Guten Tag!

Ich habe seit einigen Tagen das Problem das mir Antivir immer wieder Würmer meldet die ich selber mit Antivir nicht wegbekomme. Mit Pestpatrol oder Noadware hatte ich bis jetzt auch noch keinen Erfolg. Vorher hatte ich Norton Antivirus 05 drauf. Doch Norton hat diese und andere Störenfriede die Antivir gefunden hat erst garnicht erkannt. Leider nützt es nichts wenn ich den Temp-Ordner lösche wo diese Würmer herkommen da sie sich von irgendwo andersher von meiner Platte replizieren.




Hijackthis

Noch kurze Systemdaten:
Windows XP Pro SP2 und Updates
Aktuellste Treiber - Via 4in1

Ich hoffe das die Infos erstmal ausreichend sind. Ich danke im voraus.
Mfg Randall Caine

Ich habe eben ein Beitrag zu diesen Thema gefunden in den eine Lösung vorgeschlagen wird. Über die Suche hatte ich vorher kein Erfolg. Mal sehen ob sich mein Prob jetzt hiermit erledigt.

@Randall

Zitat:

Ich habe eben ein Beitrag zu diesen Thema gefunden in den eine Lösung vorgeschlagen wird.

Gegen einen Backdoor gibt es keine patentierten Mitteln, außer das Neuaufsetzen. Sry

Hallo,
Gehe mal in den abgesicherten Modus (F8 beim booten) und verschiebe dort die Datei C:\WINDOWS\system\smss.exe in einen neuen Ordner den du Quarantäne nennst.
Dann, wieder im normalen Modus, überprüfst du die Datei im Quarantäneordner hier und postest das Ergebnis.


Grüße Wildone

Also. Ich habe die smss.exe aus den system32 Ordner in einen Quarantäne-Ordner kopiert, denn verschieben lies sich die exe nicht da sie im Windowsbetrieb nicht beendet werden kann. Dann bin ich in den Abgesicherten Modus von Windows und habe dort den Task per "Tuneup Process Manager" mit den Namen "Session Manager Subsystem" beendet und die smss.exe aus den system32 Ordner gelöscht. Danach gleich nochmal "ClearProg" ausgeführt und den Rechner neu gestartet. Soweit ist ja alles gut gelaufen bis zu den Moment als Windows mir mit den Bluescreen kam in den stand "Session3_Initialization_Failed" und Windows sich nicht mehr starten lies. Was nun? Abgesicherter Modus geht nicht genauso wenig wie "Letzte funktionierende Konfiguration". So musste ich mit erschrecken feststellen das es an der fehlenden smss.exe lag.

Wer an der Fortsetzung interessiert ist soll sich melden. Mfg Randall

Hallo,
ich meinte auch nicht den System32 Ordner, da ist der wichtige Systemprozess smss.exe drin, ich meinte die Datei im Ordner C:\Windows\System

Aber ich habe vorhin deine Screenshots nicht angezeigt bekommen (experimentiere gerade an meinem System rum) damit ist eigentlich schon klar das du um ein Neuaufsetzen nicht herum kommen wirst wenn du wieder ein vertrauenswürdiges System haben willst.


Grüße Wildone

Okay okay.

Ich habe soeben meine verdächtige smss.exe mal bei "virustotal.com durchchecken lassen. Hier das ernüchterne Ergebniss:

This is a report processed by VirusTotal on 03/07/2006 at 15:47:41 (CET) after scanning the file "smss.exe" file.
Antivirus Version Update Result
AntiVir 6.33.1.53 03.07.2006 no virus found
Avast 4.6.695.0 03.06.2006 no virus found
AVG 718 03.06.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.07.2006 no virus found
CAT-QuickHeal 8.00 03.07.2006 no virus found
ClamAV devel-20060126 03.07.2006 no virus found
DrWeb 4.33 03.07.2006 no virus found
eTrust-InoculateIT 23.71.95 03.07.2006 no virus found
eTrust-Vet 12.4.2108 03.07.2006 no virus found
Ewido 3.5 03.07.2006 no virus found
Fortinet 2.71.0.0 03.07.2006 no virus found
F-Prot 3.16c 03.07.2006 no virus found
Ikarus 0.2.59.0 03.07.2006 no virus found
Kaspersky 4.0.2.24 03.07.2006 no virus found
McAfee 4711 03.06.2006 no virus found
NOD32v2 1.1432 03.06.2006 no virus found
Norman 5.70.10 03.07.2006 no virus found
Panda 9.0.0.4 03.07.2006 no virus found
Sophos 4.03.0 03.07.2006 no virus found
Symantec 8.0 03.07.2006 no virus found
TheHacker 5.9.5.107 03.06.2006 no virus found
UNA 1.83 03.07.2006 no virus found
VBA32 3.10.5 03.07.2006 no virus found

Also hat es "Cleanprog" im Abgesicherten Modus geschafft. Hoffe ich mal. Den bis jetzt kam noch keine Meldung von Antivir. Aber mich kann fast nichts mehr erschrecken.

Mfg Randall

Hallo,
wenn es tatsächlich die Datei im Ordner C:\Windows\System war die du überprüft hast dann liegen hier alle Virenscanner daneben, das wird definitiv ein Trojaner sein. Wenn du vor dem Neuaufsetzen noch eine gute Tat vollbringen willst dann schicke ein paar AV Herstellern die Datei wie hier beschrieben, damit sie ihre Signaturen aktualisieren können.

Hier noch mal die Anleitung zum Neuaufsetzen, achte darauf keine ausführbaren Dateien (exe, com, pif, scr, ..) auf das neue System zu übernehmen.


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
ich meinte auch nicht den System32 Ordner, da ist der wichtige Systemprozess smss.exe drin, ich meinte die Datei im Ordner C:\Windows\System

Aber ich habe vorhin deine Screenshots nicht angezeigt bekommen (experimentiere gerade an meinem System rum) damit ist eigentlich schon klar das du um ein Neuaufsetzen nicht herum kommen wirst wenn du wieder ein vertrauenswürdiges System haben willst.


Grüße Wildone

Ups. Sorry. Mein Fehler. Da habe ich vorhin wohl nicht richtig gelesen. Aber das diese Datei in zwei Ordner sein muss ist doch auch komisch. Ich habe sie auch gleich mal checken lassen und das kam dabei raus.

This is a report processed by VirusTotal on 03/07/2006 at 15:57:57 (CET) after scanning the file "smss.exe" file.
Antivirus Version Update Result
AntiVir 6.33.1.53 03.07.2006 no virus found
Avast 4.6.695.0 03.06.2006 no virus found
AVG 718 03.06.2006 BackDoor.Generic2.JNY
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.07.2006 Backdoor.IRCBot.GE
CAT-QuickHeal 8.00 03.07.2006 no virus found
ClamAV devel-20060126 03.07.2006 Trojan.IRCBot-151
DrWeb 4.33 03.07.2006 BackDoor.Xbot
eTrust-InoculateIT 23.71.95 03.07.2006 no virus found
eTrust-Vet 12.4.2108 03.07.2006 no virus found
Ewido 3.5 03.07.2006 Backdoor.IRCBot.nw
Fortinet 2.71.0.0 03.07.2006 suspicious
F-Prot 3.16c 03.07.2006 no virus found
Ikarus 0.2.59.0 03.07.2006 Backdoor.IRCBot.NW
Kaspersky 4.0.2.24 03.07.2006 Backdoor.Win32.IRCBot.nw
McAfee 4711 03.06.2006 BackDoor-CMQ
NOD32v2 1.1432 03.06.2006 a variant of Win32/Agent.TV
Norman 5.70.10 03.07.2006 W32/Ircbot.ZX
Panda 9.0.0.4 03.07.2006 Bck/IRCBot.SS
Sophos 4.03.0 03.07.2006 no virus found
Symantec 8.0 03.07.2006 Backdoor.IRC.Bot
TheHacker 5.9.5.107 03.06.2006 Backdoor/IRCBot.nw
UNA 1.83 03.07.2006 Backdoor.IRCBot
VBA32 3.10.5 03.07.2006 Backdoor.Win32.IRCBot.nw

Man man man bin ich blöd. Na die Lacher von euch sind ja dann berechtigt.

Hallo,
lacht doch keiner, ich zumindest nicht. Die Datei wurde ja extra deswegen so benannt damit sie mit dem Systemprozess verwechselt wird.
Also wie schon befürchtet, Backdoorbefall das heißt System neu machen. Anleitung hast du ja jetzt, frohes schaffen.


Grüße Wildone

Reicht es nicht aus wenn ich die Datei im Abgesicherten Modus lösche? Ist es schlimm wenn ich die Vire drauf lasse und Antivir blöockiert sie immer?

Mfg Randall

Ich habe die smss.exe aus den System Ordner mit Tuneup Shredder gelöscht. Sollte es das jetzt gewesen sein?

Hallo,
leider reicht das bloße löschen nicht, da dein PC momentan ein ferngesteuerter Zombie ist und keiner eine Ahnung hat was alles schon verändert wurde. Gib mal Botnetz in google ein, dann kannst du nachlesen von was genau du gerade ein Teil bist. Wird übrigens alles auch in den ersten Zeilen der Anleitung zum Neuaufsetzen haarklein erklärt.


Grüße Wildone

Kann ich ein Removal-Tool von einen anderen Rechner ausführen der an ein Netzwerk angeschlossen ist so das ich auf diese Art mein Rechner säubern kann?

Mfg Randall

Hallo,
so verstehe doch, dein Rechner ist kompromittiert und kein Tool der Welt kann dir sagen was alles verändert wurde. Ich ziehe mich jetzt hier zurück, alles was gesagt werden muss wurde gesagt, befolge es oder lass es, zwingen kann ich dich nicht.


Grüße Wildone