Hallo ich hab mir einen Wurm eingefangen denke ich beim Computer Start kommt direkt eine Fehlermeldung das ich mir etwas runterladen soll.
Alle Exe Dateien wurden anfangs geblockt.
Habe geguckt und denke es ist eine Datei mit dem namen smss.exe
hier ist der Virus-total log von der Datei



Antivirus Version letzte aktualisierung Ergebnis a-squared4.5.0.502010.05.06-AhnLab-V32010.05.07.002010.05.06-AntiVir8.2.1.2362010.05.06TR/FakeAV.45056Antiy-AVL2.0.3.72010.05.06-Authentium5.2.0.52010.05.06-Avast4.8.1351.02010.05.06-Avast55.0.332.02010.05.06-AVG9.0.0.7872010.05.06-BitDefender7.22010.05.06-CAT-QuickHeal10.002010.05.04-ClamAV0.96.0.3-git2010.05.06-Comodo47822010.05.06Heur.SuspiciousDrWeb5.0.2.0330 02010.05.06-eSafe7.0.17.02010.05.06-eTrust-Vet35.2.74722010.05.06-F-Prot4.5.1.852010.05.06-F-Secure9.0.15370.02010.05.06Suspicious:W32/Malware!GeminiFortinet4.0.14.02010.05.05-GData212010.05.06-IkarusT3.1.1.84.02010.05.06-Jiangmin13.0.9002010.05.06-Kaspersky7.0.0.1252010.05.06-McAfee5.400.0.11582010.05.06-McAfee-GW-Edition2010.12010.05.06-Microsoft1.57032010.05.06-NOD3250922010.05.06-Norman6.04.122010.05.06-nProtect2010-05-06.022010.05.06-Panda10.0.2.72010.05.06-PCTools7.0.3.52010.05.06-Prevx3.02010.05.06High Risk Fraudulent Security ProgramRising22.46.03.042010.05.06-Sophos4.53.02010.05.06Mal/EncPk-NSSunbelt62712010.05.06-Symantec20091.2.0.412010.05.06-TheHacker6.5.2.0.2772010.05.06-TrendMicro9.120.0.10042010.05.06PAK_Generic.001Tre ndMicro-HouseCall9.120.0.10042010.05.06-VBA323.12.12.42010.05.06-ViRobot2010.5.6.23042010.05.06-VirusBuster5.0.27.02010.05.06- weitere Informationen File size: 44544 bytesMD5...: db41868587c95a01aaa2f1b254f37c88SHA1..: 8f0efbb2b8a3abfde32076000995d42bb80ebc38SHA256: bd9c812e5fd177cb502f25265115c6752edca4295e3ef9e13e 60fdc36905581essdeep: 768:dBYFvsPzboLlriC1JWOTFkaP4mrDnnD3gRbcixa4i5YtyI ++hj:d6tsPzkpr
i2acFjwRFxlXtyIZt
PEiD..: -PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1b5e0
timedatestamp.....: 0x483c5422 (Tue May 27 18:34:10 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x12000 0xa000 0x9800 7.85 b2ae3d75e72a768d6d814153aeffbec0
UPX2 0x1c000 0x1000 0x200 3.89 97a34d0a9dd3a451947b3a825f61c1ee

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: AddAce
> ole32.dll: OleRun
> oleaut32.dll: VariantInit
> RPCRT4.dll: NdrOleFree
> USER32.dll: GetDC
> VERSION.dll: VerFindFileW

( 0 exports )
RDS...: NSRL Reference Data Set
-trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch.UPX, UPXpdfid.: -Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=7110245600196098AE5E00ACA CFEC400A2CDD2E8' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=7110245600196098AE5E00ACA CFEC400A2CDD2E8</a>packers (F-Prot): UPX


Ich benutze Windows 7 wenn jemand hilfe weiß hab mit Tcp viewer schon drübergeschaut und hatte ne verbindung zu mamapapalol.com
deswegen denke ich das ich infiziert bin.
Schonmal Danke für eure Hilfe
Treibius

Denke weniger, dass es die smss.exe ist. Die gehört nämlich zu Windows..
Haste mal in deinen Autostart geguckt? Adde mich am besten bei ICQ, da kann ich dir am besten weiterhelfen ;)

ja hatte ich auch schon mal,
allerdings tarnen die meister hacker den prozess als trojaner etc...
mfg Runner

Wenn die in diesem Verzeichnis liegt, gehört sie echt zum Windows :

C:\WINDOWS\System32\smss.exe

Kann zwar sein das sich die Malware an den Process ranhängt, aber versuch doch mal rauszukriegen welche .exe die verbindung aufbaut, mit dem CMD Befehl:

netstat -b

Wenn du eh schon infiziert bist und dich jetzt nicht noch zwischendurch z.b. bei Paypal oder so eingelogged hast, isses auch egal und du kannst die .exe (wenn du denn weisst welches es war) nochmal (oder in einer VM) ausführen um zu sehen welches Program die verbindung zu mamapapalol.com aufbaut.

Ich würde dir auch den Process Explorer (http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx) emfehlen, aber den hast du ja bestimmt auch schon wenn du TCPview benutzt.

Wenn du genau weisst welche Datei für die verbindung varantwortlich ist, kann man die Datei nochmal Analyzieren (hast du ja schon) und die ergebnisse abgoogeln und mit deiner Registry vergleichen. So kannst du den auch Manuell beseitigen, alle entsprechenden regkeys und dazugehörenden Dateien löschen.

Das war der umständliche Weg, der leichtere wäre wohl einfach die wichtigsten sachen zu sichern und das system einmal komplet neu auf zu setzen oder ein Backup wiedereinspielen ;)

schonmal danke für die antworten gibts vlt noch andere möglichkeiten oder könnte mir das einer über team viewer machen weil ich bin verzweifelt....