|
killer.exe / smss.exe / lsass - Problematik hi, ich habe heute leider nicht geschafft, den virus auf meinem rechner zu entfernen. ich habe drei programme benützt, welche sich jedoch alle als unnütz erwiesen haben: - spybot - ad aware - a² alle drei programme haben den virus immer erkannt, dann auch gelöscht, aber beim nächsten rechnerstart war er wieder in vollster präsenz da. zuletzt habe ich versucht, die dateien im adaware zu löschen, statt in quarantäne zu schieben, und siehe da - ich kann nicht mehr auf meine hdds zugreifen. wohl dank der gelöschten smss.exe? nun habe ich nur noch die hoffnung, dass ihr mir helft. 1. ich habe das crap - weg prog laufen lassen. 2. dann habe ich den fullscan mit anti-malware laufen lassen, hier ist der report: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2843 Windows 5.2.3790 Service Pack 2 22.09.2009 21:42:17 mbam-log-2009-09-22 (21-42-17).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|) Durchsuchte Objekte: 382943 Laufzeit: 1 hour(s), 25 minute(s), 30 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54ebd53a-9bc1-480b-966a-843a333ca162} (Spyware.OnlineGames) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runonce (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> Quarantined and deleted successfully. C:\Funny UST Scandal.avi.exe (Worm.AutoRun) -> Quarantined and deleted successfully. C:\smss.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Documents and Settings\All Users\Start Menu\Programs\Startup\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\Funny UST Scandal.exe (Worm.AutoRun) -> Quarantined and deleted successfully. C:\WINDOWS\smss.exe (Trojan.Agent) -> Quarantined and deleted successfully. 3. und nun noch der scan mit dem hijackthis: EDIT: leider läuft hijackthis bei mir nicht (winxp 64 mit sp2) Fehlermeldung: Line -1: Error: Variable used without being declared 4. ich habe vorher noch ad aware laufen lassen, der hat ZUDEM folgendes gefunden: c:\windows\killer.exe diese datei hat der anti-malware wohl nicht gefunden.... es wäre wirklich super, wenn mir jemand helfen könnte. bin total am verzweifeln. :headbang: lieben dank (schon etwas ermüdet vom kampf) :kaffee: rockmachine |
Hallo und :hallo: Eins vorweg: viele "Standardprogramme" die wir hier als Hilfsmittel zum Bereinigen einsetzen, sind mit nem 64 Bit Windows NICHT kompatibel - das macht eine Bereinigung schwerer als sie ohnehin schon ist. Bitte mal Logfiles mit OTL erstellen: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
hi und vielen dank für deine bemühung. echt sehr nett. ich hab das prog mal laufen lassen: EXTRAS.TXT edit: leider kann ich nicht beide hier posten. ich werde sie eben verlinken. Der Text, den Sie eingegeben haben, besteht aus 83901 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen. |
extras.txt: http://www.foemcrew.zigarettenasche.de/Extras.Txt otl.txt http://www.foemcrew.zigarettenasche.de/OTL.Txt |
Äh sry, mein fauxpas :o Ich seh da viel Zeichenbrei in Deinen verlinkten Logs. Könntest Du bitte beide Logs in eine Datei zippen, bei file-upload.net hochladen und hier verlinken? |
hi, hab dir pdfs gemacht: http://www.foemcrew.zigarettenasche.de/Extras.pdf http://www.foemcrew.zigarettenasche.de/OTL.pdf sorry und danke ob der mühe... |
Äh sorry... :kaffee: Textdateien wären mir schon lieber. Am besten originale Logfiles, gepackt :) |
ich hoff mal, die hier gehn :) http://www.foemcrew.zigarettenasche.de/logs.zip |
Code: 1023,37 Mb Total Physical Memory | 457,64 Mb Available Physical Memory | 44,72% Memory free |
hi, da hast du sicherlich recht, da leidet auch die performance. dennoch ist es der einzige rechner, den ich derzeit besitze. und mir fehlen die mittel wie die zeit, etwas an dieser config zu ändern. gibt es deiner meinung nach eine chance, die kiste wieder zu kurieren´von dem virus? ich freu mich auf ne antwort :) lg |
Mir fehlt leider etwas Erfahrung mit 64 Bit Windows... V.a. wird's da schwierig mit der Bereinigung weil da ja schon wie erwähnt die meisten Tools nicht funktionieren. :( Du hast da eh ziemlich viel Quatsch drauf, vllt solltest Du daher eher mal eine Neuinstallation (32 Bit WinXP?) in Angriff nehmen. Ist deutlich gründlicher und wahrscheinlich auch schneller. :) //Edit Werte die killer.exe aber bitte mal aus: Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\killer.exe |
hmm das problem ist, dass die datei nicht auffindbar ist. auch wenn ich einschalte, dass ich alle dateien sehen kann. hast du denn so ca. eine ahnung, in welche richtung ich gehen kann, oder wie der virus überhaupt heisst? wenn ich die dateinamen google, dann finde ich tausende von einträgen, die alle irgendwas anderes erzählen.. :( der ad aware hat folgendes gefunden: killer.exe sowie 3 regisitrierungseinträge leider kann man aus dem ad aware nix rauskopieren, was für ein mieses tool :( oder kennst du eventuell jemanden, der mir helfen könnte? ich bin schier am verzweifeln :( lg und danke für deine mühe |
Wie ich schon schrieb, ist das Bereinigen unter 64 Bit Windows ziemlich sch.... :mad: Undoreal erwähnte noch den ESET SysInspector. Wenn Du magst, Anleitung weiter unten. Andere Möglichkeit wären noch Rettungs-CDs zB von Kasperksy, Avira oder sowas wie Knoppicillin. Ist aber auch mehr Glücksrad, man muss "hoffen", dass alle Schädlinge erwischt werden, man kann nicht gezielt aus den Logs gefundene Schädlingsdateien/-einträge löschen, weil ja eben in 64 Bit Umgebung die Tools nicht laufen :( ESET SysInspector logfile
|
danke dir. ich hab dir det janze als pm geschickt. da steht ja doch einiges drinne :) |
Jo habs gesehen. Wird aber dauern bis ich da durchgestiegen bin, das Programm hat mir undoreal eben erst genannt. Was sagst Du zum Thema Formatieren und Neuaufsetzen auch bzgl. der Problematik mit den Tools in 64 bittigen Umgebungen? Das wird sehr viel schneller gehen als klioweise Logfiles auszuwerten und danach ein ungewisses Ergebnis (sauber oder nicht?) zu haben :o |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board