smss.exe und crss.exe
 

woran erkenne ich, ob ein laufender prozess ein win programm oder ein wurm ist?

smss.exe hab ich zb unter:

win/system32------das ist OK.

aber auch unter:

win/servicepackfiles und win/softwaredistribution.

sind diese beiden würmer?

soll ich bei crss.exe auch alle, ausser die unter win/sys32 laufen, löschen?

@emi
poste bitte ein Hijackthislogfile
download
anleitung

chaosman

Logfile of HijackThis v1.98.2
Scan saved at 21:37:57, on 20.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\MOZILL~1.3\Mozilla.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\e\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B738BD2D-5AC0-4C62-B02C-A3FE8A5D39D7} (AXReader Class) - file://D:\Content\Prokoda\XP\plugin\ad32ax.cab

@emi
lade dir escan hier
lese der anleitung
mache es genauso wie verlangt wird, scan dauert 1 stunde
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

scan läuft!

aber wenn ich smss.exe unter anderen files als unter win/sys32 finde, sind die dann nicht automatisch würmer?

@emi
aber wenn ich smss.exe unter anderen files als unter win/sys32 finde, sind die dann nicht automatisch würmer?
kuckst du hier
http://www.neuber.com/taskmanager/de.../smss.exe.html

lasse escan alles überprüfen, vielleicht findet er noch mehr...


chaosman ;)

dh. ich soll diese auf jeden fall löschen?
scan läuft immer noch......zzzzzzzz

so da:
3 std. und 75.000 files später:

File C:\WINDOWS\system32\drivers\etc\1.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.

das sollte ich kopieren?

Wed Dec 08 13:17:49 2004 => Total Disinfected Files: 0

Wed Dec 08 13:17:49 2004 => Total Files Scanned: 24248
Wed Dec 08 13:17:49 2004 => Total Virus(es) Found: 0
Wed Dec 08 13:17:49 2004 => Total Disinfected Files: 0
Wed Dec 08 13:17:49 2004 => Total Files Renamed: 0
Wed Dec 08 13:17:49 2004 => Total Deleted Files: 0
Wed Dec 08 13:17:49 2004 => Total Errors: 3
Wed Dec 08 13:17:49 2004 => Time Elapsed: 00:38:38
Wed Dec 08 13:17:49 2004 => Virus Database Date: 2004/12/02
Wed Dec 08 13:17:49 2004 => Virus Database Count: 111161

Du musst die Namen der Dateien schon richtig schreiben, eine crss.exe sehe ich bei dir nicht, sondern die csrss.exe. Das ist zwar nur ein Buchstabe aber ein himmelweiter Unterschied zwischen gefährlichem Trojaner und wichtigem Systemfile. :) Bei Dateien unter win/servicepackfiles und win/softwaredistribution handelt es sich in der Regel um Backupfiles von Windows-Dateien, also keine Schädlinge.
Poste mal den Inhalt der beiden Hostdateien.

wie zeige ich den inhalt an?

und wenn diese beiden in ordnung sind wie du sagst, was mach ich dann mit den beiden infected dateien, die mir escan angezeigt hat?

Öffne sie mit dem Editor und kopiere den Inhalt. Ich bin mir nicht sicher, ob das nicht evtl. ein fehlalarm ist, deswegen möchte ich wissen, was drinsteht.

das ist smss.exe aus dem servicepackfiles ordner:

Ô‘|�Ý‘|ï`—|@z”|â‘|0‘|^(“| <|A  ! p- p! S e s s i o n M a n a g e r SMSS:PFILE: Skipping duplicate specifier `%wZ'
SMSS:PFILE: Created descriptor for `%wZ' (`%wZ')
parsing specified failed SMSS:PFILE: SmpParseCommandLine(%wZ) failed with status %X
SMSS:PFILE: Paging file specifier `%wZ'
SMSS:PFILE: Too many paging files specified - %d
SMSS:PFILE: Created volume descriptor for`%wZ'
SMSS:PFILE: Query volume `%wZ' (handle %p) for size failed with status %X
SMSS:PFILE: Failed to allocate a volume descriptor (%u bytes)
SMSS:PFILE: Volume `%wZ' (%X) cannot store a paging file
SMSS:PFILE: Query volume `%wZ' (handle %p) for device info failed with status %X
SMSS:PFILE: Open volume `%wZ' failed with status %X
\ ? ? \ A : \ SMSS:PFILE: Query(ProcessDeviceMap) failed with status %X
SMSS:PFILE: NtCreatePagingFile (%wZ, %I64X, %I64X) succeeded.
success SMSS:PFILE: NtCreatePagingFile (%wZ, %I64X, %I64X) failed with %X
failed SMSS:PFILE: Trimmed size of `%wZ' to maximum allowed
SMSS:PFILE: Validating sizes for `%wZ' %I64X %I64X
SMSS:PFILE: Failed to delete page file `%wZ' (status %X)
SMSS:PFILE: Deleted stale paging file - %wZ
SMSS:PFILE: Failed to open for deletion page file `%wZ' (status %X)
SMSS:PFILE: Failed query for size potential pagefile `%wZ' with status %X
SMSS:PFILE: Trying to get size for `%wZ'
SMSS:PFILE: Querying volume `%wZ' for free space
SMSS:PFILE: unexpected exception %X with record %p
SMSS:PFILE: Failing for min %I64X, max %I64X, real min %I64X
SMSS:PFILE: min %I64X, max %I64X, real min %I64X
SMSS:PFILE: Free space on volume `%wC' is %I64X
SMSS:PFILE: Detected size %I64X for future paging file `%wZ'
SMSS:PFILE: Skipping crash dump checking for `%wZ' on non boot volume `%wC'
SMSS:PFILE: Failed to query free space for boot volume `%wC'
SMSS:PFILE: Checking for crash dump in `%wZ' on boot volume
SMSS:PFILE: No volume descriptor for `%wZ'
SMSS:PFILE: NtQuerySystemInformation failed with %x
\ ? ? \ ? : \ p a g e f i l e . s y s SMSS:PFILE: Creating emergency paging file.
SMSS:PFILE: Creating a normal paging file (`%wZ')
SMSS:PFILE: Trying lower sizes for (`%wZ')
SMSS:PFILE: Creating a system managed paging file (`%wZ')
SMSS:PFILE: Failed to create volume descriptors (status %X)
SMSS:PFILE: No paging file was requested
I N I T D B G S M ÿÿÿÿÍ•XHÖ•XH SMSS: Unable to keep track of session ID -- no memory available
SmExecPgm: NtDuplicateObject (Thread) Failed %lx
SmExecPgm: NtDuplicateObject (Process) Failed %lx
SmExecPgm: NtOpenProcess Failed %lx
U n h a n d l e d E x c e p t i o n i n S e s s i o n M a n a g e r W i n d o w s L o g o n P r o c e s s W i n d o w s S u b S y s t e m - g - x n t s d - d n t s d - p - 1 - d S e s s i o n M a n a g e r I n i t i a l i z a t i o n : SmpStartCsr, SmpExecuteInitialCommand Failed. Status=%x
SMSS: SmpStartCsr, SmpLoadSubSystemsForMuSession Failed. Status=%x
T
NtTerminateProcess 
NtRaiseHardError vRtlInitUnicodeString ‹
RtlAdjustPrivilege @RtlFreeHeap SRtlUpcaseUnicodeChar GRtlUnicodeStringToInteger Ž
RtlAllocateHeap ERtlFreeUnicodeString  DbgPrintEx $RtlExtendedIntegerMultiply 
NtQueryVolumeInformationFile Ä NtOpenFile g NtClose wcslen wcscpy ë NtQueryInformationProcess | NtCreatePagingFile 3
NtSetInformationFile è NtQueryInformationFile  DbgPrint ÿ NtQuerySystemInformation ¦_allmul @
NtSetSecurityObject RtlSetOwnerSecurityDescriptor RtlSetDaclSecurityDescriptor x
RtlAddAccessAllowedAce É
RtlCreateAcl Ó
RtlCreateSecurityDescriptor Œ
RtlAllocateAndInitializeSid RtlDosPathNameToNtPathName_U "RtlExpandEnvironmentStrings_U 
NtQueryValueKey
swprintf Ç NtOpenKey J
NtSetValueKey w NtCreateKey s NtCreateFile
NtReadFile °_chkstk wcsstr Ï_wcsupr ¹ NtMakeTemporaryObject ƒ NtCreateSymbolicLinkObject Á NtOpenDirectoryObject wcsncpy ‘
RtlAnsiStringToUnicodeString pRtlInitAnsiString À_stricmp � NtCreateSection J LdrVerifyImageMatchesChecksum p NtCreateDirectoryObject RtlSetEnvironmentVariable H LdrUnloadDll 9 LdrGetProcedureAddress uRtlInitString > LdrLoadDll °
RtlCompareUnicodeString RtlEqualString ómemmove Ì_wcsicmp Ø
RtlCreateUnicodeString RtlDosSearchPath_U àRtlQueryEnvironmentVariable_U RtlEqualUnicodeString –
RtlAppendUnicodeToString •
RtlAppendUnicodeStringToString c
NtWaitForSingleObject !
NtResumeThread ý
RtlDestroyProcessParameters Ú
RtlCreateUserProcess Ð
RtlCreateProcessParameters ORtlUnlockBootStatusData eRtlGetSetBootStatusData ·RtlLockBootStatusData “ NtDisplayString øsprintf ” NtDuplicateObject µRtlLengthSid IRtlGetAce ÛRtlPrefixUnicodeString ü NtQuerySymbolicLinkObject Ð NtOpenSymbolicLinkObject ã NtQueryDirectoryObject 
NtRequestWaitReplyPort 3RtlFindMessage .
NtSetEvent C
NtSetSystemInformation q NtCreateEvent ²RtlLeaveCriticalSection RtlEnterCriticalSection wcscat A LdrQueryImageFileExecutionOptions ‹ NtDelayExecution ¬ NtInitializeRegistry êRtlQueryRegistryValues ‘ NtDeleteValueKey Î
RtlCreateEnvironment Ü
RtlCreateUserThread } NtCreatePort {RtlInitializeCriticalSection 7
NtSetInformationProcess Õ
RtlCreateTagHeap 8
NtSetInformationThread í NtQueryInformationToken Ò NtOpenThreadToken ª NtImpersonateClientOfPort m NtConnectPort k NtCompleteConnectPort N NtAcceptConnectPort Ë NtOpenProcess 
NtReplyWaitReceivePort !RtlExitUserThread 
NtReplyPort !RtlSetThreadIsCritical b
NtWaitForMultipleObjects RtlSetProcessIsCritical ERtlUnicodeStringToAnsiString Y NtAdjustPrivilegesToken Ì NtOpenProcessToken BRtlUnhandledExceptionFilter ntdll.dll RRtlUnwind 
NtQueryVirtualMemory  DbgBreakPoint ËRtlNormalizeProcessParams




wolltest du das sehen oder mach ich da was falsch?
musste einiges rauslöschen, da nur 10.000 zeichen erlaubt sind.
wenns stimmt, poste ich dir dann noch die anderen. wollte vorher nur mal fragen?

hier ist zb eine von trojan 32.qhost infizierte datei.
was mach ich da am besten? fixqhost reicht?

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost





127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

Also ich bin neu hier

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Joa aber ich hab da sowas

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]