smss.exe macht probleme, bitte um hilfe !

maverikone · 03.03.2008, 13:06

Hallo zusammen,

wie ich schon oft hier im board gelesen habe ist mein problem nicht das erste mal genannt worden, da aber die dort genannten hilfen mir nicht zum erfolg verholfen haben möchte ich nun auch meine hjack log euch senden.

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 12:44:20, on 03.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\tasks\update.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Christian und Verena\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [546d5d2a] rundll32.exe "C:\WINDOWS\system32\ctunrbum.dll",b
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: WinApp - {C285CF22-115F-3252-41AC-F686D912C63D} - C:\WINDOWS\system32\clipuser32.dll
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" /m PifEng.dll (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Ich muss dazu sagen das ich den ordner namens Net.... im abgesicherten modus gelöscht habe seitdem war erst mal ruhe doch dann fing es an das der Internet Explorer wie auch Mozilla firefox seiten öffnen mit werbung und unseriösen spyware anbietern mit dem text "Ihr computer ist infiziert laden sie dieses programm ...."

Bitte um eure hilfe weiss nicht mehr weiter.

Danke

blow-in · 03.03.2008, 13:52

Hallo maverikone
Werte mal die Datei C:\WINDOWS\system32\ctunrbum.dll
bei Virustotal aus. Das Ergebnis hier posten.
Dann mal noch einen Scan mit SmitfraudFix
das Log ebenfalls hier posten.

maverikone · 03.03.2008, 15:37

Hallo blow-in danke erst mal für deine hilfe, hier ist der report von

Virus Total:

Code:

ATTFilter

AhnLab-V3 2008.2.29.1 2008.03.03 - 
AntiVir 7.6.0.73 2008.03.03 TR/Vundo.Gen 
Authentium 4.93.8 2008.03.02 - 
Avast 4.7.1098.0 2008.03.02 - 
AVG 7.5.0.516 2008.03.03 Lop 
BitDefender 7.2 2008.03.03 Trojan.Vundo.EAH 
CAT-QuickHeal 9.50 2008.03.01 - 
ClamAV 0.92.1 2008.03.03 - 
DrWeb 4.44.0.09170 2008.03.03 - 
eTrust-Vet 31.3.5582 2008.03.03 - 
Ewido 4.0 2008.03.03 - 
FileAdvisor 1 2008.03.03 - 
Fortinet 3.14.0.0 2008.03.03 - 
F-Prot 4.4.2.54 2008.03.02 W32/Virtumonde.G.gen!Eldorado 
F-Secure 6.70.13260.0 2008.03.03 - 
Ikarus T3.1.1.20 2008.03.03 - 
Kaspersky 7.0.0.125 2008.03.03 not-a-virus:AdWare.Win32.Virtumonde.gen 
McAfee 5242 2008.02.29 - 
Microsoft 1.3301 2008.03.03 Trojan:Win32/Vundo.gen!A 
NOD32v2 2917 2008.03.03 - 
Norman 5.80.02 2008.02.29 Vundo.gen59 
Panda 9.0.0.4 2008.03.02 Suspicious file 
Prevx1 V2 2008.03.03 Lop 
Rising 20.34.02.00 2008.03.03 - 
Sophos 4.27.0 2008.03.03 Troj/Virtum-Gen 
Sunbelt 3.0.906.0 2008.02.28 - 
Symantec 10 2008.03.03 - 
TheHacker 6.2.92.231 2008.03.02 - 
VBA32 3.12.6.2 2008.02.27 - 
VirusBuster 4.3.26:9 2008.03.02 Adware.Vundo.Gen!Pac.18 
Webwasher-Gateway 6.6.2 2008.03.03 Trojan.Vundo.Gen

und hier der Report von SmitFruadFix:

Code:

ATTFilter

SmitFraudFix v2.300

Scan done at 15:24:55,54, 03.03.2008
Run from C:\Dokumente und Einstellungen\Christian und Verena\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\tasks\update.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

myrtille · 03.03.2008, 16:15

Hi,
ich möchte nicht dazwischen funken, aber weißt du was folgende Datei tut?

Zitat:

c:\windows\tasks\update.exe

Wenn nicht diese bitte auch bei virustotal auswerten lassen.

lg myrtille

blow-in · 04.03.2008, 07:33

Hallo maverikone
Bitte noch die Datei, wie von myrtille beschrieben bei Virustotal überprüfen.
Dann sehen wir weiter. Ich denke aber nicht, dass es etwas schlimmes ist und wir deinen Rechner wieder sauber bekommen.

maverikone · 04.03.2008, 16:07

Hallo blow-in und myrtille,

Hier ist der gewünschte Report :

Code:

ATTFilter

AhnLab-V3 2008.3.4.0 2008.03.04 - 
AntiVir 7.6.0.73 2008.03.04 - 
Authentium 4.93.8 2008.03.04 - 
Avast 4.7.1098.0 2008.03.04 - 
AVG 7.5.0.516 2008.03.04 - 
BitDefender 7.2 2008.03.04 - 
CAT-QuickHeal 9.50 2008.03.04 - 
ClamAV 0.92.1 2008.03.04 - 
DrWeb 4.44.0.09170 2008.03.04 - 
eSafe 7.0.15.0 2008.02.28 - 
eTrust-Vet 31.3.5585 2008.03.04 - 
Ewido 4.0 2008.03.04 - 
FileAdvisor 1 2008.03.04 - 
Fortinet 3.14.0.0 2008.03.04 - 
F-Prot 4.4.2.54 2008.03.03 - 
F-Secure 6.70.13260.0 2008.03.04 - 
Ikarus T3.1.1.20 2008.03.04 - 
Kaspersky 7.0.0.125 2008.03.04 - 
McAfee 5243 2008.03.03 - 
Microsoft 1.3301 2008.03.03 - 
NOD32v2 2921 2008.03.04 - 
Norman 5.80.02 2008.03.04 - 
Panda 9.0.0.4 2008.03.03 - 
Prevx1 V2 2008.03.04 - 
Rising 20.34.12.00 2008.03.04 - 
Sophos 4.27.0 2008.03.04 - 
Sunbelt 3.0.906.0 2008.02.28 - 
Symantec 10 2008.03.04 - 
TheHacker 6.2.92.232 2008.03.04 - 
VBA32 3.12.6.2 2008.02.27 - 
VirusBuster 4.3.26:9 2008.03.04 - 
Webwasher-Gateway 6.6.2 2008.03.04 -

blow-in · 04.03.2008, 17:09

Zu der letztgenannten Datei hätte ich noch gerne, ob du sie in dem Verzeichnis siehst? c:\windows\tasks\update.exe und wenn du auf diese Datei gehst, mit der rechten Maustaste und dann Eigenschaften. Was wird gemeldet?
Wenn du sie nicht siehst, mache die versteckten Dateien sichtbar.

maverikone · 04.03.2008, 19:49

Hallo blow-in,

In dem Verzeichnis "c:\windows\tasks" ist die update.exe nicht zu sehen !

Mfg. Maverikone und danke für die Hilfe

maverikone · 04.03.2008, 19:59

Hallo nochmal kleiner nachtrag

habe gerade mal unter der Systemsteuerung-Ordneroptionen "Versteckte ordner ausblenden" ausgeschaltet also das ich alle ordner und dateien sehen kann und zusätzlich die option "Geschützte Systemdateien ausblenden" ebenfalls deaktiviert damit ich auch diese einsehen kann.

Kann jedoch immer noch nicht diese update.exe im ordner "c:\windows\tasks" sehen.

Habe einmal zur probe "c:\windows\tasks\update.exe" ausgeführt, es öffnete sich eine CommandConsole oder DOS Fenster, es geschah aber nichts, es blinkte nur der courser oben links.

Vielleicht hilft euch das etwas weiter bei euren bemühungen!?!?!

Mfg. Maverikone

THX

boston · 04.03.2008, 22:28

dann sende

c:\windows\tasks\update.exe

mal an avira.
Submit your sample

und bitte

C:\WINDOWS\system32\clipuser32.dll

bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
auswerten lassen und das komplette ergebnis hier posten.

blow-in · 05.03.2008, 08:45

Zitat:

Zitat von maverikone

In dem Verzeichnis "c:\windows\tasks" ist die update.exe nicht zu sehen

Dann würde es mich interessieren, wie du die Datei bei Virustotal hochgeladen hast. Oder hast du es richtiger Weise gemacht, in dem du den Path eingegeben hast?

maverikone · 05.03.2008, 11:47

Hallo zusammen,

1. zu boston

"c:\windows\tasks\update.exe" habe ich an avira geschickt habe die meldung erhalten das, dass Avira Labor team noch am prüfen ist.

Hier ist der Report zu "C:\WINDOWS\system32\clipuser32.dll"

Code:

ATTFilter

AhnLab-V3 2008.3.4.0 2008.03.05 - 
AntiVir 7.6.0.73 2008.03.05 TR/Spy.Agent.259072 
Authentium 4.93.8 2008.03.04 - 
Avast 4.7.1098.0 2008.03.05 - 
AVG 7.5.0.516 2008.03.05 PSW.Generic5.ALJU 
BitDefender 7.2 2008.03.05 - 
CAT-QuickHeal 9.50 2008.03.04 TrojanPSW.Delf.apy 
ClamAV 0.92.1 2008.03.05 - 
DrWeb 4.44.0.09170 2008.03.05 Trojan.PWS.Club 
eSafe 7.0.15.0 2008.02.28 - 
eTrust-Vet 31.3.5589 2008.03.05 - 
Ewido 4.0 2008.03.04 - 
FileAdvisor 1 2008.03.05 - 
Fortinet 3.14.0.0 2008.03.05 - 
F-Prot 4.4.2.54 2008.03.04 W32/Delf.B.gen!Eldorado 
F-Secure 6.70.13260.0 2008.03.05 W32/Delf.BKSK 
Ikarus T3.1.1.20 2008.03.05 BehavesLikeTrojan.ShellObject 
Kaspersky 7.0.0.125 2008.03.05 Trojan-PSW.Win32.Delf.apy 
McAfee 5244 2008.03.04 - 
Microsoft 1.3301 2008.03.05 PWS:Win32/Delf.ALD 
NOD32v2 2923 2008.03.05 probably a variant of Win32/PSW.Delf.AMJ 
Norman 5.80.02 2008.03.04 W32/Delf.BKSK 
Panda 9.0.0.4 2008.03.04 Trj/Delf.AIE 
Prevx1 V2 2008.03.05 Generic.Email.Worm 
Rising 20.34.21.00 2008.03.05 - 
Sophos 4.27.0 2008.03.05 - 
Sunbelt 3.0.906.0 2008.02.28 - 
Symantec 10 2008.03.05 Infostealer 
TheHacker 6.2.92.233 2008.03.04 - 
VBA32 3.12.6.2 2008.03.05 - 
VirusBuster 4.3.26:9 2008.03.04 - 
Webwasher-Gateway 6.6.2 2008.03.05 Trojan.Spy.Agent.259072

2. zu blow-in

Ich habe den Path direkt kopiert also " c:\windows\tasks\update.exe " und bei Virustotal eingefügt !

Mfg Maverik

maverikone · 05.03.2008, 13:43

Hey

hab noch ne frage habe ja jetzt mal wie schon genannt jetzt unter der Systemsteuerung-> Ordneroptionen -> Ansicht alles sichtbar gemacht ... muss ich jetzt noch mal alles scannen lassen oder machen virustotal und SmitFraudfix das automatisch ?

Mfg. Maverik ... Danke

myrtille · 05.03.2008, 14:53

Nein, nochmal scannen ist nicht notwendig. Virustotal, Smitfraudfix sind nicht von den explorer-Einstellungen abhängig und können daher auch so alle Dateien durchsuchen.

Allerdings solltest du die Datei jetzt sehen?

lg myrtille

blow-in · 05.03.2008, 15:09

Ich denke mal, dass du dir hier einen neuen Trojaner eingefangen hast.
clipuser32.dll Was der so alles anstellt weis ich nicht. Auf jeden fall läd er weitere Malware nach.
Wir können es weiter versuchen mit der Bereinigung. Ich kann dir aber keinen Erfolg versprechen.

05.03.2008, 14:53	#14
myrtille /// TB-Ausbilder	smss.exe macht probleme, bitte um hilfe ! Nein, nochmal scannen ist nicht notwendig. Virustotal, Smitfraudfix sind nicht von den explorer-Einstellungen abhängig und können daher auch so alle Dateien durchsuchen. Allerdings solltest du die Datei jetzt sehen? lg myrtille

smss.exe macht probleme, bitte um hilfe !

Log-Analyse und Auswertung: smss.exe macht probleme, bitte um hilfe !