|
killer.exe / smss.exe / lsass - Problematik hi, ich habe heute leider nicht geschafft, den virus auf meinem rechner zu entfernen. ich habe drei programme benützt, welche sich jedoch alle als unnütz erwiesen haben: - spybot - ad aware - a² alle drei programme haben den virus immer erkannt, dann auch gelöscht, aber beim nächsten rechnerstart war er wieder in vollster präsenz da. zuletzt habe ich versucht, die dateien im adaware zu löschen, statt in quarantäne zu schieben, und siehe da - ich kann nicht mehr auf meine hdds zugreifen. wohl dank der gelöschten smss.exe? nun habe ich nur noch die hoffnung, dass ihr mir helft. 1. ich habe das crap - weg prog laufen lassen. 2. dann habe ich den fullscan mit anti-malware laufen lassen, hier ist der report: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2843 Windows 5.2.3790 Service Pack 2 22.09.2009 21:42:17 mbam-log-2009-09-22 (21-42-17).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|) Durchsuchte Objekte: 382943 Laufzeit: 1 hour(s), 25 minute(s), 30 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54ebd53a-9bc1-480b-966a-843a333ca162} (Spyware.OnlineGames) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runonce (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> Quarantined and deleted successfully. C:\Funny UST Scandal.avi.exe (Worm.AutoRun) -> Quarantined and deleted successfully. C:\smss.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Documents and Settings\All Users\Start Menu\Programs\Startup\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\Funny UST Scandal.exe (Worm.AutoRun) -> Quarantined and deleted successfully. C:\WINDOWS\smss.exe (Trojan.Agent) -> Quarantined and deleted successfully. 3. und nun noch der scan mit dem hijackthis: EDIT: leider läuft hijackthis bei mir nicht (winxp 64 mit sp2) Fehlermeldung: Line -1: Error: Variable used without being declared 4. ich habe vorher noch ad aware laufen lassen, der hat ZUDEM folgendes gefunden: c:\windows\killer.exe diese datei hat der anti-malware wohl nicht gefunden.... es wäre wirklich super, wenn mir jemand helfen könnte. bin total am verzweifeln. :headbang: lieben dank (schon etwas ermüdet vom kampf) :kaffee: rockmachine |
Hallo und :hallo: Eins vorweg: viele "Standardprogramme" die wir hier als Hilfsmittel zum Bereinigen einsetzen, sind mit nem 64 Bit Windows NICHT kompatibel - das macht eine Bereinigung schwerer als sie ohnehin schon ist. Bitte mal Logfiles mit OTL erstellen: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
hi und vielen dank für deine bemühung. echt sehr nett. ich hab das prog mal laufen lassen: EXTRAS.TXT edit: leider kann ich nicht beide hier posten. ich werde sie eben verlinken. Der Text, den Sie eingegeben haben, besteht aus 83901 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen. |
extras.txt: http://www.foemcrew.zigarettenasche.de/Extras.Txt otl.txt http://www.foemcrew.zigarettenasche.de/OTL.Txt |
Äh sry, mein fauxpas :o Ich seh da viel Zeichenbrei in Deinen verlinkten Logs. Könntest Du bitte beide Logs in eine Datei zippen, bei file-upload.net hochladen und hier verlinken? |
hi, hab dir pdfs gemacht: http://www.foemcrew.zigarettenasche.de/Extras.pdf http://www.foemcrew.zigarettenasche.de/OTL.pdf sorry und danke ob der mühe... |
Äh sorry... :kaffee: Textdateien wären mir schon lieber. Am besten originale Logfiles, gepackt :) |
ich hoff mal, die hier gehn :) http://www.foemcrew.zigarettenasche.de/logs.zip |
Code: 1023,37 Mb Total Physical Memory | 457,64 Mb Available Physical Memory | 44,72% Memory free |
hi, da hast du sicherlich recht, da leidet auch die performance. dennoch ist es der einzige rechner, den ich derzeit besitze. und mir fehlen die mittel wie die zeit, etwas an dieser config zu ändern. gibt es deiner meinung nach eine chance, die kiste wieder zu kurieren´von dem virus? ich freu mich auf ne antwort :) lg |
Mir fehlt leider etwas Erfahrung mit 64 Bit Windows... V.a. wird's da schwierig mit der Bereinigung weil da ja schon wie erwähnt die meisten Tools nicht funktionieren. :( Du hast da eh ziemlich viel Quatsch drauf, vllt solltest Du daher eher mal eine Neuinstallation (32 Bit WinXP?) in Angriff nehmen. Ist deutlich gründlicher und wahrscheinlich auch schneller. :) //Edit Werte die killer.exe aber bitte mal aus: Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\killer.exe |
hmm das problem ist, dass die datei nicht auffindbar ist. auch wenn ich einschalte, dass ich alle dateien sehen kann. hast du denn so ca. eine ahnung, in welche richtung ich gehen kann, oder wie der virus überhaupt heisst? wenn ich die dateinamen google, dann finde ich tausende von einträgen, die alle irgendwas anderes erzählen.. :( der ad aware hat folgendes gefunden: killer.exe sowie 3 regisitrierungseinträge leider kann man aus dem ad aware nix rauskopieren, was für ein mieses tool :( oder kennst du eventuell jemanden, der mir helfen könnte? ich bin schier am verzweifeln :( lg und danke für deine mühe |
Wie ich schon schrieb, ist das Bereinigen unter 64 Bit Windows ziemlich sch.... :mad: Undoreal erwähnte noch den ESET SysInspector. Wenn Du magst, Anleitung weiter unten. Andere Möglichkeit wären noch Rettungs-CDs zB von Kasperksy, Avira oder sowas wie Knoppicillin. Ist aber auch mehr Glücksrad, man muss "hoffen", dass alle Schädlinge erwischt werden, man kann nicht gezielt aus den Logs gefundene Schädlingsdateien/-einträge löschen, weil ja eben in 64 Bit Umgebung die Tools nicht laufen :( ESET SysInspector logfile
|
danke dir. ich hab dir det janze als pm geschickt. da steht ja doch einiges drinne :) |
Jo habs gesehen. Wird aber dauern bis ich da durchgestiegen bin, das Programm hat mir undoreal eben erst genannt. Was sagst Du zum Thema Formatieren und Neuaufsetzen auch bzgl. der Problematik mit den Tools in 64 bittigen Umgebungen? Das wird sehr viel schneller gehen als klioweise Logfiles auszuwerten und danach ein ungewisses Ergebnis (sauber oder nicht?) zu haben :o |
hi, das prob ist dass ich auf dem rechner so viel kram hab, den ich die ganze zeit brauch, dass es mich ne woche dauern würde (bei meiner freizeit), bis alles wieder laufen würde. das wäre ein rechtes problem.... das wäre quasi die letzte konsequenz. ich kann grade keine woche verliereen, das wäre fatal :( lg |
|
Dass Dich das Zeit kostet und Du es nur ungern machst kann ich ja alles nachvollziehen, aber es ändert leider nichts an der Tatsache, dass es keine vernünftigen Tools für 64 bittiges Windows gibt, sowas wie den Avenger oder Combofix. Nimm es in Angriff wenn Du Zeit hast und überleg gut, ob Du wieder zum 64 Bit XP greifst. Man sollte ein 64 Bit Windows IMHO nur einsetzen, wenn man wirklich 4GB und mehr RAM in der Kiste hat. In der zwischenzeit kannst Du Dein Glück mit Rescue-CDs (nannte ich bereits) Dein Glück versuchen und wenigstens aus einer Notfallumgebung, die nicht von aktiven Schädlingen beeinflusst werden kann, die Windows-XP-x64-Partition scannen. Und wenn Du denn endlich formatiert und das System neu installiert hast, solltest Du Dir mal grundlegene Gedanken machen, das System besser abzusichern, auf Filesharing möglichst zu verzichten etc. pp. und v.a. häufiger Backups/Systemimages für den Fall der Fälle erstellen!! |
sowas hört man natürlich absolut nicht gern, aber du hast recht. ist mir schon bewusst, dass dieses system, seit 2006 im dauerstress und nie neu gemacht irgendwann mal draufgehen musste. ich werd die verdammte kiste plätten, säubern und einer freundin schenken, die braucht eh einen besseren rechner, die hat einen gefühlten 386er. wurde eh mal zeit für nen neuen rechner. brrr. ich brauch jetzt nen schnaps. habt ihr irgendwo ne anleitung für ne gute allround-absicherung rumfliegen? ich bin da nicht gerade firm. auf jeden fall danke für die bemühungen. ich werd dem board treu bleiben. ah genau: habt ihr noch ne ahnung, auf welchem board man sich gut erkundigen kann, was man für einen pc kaufen soll? es gibt derer ja mittlerweile so viele, also richtung gamen, richtung grafik / video, richtung internet usw... ich bräuchte nen pc, auf dem 3 messenger gleichzeitig laufen, ein virenkiller, ein malware schutz, ne firewall und 3 browser gleichzeitig mit jeweils 20 fenstern offen mit überall flashseiten (beatport.co,, soundcloud.com, hobnox.com) auch keinen stress machen. zudem allerlei anwendungen, die aber alle keinen großen platz wegnehmen. plus skype voicechat mit 3 leuten in der telko. was ich nicht brauch ist der photoshop / videorechner. auch gamen tue ich null. nur online arbeiten. LG ps: gibt es hier ne anleitung, wie man daten aus einem infizierten system auf ein jungfräuliches überträgt? |
Öhm beim Thema Neuaufsetzen wird eigentlich auch die Absicherung behandelt. Sehr lesenswert wenn Du in Zukunft ohne Viren leben möchtest :D => Kompromittierung unvermeidbar? Datensicherung: Reine Dokumente kannst Du eigentlich noch mit dem jetzigen System sicher, noch ne Spur sicher gehts mit Live-Systemen wie Knoppix oder Parted Magic, etwas Linuxkenntnisse sind da aber vom Vorteil. Eine Live-CD gibs auch auf Windows-Basis: BartPE. Solltest Du aber von einem sauberen PC aus erstellen. Wozu brauchst Du drei Messenger gleichzeitig? Es gibt auch Programme wie zB Miranda oder Trillian oder Pidgin, die mehrere Protokolle können und somit wäre man mit einem Programm zB gleichzeitig in ICQ, MSN, Jabber, ... Neuer PC: Stell doch mal hier ins Hardwareforum ein Posting rein, schreib genau auf welche Programme du brauchst. Was Du jetzt eben geschrieben hast, klingt ein wenig pauschal, da würde eigentlich jeder Wald- und Wiesenrechner zB mit ner ordentlichen DualCore CPU und ab 2 GB RAM aufwärts dicke reichen, denn spielen tust Du ja nicht. :party: |
okay, hab das mal gemacht http://www.trojaner-board.de/77777-suche-neuen-pc.html#post467985 ich hoffe mal, ich brauche wirklich nur nen wald und wiesen pc, der geht nicht so ins geld :) gute nacht auf jeden! cu |
hallo,,bin neu hier.. habe die gleichen Probleme, killer.exe ist nur mit anderen utilities im process zu sehen.(process explorer,der auch sofort wieder verschwindet) Die Ust Fun Scandal ist denke ich mal der Hauptverursacher. Ich kann nichts installieren oder ausführen alles verschwindet einfach (hinterm Hintergrund?) und wenn ich es neu ausführen möchte,steht dann dass das prog bereits läuft. Ich bin ratlos,da ich nicht mal mehr Word Dokumente aufrufen kann um wichtige Sachen zu drucken(Sie verschwinden).Ich schreibe von einem anderen PC aus.Der Log wäre bei mir so ziemlich der selbe,kann leider keine progs ausführen.Kann man das System noch retten?Bitte um hilfe,,wäre sehr dankbar,,ach ja ich benutze 32bit sytem windows xp professional mit zuletzt neusten updates.Seitdem der USB Stick vom Kollegen in mein PC gesteckt wurde,haben die Probleme angefange,,obwohl der Virus (Ust fun scandal.exe)sofort von Avas erkannt und gelöscht wurde...hab auh schon mit formatieren/neu partitionieren und neuem Sytem versucht,doch die Probleme bleiben.Ich kann jetzt nicht mal mehr Treiber für die Netzwerkkarte oder Grafikkarte installieren,,,,bitte um Hilfe!!!! |
hmm also ich habe in der tat den kompletten rechner plattgemacht. da ich leider keine möglichkeit gefunden habe, das ding von den infizierten festplatten zu entfernen habe ich auch diese entsorgen müssen. wenn jemand weiß wer das ding programmiert hat dann wäre es nett, wenn ihr mir die adresse schicken könntet. liebe grüße |
HALLO NOCHMALS!! schade Rockmachine dass du so schnell aufgegeben hast, ich habe es endlich unter folgender Anleitung geschafft die Plagegeister loszuwerden. http://www.edmartechguide.com/2007/11/funny-ust-scandal-aviexe-remover.html (einige behaupten der Herausgeber wäre selber der Viren-Programmierer--haha,,mir egal...) Nachdem ich mit dem Taskkiler die gefakten smss.exe,autorun.inf und isass.exe gekillt habe,musste ich jede einzelne Partition manuell von autorun.inf und smss.exe über CMD reinigen.Dann habe ich noch paar Registry Einträge gelöscht.Man kann auch Sicherheitsvorkehrungen treffen damit diese autorun.inf niemehr automatisch ausgeführt wird(registry eintrag)... mir hats geholfen,kann endlich wieder Sachen installieren etc.. hoffe es hilft euch auch... mfG AO |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board