[Jogges]

Hi

Ich hab das blöde Gefühl das ich mir nen Trojaner eingefangen hab. Ich hab so Sachen wie IEXPPS.EXE Isass.exe oder smss.exe in Meinem Taskmanager unter Prozesse. hab hier mal noch nen hijack logfile: (Ich hab 2 dieser Prozesse allerdings schon vorher im Taskmanager beendet, falls das wichtig ist)

Logfile of HijackThis v1.98.0
Scan saved at 00:17:08, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\F-Prot\F-StopW.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Progs usw - Sicherung\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-StopW] D:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe



Hab schon diverse Programme wie CWshredder usw. probiert, hat aber nix gebracht.

Wär cool wenn mir jemand helfen könnte. Thx

[xxfaxexx]

Servus,

lasse mal alles an, scanne dann mit HijackThis gehe und save die log. Dann gehst du "Hier" her und öffnest die log(selber Ordner wie die Exe) und gehst auf auswerten. Dort siehst du dann was gut ist und was nicht bzw. was du nicht unbedingt brauchst und so.

Ps:
1. Der Prozess lexpps.exe ermöglicht es Ihnen Drucker der Firma "Lexmark" gemeinasam in einem Netzwerk zu nutzen.

2. Isass.exe, gib mal die genau schriebeweise an (isass.exe oder Lsass.exe)

3. smss.exe, handelt es sich um den Sitzungsmanager (Session Manager) von Windows NT/W2K/XP. smss.exe wird direkt vom Systemprozess gestartet und kontrolliert jeweils eine Usersitzung. Zusätzlich lädt der Prozess für jeden User die gewohnte Systemumgebung.

Wichtig: Die Datei "smss.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei smss.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager.

Cui Faxe

Dieser Beitrag wurde von xxfaxexx bearbeitet: 12. August 2004 - 00:48

[Jogges]

Erstmal Danke.

Ich hab mir am meisten wegen diesem IEXPPS sorgen gemacht, denn als ich diesen bergiff in Google eingab kam nur ein Ergebnis: Eine italienische Seite wo dick "Trojan Horse" drüberstand. Darum machte ich mir halt sorgen. Auserdem war ich es nicht gewohnt so viel Zeugs in meiner Prozessliste zu finden.
Zu 2: Der Prozess heiss Issas.exe
Zu 3 das passt

das mit hijack this werd ich auch noch machen, wobei ich jetzt doch wieder glaub, das mein System ok ist. Mich würde aber noch interessieren ob der Prozess LXSUPMON.EXE okey ist, bzw. was er macht. Falls das jemand bzw. du weiß/t.

Auf jedenfall dickes Danke & Greez

[Strider]

LXSUPMON.EXE

Lexmark Status Update Monitor. System Tray icon which enables you to monitor your Lexmark inkjet printer (ink cartridge level, nozzle checks, head cleaning, print progress, etc...).

nicht gefährlich, aber überflüssig

Zitat

Darum machte ich mir halt sorgen. Auserdem war ich es nicht gewohnt so viel Zeugs in meiner Prozessliste zu finden.

ist ja auch viel überflüssiges dabei, aber das soll dich nicht stören da wie gesagt ungefährlich

[simosteff]

Hallo,

ich habe " ewido security suite" installiert. Bin ganz zufrieden damit. Versuch es mal damit.

http://www.ewido.net...ection=download

[xxfaxexx]

Zitat (Jogges: 12.08.2004, 10:43)

Erstmal Danke.

Ich hab mir am meisten wegen diesem IEXPPS sorgen gemacht, denn als ich diesen bergiff in Google eingab kam nur ein Ergebnis: Eine italienische Seite wo dick "Trojan Horse" drüberstand. Darum machte ich mir halt sorgen. Auserdem war ich es nicht gewohnt so viel Zeugs in meiner Prozessliste zu finden.
Zu 2: Der Prozess heiss Issas.exe
Zu 3 das passt

das mit hijack this werd ich auch noch machen, wobei ich jetzt doch wieder glaub, das mein System ok ist. Mich würde aber noch interessieren ob der Prozess LXSUPMON.EXE okey ist, bzw. was er macht. Falls das jemand bzw. du weiß/t.

Auf jedenfall dickes Danke & Greez

Servus,

Wenn bei Dir der Prozess Isass.exe mit einem großen i geschrieben wird, dann ist es ein Wurm (Sasser oder so). Wird dieser Prozess aber mit einem kleinem L geschrieben gehört es zu Windows.

Nimm am besten diesen Prozess und kopiere ihn ins "WordPad" danach ändere die Schriftart auf "Times New Roman" (siehe Bild).

Einfache wäre es aber wenn du auf diese Seite "Hier" gehst und deine hijackthis.log dort einfügst. Diese Seite erkennt automatisch die unterschiedlichen Schreibweisen

Cui Faxe

Dieser Beitrag wurde von xxfaxexx bearbeitet: 13. August 2004 - 08:23

[Strider]

man sieht doch klar anhand des logs dass es sich um nen "l" handelt, also kleiner L

[xxfaxexx]

Zitat (Strider: 12.08.2004, 13:56)

man sieht doch klar anhand des logs dass es sich um nen "l" handelt, also kleiner L 

Servus,

wenn er im Editor aber die Schrift "Arial" hat sieht er da keinen Unterschied. Deswegen liebe auf Nummer sicher gehn.

Cui Faxe

edit von Strider: du kannst es doch hier im board selber sehen, nicht ?

[netwolf]

Als Sofortmassnahme würd ich mal Stinger drüberlaufen lassen, nur um sicherzugehen dass du keinen der aktuellen Würmer hast.

Dann als nächstes Pestpatrol und Ad-Aware.
Danach nochmal hijackthis-log ansehen (oder posten).
Weiss nicht wie gut F-Prot ist (ich gehe davon aus dass du die aktuellsten Signaturen verwendest), würde aber trotzdem mal die Test-Version von Kaspersky installieren und das ganze System gründlich (schärfste Einstellung) scannen.

Und schliesslich - dies ist der wichtigste, aber auch aufwändigste Punkt - mir Gedanken darüber machen wie so etwas passieren hat können und Massnahmen setzen das in Zukunft zu vermeiden.

Du wirst nicht umhin kommen, dich ein wenig mit dem Thema Computer-/Internet-Sicherheit auseinanderzusetzen, es gibt aber sehr viele hilfreiche threads hier.
Vielleicht wirst du auch den IE gegen einen weniger unsicheren browser tauschen müssen, wofür du allerdings mit einer Fülle neuer features belohnt wirst, egal was du nimmst (tabbed browsing, mouse gestures...)
Du wirst also sicher mehr als genug Infos und Unterstützung finden.
(sofern du lernwillig bist und dir nicht alles vorkauen lässt, sondern auch mal von dir aus die Boardsuche verwendest... )

Dieser Beitrag wurde von netwolf bearbeitet: 12. August 2004 - 13:16

[Jogges]

Greez

So erstmal Danke an alle.
Das lustige ist das der scheiß völlig umsonst war. Ich machte mir ja nur wegen diesem IEXPPS sorgen aber da ich weiß das "gut" ist is ja alles Banane. Mit F-Prot bin ich bis jetzt zufrieden und ich hab ja noch so Sachen wie S&D Adaware oder die Firewall.
Und da es jetzt diese hijack this Automatik auswertung gibt bringt mir dieses programme nun wahrscheinlich auch mehr. Nur können die ganzen Dinger halt auch nix machen wenn garnix falsch is.

Also Danke nochmal an alle!

[immerreggen]

Zitat (xxfaxexx: 12.08.2004, 12:51)

Wenn bei Dir der Prozess Issas.exe mit einem großen i geschrieben wird, dann ist es ein Wurm (Sasser oder so). Wird dieser Prozess aber mit einem kleinem L geschrieben gehört es zu Windows.

in diesem (deinem) fall ist doch auch was faul.. da es doch eigentlich "LSASS.EXE" heisst und nicht "LSSAS.EXE"- oder hast du dich nun vertippselt ?

[xxfaxexx]

Servus,

jo da habe ich mich verschrieben, eine natürlich LSASS.EXE. Habe es oben im Text schon geändert. Danke für den Tipp @immerreggen .

Cui Faxe