[hi] - Trojaner?

xeed · 3. Februar 2011

Heyho,

kann jemand damit was anfangen?

Beim Versuch zu Beenden verändert das Teil seinen Namen. Dannach verschwindet der Prozess. HiJackThis gibt nix dazu aus. Avira findet nichts.

Ideen?

SubNatural · 3. Februar 2011

Lad die Datei mal bei http://www.virustotal.com/ hoch und guck.
Normal ist SMSS.exe das Session Manager Subsystem

Aemix · 3. Februar 2011

die frage ist ob er die datei auch findet.
Virusscan schon gemacht??

ReignInBlo0d · 3. Februar 2011

@ Aemix:

Avira findet nichts.

dass die Datei von selbst den Namen ändert, ist schonmal ungewöhnlich. So manche Malware tut dies auch. Möchte aber keine voreiligen Schlüsse ziehen, würde auch den Upload auf Virustotal empfehlen. Ergebnis bitte hier posten.

xeed · 3. Februar 2011

wenn ich wüsste wie sie heisst würd ich sie prüfen lassen.

beim abfragen woher der prozess ist kommt nix, der prozess verschwindet, das infofenster bleibt leer.

"|Hî*" find ich nix.

Boogeyman · 3. Februar 2011

Besorge dir mal den Prozess Explorer, ev. kannst du damit besser arbeiten. Wenn der Prozess dort auftaucht, einfach doppel klicken und du kannst die Pfade sehen.

https://www.computerbase.de/downloads/systemtools/process-explorer/

Bei Vista/Sieben das Teil mit Rechtsklick "Als Administrator ausführen" starten.

xeed · 3. Februar 2011

wird er nicht. auch der smss wird nur 1 mal angezeigt.

so nennt sich das ding um wenn ich drauf zugreifen will

virustotal findet in allen 3 smss.exe nix. darum gehts aber auch garnich, sondern um das teil ganz unten.

los helft mir mal das ding muss runter. der rechner lahmt wie sau.

Boogeyman · 3. Februar 2011

wird er nicht. auch der smss wird nur 1 mal angezeigt.

Wie jetzt? Du solltest schon etwas mehr Informationen geben, was du machst. Die Glaskugeln sind gerade alle beim putzen.
Sonst sind dein Informationen recht dürftig:

Keine Informationen zum Betriebssystem (Patchstand, Service Pack usw.)
Welche Software zeigt die Infos an
Seit wann tritt das Problem auf (dubiose Datei aus dem Netz geladen und ausgeführt usw.)
Was wurde schon unternommen

Aemix · 3. Februar 2011

lahmt wie die sau? Ich dachte das diese datei hermlos ist und jetzt ist dein pc lahn???
schon mal im abgesicherten modus probiert etwas zu erkennen?

Amischos · 3. Februar 2011

Er meint den letzten Eintrag in seinem Screenshot.

xeed · 3. Februar 2011

xp sp3 letztes update vor 8 tagen.

die software steht im screenshot - > trojancheck. ist auch die einzige die das teil anzeigt. ansonsten hab ich das gefühl, das jede aktion auf dem rechner aufgezeichnet wird.

dubiose dateien keine soweit ich weiss, ich leg wert auf sicherheit...daher auch noscript, adblock, flashblock, comodo firewall auf paranoid, defense+, sandbox, nur programme die wirklich zugriff brauchen kommen raus. avira free als av...

unternommen wurde eigentlich nix, bis auf die tatsache, das ich schonmal den scheinbaren übeltäter gefunden hab.

nun geht es darum, ihn zu entlarven, damit ich ihn entfernen kann.

bisher schonma danke für eure hilfe

Ergänzung (3. Februar 2011)

und hier mal was kommt wenn ich ding beenden will

btw ich hab admin rechte.

Aemix · 3. Februar 2011

naja sowas kann sich ja auch nur bei xp einschleichen.

ich sehe hier nicht wirklich eine möglichkeit diese datei zu löschen.

Ich würde mir den ganzen aufwand sparen und gleich xp nochmal draufspielen, da du genau weisst das du installiert und welche programme du benötigt wäre das natürlich auch eine alternative.

so würde es ewig dauern "ihn zu entlarven", falls du es doch schaffst geb ich einen aus..

xeed · 3. Februar 2011

du sagst es..."nochmal aufspielen"...das sys ist 3 wochen alt.

ne da muss noch was gehen ...

Aemix · 3. Februar 2011

du sagst es..."nochmal aufspielen"...das sys ist 3 wochen alt.

ja gerade deswegen. Aber ist natürlich deine entscheidung, für mich wäre das ein zu grosser aufwend nach so einer kleinen unscheinbaren datei zu suchen.

oder du ignorierst sie einfach.

sry dass ich dir nicht viel mehr helfen kann

gruss Aemix

xeed · 3. Februar 2011

ok also ich konnte ermitteln das das teil durch den wmi leistungsadapter gestartet wird...nur ist dieser dienst bei mir ausgeschalten.

wie geht das?

Scheinweltname · 4. Februar 2011

PID (Process ID) "4" ist meines Wissens für den Prozess "System" reserviert. Den kann niemand killen; auch nicht mit Admin-Rechten.

Ich würde mal mit HighjackThis und AutoRuns gucken, ob sich da etwas mit einem komischen Zeichensatz im Systemstart eingenistet hat. Und ansonsonsten würde ich mir mit dem ProcessExplorer (als Admin ausgeführt) ein paar mehr Details über den Prozess beschaffen.

Edit: Wie hast du herausgefunden, dass der Prozess mit dem Leistungsadapter zusammenhängt? Guck doch mal in den Abhängigkeiten der Dienste, ob da irgendwas mitgestartet wird.

P.S. Handelt es sich um einen Rechner/ Laptop, der mit den ganzen Hersteller-Programmen zugemüllt ist, oder ists ein selbst aufgesetzter? Falls ersteres, würde ich irgendeins der vorinstallierten Programme verantwortlich machen. Denn die Namen für die Prozesse sehen für mich sehr nach Zeichensatz-Fehlern aus. Vielleicht läuft da irgendein Prozess, den es nur auf chinesich oder so gibt, und mit dem deine Windows-Zeichendarstellung nicht ganz klarkommt.

xeed · 4. Februar 2011

hi der ist selbst aufgesetzt und eigentlich auch sauber, wie man an der hijackthis erkennen kann.

herausgefunden hab ich das durch comodo...reset gemacht, und nach und nach zugriffe gegeben. erst nach dem start des WMI kam dieser prozess im trojancheck zum vorschein.

auf nem anderen forum hab ich gelesen, das dies ein auslesefehler des "system" prozesses ist. trotzdem ist mir das sehr schleierhaft...wieso verändert der 2 mal seinen namen.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:56:44, on 04.02.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\Ma44ePan.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\VMware\VMware Player\hqtray.exe
C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\ATITool\ATITool.exe
C:\Programme\MirandaFusion\miranda32.exe
C:\Programme\Adobe\Adobe Dreamweaver CS5\Dreamweaver.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\procexp.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\Mozilla Firefox 4.0 Beta 9\firefox.exe
D:\Downloads\HiJackThis204.exe

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Ma44ePan.exe] Ma44ePan.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 4650 bytes

wie krieg ich denn diesen WMI-spass komplett raus? der prozess läuft, obwohl er deaktiviert ist

Scheinweltname · 4. Februar 2011

xeed schrieb:
wie krieg ich denn diesen WMI-spass komplett raus? der prozess läuft, obwohl er deaktiviert ist

Welchen Prozess meinst du genau? Manche WMI-Prozesse kriegst du nicht tot und solltest es auch nicht. Bei mir startet z.B. bei Wechseldatenträgern automatisch immer auch "WmiPrvSE.exe"; weiß gar nicht, ob das notwendig ist (bzw. was die macht). Starten bei dir vielleicht Wechselmedien wie USB-Sticks oder -Festplatten mit?

Und ich sehe, dass du TuneUpUtilities benutzt: Damit kann man auch viel kaputt machen. Könnte mir gut vorstellen, dass man damit etwas einstellen kann, das dann diese Anzeigeprobleme beim Prozessnamen verursacht.

Wobei: Dieses TrojanCheck 6 ist das einzige Programm, dass diesen verqueren Prozessnamen anzeigt? Vielleicht liegt es einfach an dem Programm

Such mal die "PID" des laufenden Prozesses und guck im ProcessExplorer, ob du die auch da findest ... da müsste dann ja der "richtige" Name stehen.

D&G · 4. Februar 2011

Schaut sehr nach Virus aus!

[hi] - Trojaner?

Lieutenant

Anhänge

Commander

Lt. Commander

Commander

Lieutenant

Vice Admiral

Lieutenant

Anhänge

Vice Admiral

Lt. Commander

Lieutenant

Lieutenant

Anhänge

Lt. Commander

Lieutenant

Lt. Commander

Lieutenant

Lt. Commander

Lieutenant

Lt. Commander

Banned

Ähnliche Themen