Viren/wurm HILFE !!!

mwinte3 · 20.09.2003

morsche,

hab mir heute nen wurm (w32.hllw.torvel@mm) eingefangen und mit norton entfernt. soweit so gut. alles läuft wieder super. nur eins passt nicht. beim boten des rechners bekomme ich folgende meldung:

SMSSgt.exe konnte nicht gefunden werden

was ist das ?? wozu dient diese .exe-datei ?? sonst läuft am rechner alles problemlos.

ist das noch ein überbleibsel vom wurm ??

cu mwinte3 ???

hp · 20.09.2003

also, das ist noch ein rest vom wurm, die datei gibts nicht. schau mal ob du die smss.exe noch auf dem system hast, das ist der sesion manager, der lädt den kernel und stellt das logon zur verfügung, verwaltet die systemvariablen etc. also ein wichtiges prog. SMSSgt.exe gibts nicht, also wahrscheinlich ist das die smss.exe, die vom wurm wahrscheinlich umbenannt wurde. also, ich würde dir vorschlage, deine kiste nochmals gründlich durchzuscannen, am besten die wiederherstellungs funktion abschalten, sonst behält xp den wurm, dann nochmals system mit virenprog, trojaner-check, ad-ware reinigen, die smssgt.exe löschen und eventuell die richtige smss.exe wieder aufspielen. auch mal die registry nach dem wurm durchsuchen und alle noch vorfindbaren einträge löschen.

greetz

hugo

Joshua · 20.09.2003

Ich würde eher mal vermuten, das Removal des Wurms hat lediglich vergessen, den entsprechenden Autostart-Eintrag zu entfernen...

Start => Ausführen => mscconfig => Systemstart

Dort mal schauen, ob ein Eintrag auf die gelöschte Datei hinweist, wenn ja, rauslöschen und neu booten, dann sollte sich das erledigt haben. HPs Hinweis auf ein erneutes Scannen ist natürlich berechtigt, evtl. auch mal nen Onlinescan mit nem Konkurrenzprodukt machen.

Cheers,
Joshua

mwinte3 · 20.09.2003

so, ich hab jetzt alles gelöscht was smssgt.exe heisst. autostarteinträge gibts auch keine verdächtigen. das problem besteht aber weiterhin. die meldung kommt weiter.

was nun ?

Flöckchen · 20.09.2003

Hast du auch mal in der msconfig geschaut?
Start -> Ausführen -> msconfig

mwinte3 · 20.09.2003

yo, da hab ich nichts unbekanntes gefunden. langsam nervt es gewaltig. wo kann ich noch suchen ?

Flöckchen · 20.09.2003

Zunächst mal sorry, habe den Post von Joshua nicht richtig gelesen, da stand das ja schon mit der msconfig. Ich würd an deiner Stelle mal einen guten Registry-Cleaner (in meinen Augen ist das XPClean) drüberlaufen lassen und dann mal schauen, was der so in der Registry findet. Prinzipiell natürlich egal, welchen RegCleaner du nimmst, ansonsten im Reg-Editor mal nach dieser ominösen exe-Datei suchen und schauen, was dabei herauskommt.
Der Verweis auf diese Datei muss ja irgendwo in der Reg sein, wenn auf der Platte nix mehr übrig ist.

mwinte3 · 20.09.2003

also, folgendes hab ich festgestellt nachdem ich die boxen angestellt habe:

1. der pc bootet normal bis zum anmeldebildschirm.
2. dann melde ich mich mit passwort an
3. kurz danach hört mann son komisches dong-geräusch. das welches immer ertönt wenn so ein fehlerfenster geöffnet wird und irgendwas nicht geht.
4. dann macht der rechner so ca. 20 sekunden nichts und bootet dann ganz normal zu ende und zeigt mir dann diese fehlermeldung.

probleme im normalen betrieb konnt ich bisher nicht feststellen.

was nun ?

Flöckchen · 20.09.2003

mwinte3 schrieb:
also, folgendes hab ich festgestellt nachdem ich die boxen angestellt habe:

1. der pc bootet normal bis zum anmeldebildschirm.
2. dann melde ich mich mit passwort an
3. kurz danach hört mann son komisches dong-geräusch. das welches immer ertönt wenn so ein fehlerfenster geöffnet wird und irgendwas nicht geht.
4. dann macht der rechner so ca. 20 sekunden nichts und bootet dann ganz normal zu ende.

Diese Phänomene sprechen eindeutig für einen falschen Eintrag in der Reg. Er sucht eine Datei beim Start, kann sie aber nicht finden.
Du solltest auf der Seite, wo du das Removal-Tool bekommen hast, mal die Infos zu diesem Wurm / Virus lesen, da steht ja im allgemeinen dabei, wo der sich überall hinschreibt.

mwinte3 · 20.09.2003

Click Start, and then click Run. (The Run dialog box appears.)
Type regedit

Then click OK. (The Registry Editor opens.)
Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In the right pane, delete the value:
Service Host = %windir%\spoolos.exe

das die anleitung von symantec.

nur gibt es keine spoolos.exe. das ding ist nirgends zu finden.

??

PCDpan_fee · 20.09.2003

evtl. hier mal lesen:

http://www.wintotal-forum.de/?board=12;action=display;threadid=24762;start=msg136469#msg136469

vielleicht hilft es dir auch

pan_fee

mwinte3 · 20.09.2003

hmmmm.

hab folgenden eintrag gefunden der komisch aussieht:

shell reg_sz Explorer.exe SMSSgt.exe

kann ich den löschen ??

PCDpan_fee · 20.09.2003

das isser ;D
rechtsklick löschen...........fertisch

pan_fee

mwinte3 · 20.09.2003

nicht verzagen.. pan_fee fragen !!!!!!!!!!!!!!!!!!

super ding. hat geklappt und problem beseitigt.

super dank.

aber warum hab ich das ding beim durchsuchen der registrie nicht finden können ??

cu mwinte3

PCDpan_fee · 20.09.2003

das hat @diveoli in seinem Thread auch gefragt

diveoli schrieb:
1 Frage noch, wieso kam beim Suchen nach system32.exe in regedit nichts raus ?

tja...die Registry :

pan_fee

mwinte3 · 20.09.2003

nun gut. dann nochmal ein dickesdankeschön an dich !!!

Viren/wurm HILFE !!!

mwinte3

hp

Joshua

mwinte3

Flöckchen

mwinte3

Flöckchen

mwinte3

Flöckchen

mwinte3

PCDpan_fee

mwinte3

PCDpan_fee

mwinte3

PCDpan_fee

mwinte3

Viren/wurm HILFE !!!

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums