Ergebnis 1 bis 5 von 5
  1. #1
    Social Engineering Profi. Avatar von treibius
    Registriert seit
    25.06.2009
    Beiträge
    132

    Standard Hilfe infiziert

    Hallo ich hab mir einen Wurm eingefangen denke ich beim Computer Start kommt direkt eine Fehlermeldung das ich mir etwas runterladen soll.
    Alle Exe Dateien wurden anfangs geblockt.
    Habe geguckt und denke es ist eine Datei mit dem namen smss.exe
    hier ist der Virus-total log von der Datei






    Ich benutze Windows 7 wenn jemand hilfe weiß hab mit Tcp viewer schon drübergeschaut und hatte ne verbindung zu mamapapalol.com
    deswegen denke ich das ich infiziert bin.
    Schonmal Danke für eure Hilfe
    Treibius
    Gebeugt erst zeigt der Bogen seine Kraft.
    Franz Grillparzer

  2. #2
    Ohnung :> Avatar von Sk3let0r
    Registriert seit
    30.08.2007
    Beiträge
    290

    Standard

    Denke weniger, dass es die smss.exe ist. Die gehört nämlich zu Windows..
    Haste mal in deinen Autostart geguckt? Adde mich am besten bei ICQ, da kann ich dir am besten weiterhelfen
    ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

  3. #3
    CIH-Virus Avatar von Runner
    Registriert seit
    23.12.2008
    Beiträge
    488

    Standard

    ja hatte ich auch schon mal,
    allerdings tarnen die meister hacker den prozess als trojaner etc...
    mfg Runner
    Geändert von Runner (06.05.2010 um 23:28 Uhr) Grund: edit

  4. #4
    W32.Lovgate
    Registriert seit
    05.11.2008
    Beiträge
    367

    Standard

    Wenn die in diesem Verzeichnis liegt, gehört sie echt zum Windows :

    C:\WINDOWS\System32\smss.exe

    Kann zwar sein das sich die Malware an den Process ranhängt, aber versuch doch mal rauszukriegen welche .exe die verbindung aufbaut, mit dem CMD Befehl:

    netstat -b

    Wenn du eh schon infiziert bist und dich jetzt nicht noch zwischendurch z.b. bei Paypal oder so eingelogged hast, isses auch egal und du kannst die .exe (wenn du denn weisst welches es war) nochmal (oder in einer VM) ausführen um zu sehen welches Program die verbindung zu mamapapalol.com aufbaut.

    Ich würde dir auch den Process Explorer emfehlen, aber den hast du ja bestimmt auch schon wenn du TCPview benutzt.

    Wenn du genau weisst welche Datei für die verbindung varantwortlich ist, kann man die Datei nochmal Analyzieren (hast du ja schon) und die ergebnisse abgoogeln und mit deiner Registry vergleichen. So kannst du den auch Manuell beseitigen, alle entsprechenden regkeys und dazugehörenden Dateien löschen.

    Das war der umständliche Weg, der leichtere wäre wohl einfach die wichtigsten sachen zu sichern und das system einmal komplet neu auf zu setzen oder ein Backup wiedereinspielen
    Geändert von Freak1936 (07.05.2010 um 00:10 Uhr)

  5. #5
    Social Engineering Profi. Avatar von treibius
    Registriert seit
    25.06.2009
    Beiträge
    132

    Standard

    schonmal danke für die antworten gibts vlt noch andere möglichkeiten oder könnte mir das einer über team viewer machen weil ich bin verzweifelt....
    Gebeugt erst zeigt der Bogen seine Kraft.
    Franz Grillparzer

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •