[Aquanus]

Hi, erstmal meine Konfiguration...
Ad Aware mit neuesten Update
AVG Free mit neuesten Update
Kerio Personal Firewall mit neuesten Update

Mein kleiner Bruder hatte im Internet ein kleines Tool runtergeladen und installiert.
Danach habe ich festgestellt dass mein System und smss Prozess Zugriff aufs Internet haben wollen und das mein System aller 2-3 Minuten hängt, sprich es lassen sich keine neuen Prozesse mehr öffnen, die bereits geöffneten Prozesse funktionieren aber noch einwandfrei. Außerdem beendet sich von alleine ziemlich oft die DFÜ Verbindung.
Ich hatte AVG + Ad Aware durchlaufen lassen... Resultat=nichts
Jetzt hatte ich hier im Forum mal rumgestöbert und hab das Tool Hijack gefunden.
Daraufhin durchlaufenlassen und Onlineauswertung der Logfile und bin auf folgendes gestoßen...:

Laufender Prozess. (svchost.exe)
Prozess läuft nicht im System32 Ordner!

Laufender Prozess. (smss.exe)
Prozess läuft nicht im System32 Ordner!

Laufender Prozess. (csrss.exe)
Prozess läuft nicht im System32 Ordner!

Ich poste hier auch nochmal die betreffende Logfile Zeile...

Running processes:
C:\WINDOWS\AppPatch\Patches32\svchost.exe
C:\WINDOWS\AppPatch\Patches32\smss.exe
C:\WINDOWS\AppPatch\Patches32\csrss.exe

Aber wenn ich das mit AVG scanne, findet der immer noch nichts...
Ich bin in den Ordner reingegangen und hab ein paar Stapelverarbeitungsdateien gefunden.
In den Stand drinnen: Standartfreigaben erstellen (C$,D$, usw.)
Die können ja nicht gestartet werden da ich die Dateifreigabe komplett deaktiviert habe ( bei Netzwerken)

Jetzt habe ich aber noch die andere bat Datei...

---------------
edit von rehleinkiller: Code gelöscht - Wir wollen doch hier keine Anleitung zum Virenbasteln verbreiten!
---------------

Und das sieht ja richtig böse aus...
Wenn ich das richtig verstehe, werden da die Benutzerregeln (max. Passwordlänge usw.)
geändert.

Auch wenn das hier mal ein schwierigeres Problem ist, würde ich mich freuen wenn ich schnell Hilfe bekommen würde.
mfg Aquanus

Dieser Beitrag wurde von rehleinkiller bearbeitet: 27. Februar 2006 - 10:21

[blue32]

Hi und willkommen im Forum,

bei solchen Symptomen/Befall ist bei mir immer die Schwelle ueberschritten, an der ich das System neu installieren wuerde. Aber warte mal noch ein paar Anworten ab, es gibt bei solchen Sachen immer verschiedene Meinungen. Als Uebersicht ueber die Stickies kann ich dir diese Seite empfehlen und davon fuer dein spezielles Problem diesen Sticky.

Als Ursachenbekaempfung solltest du vielleicht das naechste Mal den kleinen Bruder mit eingeschraenkten Rechten (normaler Benutzer, nicht Administrator) an deinen Computer lassen.
BTW die meisten der Befehle in der Batchdatei haetten, ausgefuehrt als normaler Benutzer, keinen Effekt, weil hier ein schreibender Zugriff auf die Registry (zumindest Systembereiche dieser) stattfindet.


Gruss,
blue32

Dieser Beitrag wurde von blue32 bearbeitet: 27. Februar 2006 - 05:24

[kxxx]

Um es kurz und schmerzlos zu sagen. INSTALLIERE NEU.
Alles andere ist nur Flickschusterei.
Glaub mir, bis du wenigstens die offensichlichen Infektionen entfernt hast, hättest du in der selben Zeit mehrfach neu installieren können.
Richtig vertrauenswürdig bekommst du dein System ohne Neuinstallation sowieso nicht.

[wigga]

Hallo Aquanus,

du kannst die Dateien ja mal damit scannen. Was sagt der Scan?

Gruß

Wigga

[kxxx]

Zitat (wigga: 27.02.2006, 10:47)

Was sagt der Scan?

Warum soll er nochmal Scannen ?
Er weiss, das sein System infiziert ist. Jedes Weitere Scannen ist nur Zeitverschwendung.
Sag jetzt blos nicht "damit bekommt er sein System sauber", weil das nahezu unmöglich ist.

[wigga]

Hallo,

nein nicht deshalb, sondern weil die von ihm genannten Prozesse von AVG als nicht schädlich erachtet werden. Es könnte aber sein, dass sie der Grund für die häufigen Aufhänger sind.

Und dass man sein System nach einem Virenbefall nicht wieder sauber bekommt, ist einfach falsch. Es hängt doch davon ab, wie stark der Virus im System schon drin ist. Ich habe selbst auf dem PC einer Kundin einen Virus entfernt und seit dem ist der PC nicht abgestürzt oder langsamer geworden. Auch ein Testscan mit GData AntiVirus hat nichts mehr gefunden.

@Aquanus

Weist du denn wie das Tool heist, das dein Bruder installiert hat?

[Aquanus]

hi, also erstmal riesieges THX für die vielen Antworten...
Ich habe nun herausgefunden, dass der Rechner einwandfrei funktioniert, solange ich keine DFÜ Verbindung aufbaue. Ich hab mir auch noch ein paar andere freien Antivirenprogramme heruntergeladen und geupdatet, die finden alle nichts. Ich habe aber noch ne Backup Partition auf meiner 2. Platte, mit der ich jetzt ins Internet gehe...
Ich werde einfach mal Neuinstallieren
Ich hätte aber noch eine Frage: Da ich gesehen habe, dass der Virus es geschafft hat, dass eine andere System und smss.exe gestartet wird, würde mich sehr gerne interessieren, in welcher Datei / Registry steht, wo diese Dateien sind und dass sie dort gestartet werden... bisschen komisch formuliert, also wo könnte es stehen, dass die system und smss in C:\WINDOWS\AppPatch\Patches32 gestartet werden sollen anstatt von dem system32 ordner.
mfg Aquanus

[Jesus]

such doch einfach mal mittels regedit.exe nach dem string. also z.b. nach "AppPatch\Patches32 "

Dieser Beitrag wurde von Jesus bearbeitet: 28. Februar 2006 - 14:57