Zitat:

Zitat von Njall

Ich schaue mit diese Datei an sofer es die richtige ist und dann sehen wir weiter.

Zwischenzeitlich wird der PC von Thybald für Spam-Versand & Weiß-Herr-Gott-Was verwendet
Ratschläge von [Gc]Sunny und ordell1234 sind das einzig Vernünftige

Ok .. auch wenn sich morgen heraustellt das über die Datei nicht "Weiss-Gott-Was" gemacht wurde, sehe ich ein das ich hier auf verlorenen Posten stehe mit meiner Meinung.


Also bitte, mach was die anderen sagen, ich bin zumindest nicht schuld dran, meine Meinung ist es nicht.

lg

Njall, stehst für mich nicht auf verlorenen posten:-) hab doch geschrieben, das sich die smss.exe bei mir im
C:\WINDOWS\system32\smss.exe
befindet
net das ich was formatiere was garnicht von nöten ist :-)

Du stehst hier auf verlorenem Posten mit der Meinung, weil in höchsten Maße unvernünftig und fahrlässig ist, einen kompromittierten Rechner nicht sofort vom Netz zu trennen!

Zitat:

Zitat von Thybald

hab doch geschrieben, das sich die smss.exe bei mir im
C:\WINDOWS\system32\smss.exe
befindet

Ach! Und was ist das aus Deinem Logfile:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
Mach die Kiste platt, wahrscheinlich wird sich irgendein IRC-Bot herauskristallisieren.
Sieh zu, dass Du in Zukunft dir erst garkeine Schädlinge einhandelst.

@ Virenprofessor Njall
Schon beim Lesen des ersten HJT-Logs hätte Dir doch auffallen müssen, dass der PC damit verseucht ist:
http://www.sophos.de/security/analyses/w32agoboten.html
Damit ist IMHO keine sinnvolle Bereinigung möglich.
Du solltest Dir Deine Hinweise an die TO genauer überlegen.
Du merkst aber schon, dass Du hier nur aneckst

naja, führt wohl kein weg dran vorbei :-(
auch wenns net mein rechner ist und ich eigentlich davon ausging, das firefox, sp2, aktivierte firewall, antivir ausreichend schutz für meinen dad seie!

mOIn nochmal

die Datei ist mit Sicherheit auch hier C:\WINDOWS\system\smss.exe vorhanden sonst würde sie im Log von HijackThis nicht auftauchen, du hast dir einen Backdoortrojaner eingefangen -->Quelle Sophos

Zitat:

Troj/IRCBot-HA ist ein Backdoor-Trojaner, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer ermöglicht.

Troj/IRCBot-HA enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

Wenn er erstmals gestartet wird, kopiert sich Troj/IRCBot-HA nach <System>\smss.exe und erstellt folgende Dateien:

<Temp>\netf.dll
<System>\netf.dll
<System>\nvsvcd.exe

Der folgende Registrierungseintrag wird erstellt, um Troj/IRCBot-HA beim Start auszuführen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
.nvsvc
<System>\smss.exe /w

Die Datei nvsvcd.exe wird als ein neuer Systemtreiberdienst namens "Windows Log" mit dem Anzeigenamen "Windows Log" und dem Starttyp "Automatisch" registriert, damit sie während des Systemstarts automatisch gestartet wird. Registrierungseinträge werden an folgender Stelle erstellt:

setze deinen Rechner nach der Anleitung in den FAQs neu auf.

MFG
EDIT: Ist die richtige Entscheidung auch wenns bitter ist.

Zitat:

Zitat von Thybald

naja, führt wohl kein weg dran vorbei :-(
auch wenns net mein rechner ist und ich eigentlich davon ausging, das firefox, sp2, aktivierte firewall, antivir ausreichend schutz für meinen dad seie!

Nein, das größte Problem sitzt vor der Tastatur! Wer jeden Shice anklickt und wirklich jede Software installieren muss, die ihm in die Finger kommt, wird fast zwangsläufig von dem Malwareproblem betroffen sein.
Lest Euch mal diesen Artikel durch => Kompromittierung unvermeidbar?

@All
Lest Ihr auch mal vorangegangene Beiträge?

Hi

Also das der Rechner verseucht ist, war ja klar, das diese smss.exe nicht origl auch .. das habe ich ja heute schon mal geschrieben.

Das ich wo anecke kann sein, ja .. ich habe meine Meinung und kann die denke ich mal durchaus belegen.

Das Problem ist, das ich leider nicht alles sagen kann was dazu dienlich wäre mich zu verstehen, aber nachdem ich eigentlich nur Leuten helfen will hier, denke ich mal könnte man durchaus versuchen auch mich zu verstehen.

Ich bin sicher nicht allwissen, das ist keiner und das nehme ich auch nicht in Anspruch.

Ich würde mich über ein paar PM zu dem Thema freuen, dann kann man das sinnvoll ausdiskutieren, wenn daran jemand Interesse hat.

lg

@Njall, schau mal in diesen Grunsatzdiskussionsthread. Da hatten wir schon etliche Posting über die Frage "Bereinigen oder neu aufsetzen?"

Ok, lese ihn gerade

Noch ein Nachtrag für Njall:
Selbst der Hersteller F-Secure plädiert für ein Neuaufsetzen bei Rootkitbefall. Nur so lässt sich das Risiko auch eliminieren:

Zitat:

Zitat von F-Secure

If your computer has actually been hacked, removing the hidden items might not be sufficient. Even after a careful clean up the hacker might still be able to access your computer after it has been compromised once. The removed malware may have changed the system in a way that is impossible to detect or restore. An added or changed user right is a typical example of such changes. Formatting all hard disks and re-installing the computer is the only foolproof way to eliminate this risk.