiß ich was ich am wochenende mache.
hab ja sonst nix besseres zu tun

d.h. wenn ich den rechner neu aufsetze, sind die probleme beseitigt und ich kann ein jungfräuliches system neu einrichten?

ich melde mich, und geb bescheid, wie es ausgegangen ist ...
wahrscheinlich komm ich aber zwischenzeitlich auf eure hilfe zurück

gute nacht.

hallo!

ich habe versucht den rechner nach eurer anleitung neu aufzusetzen. mittlerweile habe ich den 3. missglückten versuch unternommen, um den rechner wieder sauber zu bekommen. d.h. das Neuaufsetzen funktioniert nicht. es sollte zwar die festplatte formatiert werden und damit alle daten verlorengehen, aber der virus/trojaner ist noch immer da. der pc macht die selben faxen wie vor der neuinstallation.
wie kann ich diese befallene festplatte ein für alle mal vom virus befreien?
zur info: der patient ist ein notebook mit einer festplatte und einem cd/dvd-laufwerk und läuft mit windows xp (wenn er mal läuft ...).

ich will einfach nur "format c:" - und hoffe auf eine erleuchtung ...

lg martin

Also, damit ich das richtig verstehe:

Du hast die WindowsCD reingeschoben und von eben dieser gebbotet, dann hast du alle vorhandenen Partitionen gelöscht (das mußt du auch machen), die neuen Partitionen erstellt und formatiert und anschließend Windows installiert?
Du hast auch dein System vernünftig abgesichert und hast erst danach eine Inet-Verbindung aufgebaut?

ja genau. ich bin eigentlich genau der anleitung, die in diesem board zu finden ist, gefolgt. einmal mit der vom hersteller bereitgestellten recovery-cd und ein anderes mal mit einer normalen windows xp-cd. zum absichern des systems bin ich gar nicht mehr gekommen, denn die probleme, die ich vorher hatte, haben sich nicht gelöst. da gibts zum beispiel die berühmte meldung, dass plötzlich erscheint und ankündigt den rechner in 60 sekunden herunterzufahren. außerdem kommt es vor, dass der rechner hängt, und nur mit gewalt abzuschalten ist.
allerdings habe ich drei vermutungen, wie sich der virus trotzdem hartnäckig halten kann:
1. beim löschen der einzigen partition c, bemerkte ich darunter in der liste einen unpartitionierten bereich mit 8 mb. den hab ich nicht gelöscht, weil ich nicht wusste ob es das toshiba-notebook braucht... steckt dort der hundianer?
2. nachdem ich das internetkonto angelegt habe, öffnete ich die mozilla-seite, um mir deren browser zu installieren. das sind aber sichere websites, die keine trojaner schicken sollten, oder?
3. oder genügt es online zu sein, um die probleme zu "reaktivieren"? d.h. merkt sich der "verbrecher" meine ip-adresse und bombardiert so mich mit infizierten dateien? aber bei einem chello-anschluß (kabel) wechselt doch die ip-adresse jedesmal bei einem einstieg ins internet?

was soll ich tun?
kann es nicht sein, dass sich infizierte datein auf einer festplatte verstecken und so das normale "neuaufsetzen" schadlos überstehen oder sich reproduzieren?

ich hoffe es war irgendwie verständlich geschildert ...

da haben wir ja das Problem,du warst im Internet, ohne das du dein system abgesichert hast.
Das System muß vollständug gepatcht sein, bevor du dich mit dem Internet verbindest.
Netzwerkwürmer verbreiten sich über Schwachstellen, die durch das SP" und anschliessende Updates behoben sein sollten.
Und um dir so einen zu fangen, genügt es mit dem Internet verbunden zu sein.
In deinem Fall heißt das, System nochmal aufsetzen,absichern und erst dann ins Internet.

Hallo,

Zitat:

3. oder genügt es online zu sein, um die probleme zu "reaktivieren"? d.h. merkt sich der "verbrecher" meine ip-adresse und bombardiert so mich mit infizierten dateien? aber bei einem chello-anschluß (kabel) wechselt doch die ip-adresse jedesmal bei einem einstieg ins internet?

Hier liegt der Hund begraben, aber die Infektion hat nichts mit reaktivieren zu tun, sondern das ist eine ganz neue Infektion.
Es wird im Internet permanent nach Computern gesucht die nicht gesichert sind, und diese dann angegriffen, dafür muss kein Browser geöffnet sein.

Also du stöpselt dieses mal dein LAN Kabel zum Modem ab, bis du SP2 installiert und alle anderen Vorkehrungen getroffen hast, erst dann stöpselst du das Kabel wieder ein.
Dann sollte eigentlich nichts mehr passieren.


@cronos
da warst du wohl schneller


Grüße Wildone