Ich glaub ich hab nen Wurm...

[nicolas11]

Moin,

ich hab mir grad mal alle Prozesse angeguckt, die bei mir im Hintergeund laufen.
(eine auflistung findet ihr im anhang)

Ich habe bei Sysinfo.org mal geguckt wofür die Prozesse gut sind... Bei 3 Prozessen bin ich (so weit ich weiß) auf einen Wurm gestossen:

smss.exe
csrss.exe
lsass.exe

ich habe die lsass.exe versucht zu löschen, dann kam eine fehlermeldung, dass mein pc in 50 sekunden heruntergefahren wird

sind diese (oder noch andere) Prozesse wirklich Würmer?

meine Antiviren programme (SpyBot S&S, AntiVir,ewido, Ad-Aware) haben nichts gefunden...



Ahhhhhhhhhhhhhhhhhhhhh! Bitte helft mir



nicolas

[CaPTaInCHaoS]

Wenn Du Würmer hast, musst Du ne Wurmkur machen

Ewido findest nix?

lsass z.b. ist auch kein virus

lsass / lsass.exe , der lokale Sicherheitsdienst steuert die Richtlinien für User. ( lsass.exe = Local Security Authority Subsystem )
Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.

smss auch nicht

Bei der Datei smss.exe handelt es sich um den Sitzungsmanager (Session Manager) von Windows NT/W2K/XP. smss.exe wird direkt vom Systemprozess gestartet und kontrolliert jeweils eine Usersitzung. Zusätzlich lädt der Prozess für jeden User die gewohnte Systemumgebung.

und csrss auch nicht

Das Client/Server Runtime Subsystem, kurz csrss.exe, verwaltet und steuert die Fenster von Anwendungen sowie das Anlegen und Beenden von Threads einer laufenden Anwendung.

Hier gibts was zum nachlesen

[avalon]

guggst du 'ier

http://www.liutilities.com/

keine panik...mehr infos über:

smss.exe

csrss.exe

lsass.exe

[nicolas11]

also hab ich erstmal glück gehabt.... PUUH!

allerdings gib doch mal bei sysinfo.org "lsass" ein... dann sind da erstmal viele verschiedene aufgelistet. ich hab geguckt welcher zu der beschreibung im taskmanager (siehe bild oben) passt und dann steht da:

Added by several variants of the AHKER WORM! Note - this is not the legitimate lsass.exe process which is always located in the System (9x/Me) or System32 (NT/2K/XP) folder and should not normally figure in Msconfig/Startup! This file is located in the Winnt or Windows folder

[avalon]

yep...unter anderem werden eben gewisse viren in gleichnamige windows-systemfiles gepackt.

diese liegen dann aber nicht dort, wo die "originalen" windows-files abgelegt sind.

wenn du trotz allem nicht sicher bist, dann lass am besten mal deinen virenscanner über das gesamte system laufen (vorher aktualisieren).

mit diesem tool (trial-version), kannst du ebenfalls mal checken, ob da was nicht stimmt.

avalon

[Thyll]

Hatte bei ner Bekannten genau die gleichen Dateien mit nem Wurm infiziert; hab sie ueber Dos-Ebene gekillt, anders kam ich nicht ran.

[Nina]

Lade dir mal von hier die aktuelle Version von Hijackthis herunter und entpacke sie. Danach startest du das Programm und klickst auf "Do a system scan and save a logfile". Das Ding läuft erstmal ne Weile durch und speichert zum Schluss eine "hijackthis.log" in den Ordner, wo du das Programm liegen hast.

Dieses Logfile lädst du auf der genannten Webseite hoch und klickst auf "Auswerten". Danach werden dir in einer Übersicht die Prozesse auf deinem PC angezeigt, und es wird dazu gesagt ob diese wahrscheinlich problematisch sind oder nicht. Wenn du mehrere problematische (rote) hast, wählst du darunter den Link "Auswertung speichern".

Erstell im Supportforum des Programms einen neuen Beitrag, gib dort den Link dieser Auswertung an und bitte freundlich um Hilfe. Die sind meist sehr kompetent.

[nicolas11]

hey danke für die tipps!

hab grad hijackthis durchlaufen lassen und hatte 1 unötigen hintergrund prozess, einen unbekannten und sonst nur gute.



nicolas