Trojaner gefunden,per Hand löschen?

[Bad_BoySK]

Trojaner gefunden,per Hand löschen?

Hi!

Ich habe seit kurzem eine Datei am laufen die SMSSsl.exe heißt , diese Datei belastet meinen Arbeitsspeicher mit ca. 30Mb. Ich versuchte sie mit einem Virenscanner zu löschen jedoch nichts. Ich suchte die Datei und fand sie auch im Windows Ordner. --Also Task beendet, Datei gelöscht... und plötzlich konnte ich keine Anwendungnen mehr starten.

Was kann ich tun??

 

[cryer]

AW: Trojaner gefunden,per Hand löschen?

Hi!

Ich habe seit kurzem eine Datei am laufen die SMSSsl.exe heißt , diese Datei belastet meinen Arbeitsspeicher mit ca. 30Mb. Ich versuchte sie mit einem Virenscanner zu löschen jedoch nichts. Ich suchte die Datei und fand sie auch im Windows Ordner. --Also Task beendet, Datei gelöscht... und plötzlich konnte ich keine Anwendungnen mehr starten.

Was kann ich tun??

http://www.neuber.com/taskmanager/deutsch/prozess/smss.exe.html

War deine Datei somit in Windows/System32 Ordner, hast du eine Win Datei gelöscht und keinen Trojaner und das würde deine Probleme nun erklären.
Eine Korrekturmöglichkeit habe ich Online aber bisher nicht gefunden.

Für den SMSSsl Wurm findest was unter

http://www.sophos.de/virusinfo/analyses/w32agobotzj.html
Bitte folgen Sie den Hinweisen zum Entfernen von Würmern.

Ändern Sie alle Daten, die möglicherweise gestohlen wurden.
Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Bitte lesen Sie die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Config Manager
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\System Config Manager
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.

 

[Bad_BoySK]

AW: Trojaner gefunden,per Hand löschen?

Hi!

Ich habe seit kurzem eine Datei am laufen die SMSSsl.exe heißt , diese Datei belastet meinen Arbeitsspeicher mit ca. 30Mb. Ich versuchte sie mit einem Virenscanner zu löschen jedoch nichts. Ich suchte die Datei und fand sie auch im Windows Ordner. --Also Task beendet, Datei gelöscht... und plötzlich konnte ich keine Anwendungnen mehr starten.

Was kann ich tun??

http://www.neuber.com/taskmanager/deutsch/prozess/smss.exe.html

War deine Datei somit in Windows/System32 Ordner, hast du eine Win Datei gelöscht und keinen Trojaner und das würde deine Probleme nun erklären.
Eine Korrekturmöglichkeit habe ich Online aber bisher nicht gefunden.

Für den SMSSsl Wurm findest was unter

http://www.sophos.de/virusinfo/analyses/w32agobotzj.html
Bitte folgen Sie den Hinweisen zum Entfernen von Würmern.

Ändern Sie alle Daten, die möglicherweise gestohlen wurden.
Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Bitte lesen Sie die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Config Manager
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\System Config Manager
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.

Es handelt sich bei der Datei um keine Windows-Datei, während dessen wurde meine Registry deaktiviert.

Mit TuneUp Utilitys habe ich mehrere Einträge in der Reg gefunden die mein regedit "disablen" machen. Naja alle Schlüssel gelöscht und nach 5 Min waren die wieder da!

Hab es schon mit Hjackers verwsucht und mit Antispy, keine Hoffnung.. Ich habe auch versucht per Registry Clean das Problem zu beheben.
Sandra Search&Destroy wurde auch benutzt.

Ich weiß nicht mehr weiter!!!

EDIT:

Währenddessen hier mal meine HiJackThis Datei....

Logfile of HijackThis v1.97.7
Scan saved at 20:09:18, on 09.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
E:\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
E:\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\Programme\Siemens Data Suite SX1\SDS\SPhoneObserver.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\SMSSsl.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
[b[F0 - system.ini: Shell=Explorer.exe SMSSsl.exe
F2 - REG:system.ini: Shell=Explorer.exe SMSSsl.exe[/b]
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\SMSSsl.exe
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093193506733
O17 - HKLM\System\CCS\Services\Tcpip\..\{E86733AD-7C1A-447D-9B5B-9BC55C593439}: NameServer = 217.237.151.161 217.237.151.33

Diese Einträge habe ich schon versucht zu fixen, jedoch tauchen sie nach ca. 1min wieder auf.

 

[Nightelf]

AW: Trojaner gefunden,per Hand löschen?

Wie wäre es, wenn du dir eine aktuellere Version von HijackThis ziehst? Klick mich.

 

[Bad_BoySK]

AW: Trojaner gefunden,per Hand löschen?

Wie wäre es, wenn du dir eine aktuellere Version von HijackThis ziehst? Klick mich.

Ok Problem mit Smsssl.exe gelöst! RegEdit funktioniert wieder, Aber....


Nun kann ich keine ANwendungen mehr starten. Hier die fehlermeldung:

"C:\X\XX\XX" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.

Hm....

Dateien kann ich jetzt nur noch aufrufen, wenn ich auf eine Datei mit der Rechten Maustaste klicke, dann auf "Ausführen als..." anschließend das Häckchen bei "Computer und Daten vor nicht autorisierter Programmaktivität schützen" wegmache.

Verdammt Hilfe!

 

[Nightelf]

AW: Trojaner gefunden,per Hand löschen?

Hab' mal ein wenig gegooglet, aber das einzig Brauchbare, was ich gefunden habe, war:
Lies mich.

 

[Bad_BoySK]

AW: Trojaner gefunden,per Hand löschen?

Hab' mal ein wenig gegooglet, aber das einzig Brauchbare, was ich gefunden habe, war:
Lies mich.

Danke schön!! Ich werde es mal ausprobieren.... Situation ist ein bissien aussichtslos... ...EDIT: Klapp net!!


eigentlich habe ich ja keine Windows relevanten Dateien gelöscht, da ich ja Anwendungen eigentlich alle Starten kann[nur net mit dem direkten Weg...]

 

[Bad_BoySK]

AW: Trojaner gefunden,per Hand löschen?

Hab' mal ein wenig gegooglet, aber das einzig Brauchbare, was ich gefunden habe, war:
Lies mich.

Danke schön!! Ich werde es mal ausprobieren.... Situation ist ein bissien aussichtslos... ...EDIT: Klapp net!!


eigentlich habe ich ja keine Windows relevanten Dateien gelöscht, da ich ja Anwendungen eigentlich alle Starten kann[nur net mit dem direkten Weg...]

Kann mir jemand net weiter helfen!!

 

[Seashore]

AW: Trojaner gefunden,per Hand löschen?

Ich vermute mal folgendes: Dein "Untermieter" hat die Registry-Keys dahingehend manipuliert, daß Windows nun denkt, es müsse Anwendungsdaten (also .exe, .com usf.) mit Hilfe des Trojaners starten. Wahrscheinlich hast du die Datei mit dem Trojaner jedoch gelöscht, und infolgedessen kann Windows keine Anwendungen mehr starten, weil es das "dazu benötigte Programm" nicht findet.

Schau mal in den folgenden Registry-Keys nach:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

Steht dort jeweils unter dem Schlüssel "Standard" nur der folgende Wert oder noch etwas anderes?
%1" %*

 

[Bad_BoySK]

AW: Trojaner gefunden,per Hand löschen?

Ich vermute mal folgendes: Dein "Untermieter" hat die Registry-Keys dahingehend manipuliert, daß Windows nun denkt, es müsse Anwendungsdaten (also .exe, .com usf.) mit Hilfe des Trojaners starten. Wahrscheinlich hast du die Datei mit dem Trojaner jedoch gelöscht, und infolgedessen kann Windows keine Anwendungen mehr starten, weil es das "dazu benötigte Programm" nicht findet.

Schau mal in den folgenden Registry-Keys nach:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

Steht dort jeweils unter dem Schlüssel "Standard" nur der folgende Wert oder noch etwas anderes?
%1" %*

Hey Perfekt! Du hast es raus wie es scheint!!

So zunächst steht bei dem HKEY_CLASSES_ROOT bzw. in Command ein Pfad. Der zu der Datei führt die ich gelöscht habe....und erst danach die von dir ange. Zeichen.

Bei HKEY_LOCAL_MACHINE bzw. Command das selbe!

Soll ich jetzt den Pfad einfach löschen? und die Zeichen beibehalten?

 

[Bad_BoySK]

AW: Trojaner gefunden,per Hand löschen?

Ich vermute mal folgendes: Dein "Untermieter" hat die Registry-Keys dahingehend manipuliert, daß Windows nun denkt, es müsse Anwendungsdaten (also .exe, .com usf.) mit Hilfe des Trojaners starten. Wahrscheinlich hast du die Datei mit dem Trojaner jedoch gelöscht, und infolgedessen kann Windows keine Anwendungen mehr starten, weil es das "dazu benötigte Programm" nicht findet.

Schau mal in den folgenden Registry-Keys nach:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

Steht dort jeweils unter dem Schlüssel "Standard" nur der folgende Wert oder noch etwas anderes?
%1" %*

Hey Perfekt! Du hast es raus wie es scheint!!

So zunächst steht bei dem HKEY_CLASSES_ROOT bzw. in Command ein Pfad. Der zu der Datei führt die ich gelöscht habe....und erst danach die von dir ange. Zeichen.

Bei HKEY_LOCAL_MACHINE bzw. Command das selbe!

Soll ich jetzt den Pfad einfach löschen? und die Zeichen beibehalten?

DANKE FUNKTIONIERT ALLES WIEDER!!!