Brauch dringend Hilfe wegen Virus !!

SlurmMcKenzie

SlurmMcKenzie

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
4.012
Renomée
29
Standort
CapaCity @ Omicron Persei 8
Ich brauch mal dringend Hilfe

Ich glaub ich hab nen Virus oder Spyware drauf und bekomm die nicht runter.

Jedesmal wenn ich neustarte hab ich im Taskmanager ein Programm drinn das da nicht hingehört.
Es heißt "52exmodul32f.b.exe"
(Wobei die Zahl vorne die 52 auch mal ne 17 oder ne 85 sein kann)
Die Datei selber liegt im "C:\Documents and Settings\Administrator\Local Settings\Temp"
Wenn ich die Lösche sind sie beim nächsten neustart aber wieder da.

Aufgefallen ist mir das als ich gesehen hab das Peerguardian sehr sehr viele Verbindungen blockte, auch wenn ich garnicht im Internet war (Kabel gezogen !). Da wollte wohl das Tool ins Inet funken)

Ich hab btw WinXPx64 was die Auswahl an Virenscanner leider etwas einschränkt.
Nutze der zeit Avast. Das findet aber nix.
Hab auch Spybot S&D laufen lassen und HiJack This.
Beides ohne erfolg.
In der Regestry steht es nicht drinn.
Auch nicht im Autostart. Es ist kein Systemservice und msconfig listet es auuch nicht.

Kann mir jemand sagen was das für ein Virus ist ?
und wie ich den weg bekomme ?
.
EDIT :
.
ok hat sich erledigt

aber ich poste mal hier den teil aus nem anderen forum der mir geholfen hat
(ist in englisch)

Check the processes of Windows Task Manager for .exe files with numbers
followed by "exmodula"* plus a letter, for example:


46exmodulag.exe (mine was 73exmodul.exe)
*this variation that i had on my comp did not have a letter at the end, it
was simply ##exmodul##.

As it was written above, this name varies, in my computer I hadseveral
different files, some using "exmodulaf" and "exmodulag". End the process.

Next, go to your

C:\Documents and Settings\Austin Wolfclaw\Local Settings\Temp\

**MAKE SURE SHOW HIDDEN FILES AND SYSTEM FILES ARE SHOWING!! (though i dont
think you have to touch your C:/Windows folder)**

where "Austin Wolfclaw" varies according to the username on your
computer.You´ll find several files that follow the format described
above.(**exmodula*.exe or **exmodula**.exe). Delete them.

Now perform a search on your registry for the "exmodul" word you´ll probably
find references to it in the
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
key. In this key you´ll find something like this:

C:\DOCUME~1\AUSTIN~1\LOCALS~1\Temp\46exmodulag.exe:*:Enabled:Microsoft
Update

Again, look for any variation of exmodul in that tag.

What this key does is to create a fake entry on Windows Firewall under the
name "Windows Update" for each new **exmodula*.exe or **exmodul** file it
creates. Remove this entry from the registry.

I thought this was enough, but no, those damn files kept coming back after a
while!

So I ran HijackThis 1.99.1 (wonderful little program by the way) and it
found the file smss.exe (file responsible for automatic windows updates)
running in the C:\WINDOWS\system\ folder, wich is wrong. Thisfile is
responsible for generating the **exmodula*.exe files. Deleteit.

NOTICE: the smss.exe file running under C:\WINDOWS\system32\ **IS** a legal
file, DO NOT TOUCH IT!!

Now search your registry for smss.exe and you´ll find references to it under
these keys, delete them.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\...\Software\Microsoft\Windows\ShellNoRoam\MUICache

(if there is no entry for C:\WINDOWS\system\smss.exe in the MUICache dont
worry about it. you probably have a variation of it that doesnt put an entry
in there)

And that's it! I'm gonna post an FYI in the Avast! forum about the
variation...and the French forum where I found the solution.

Good luck.

UPDATE: Check you C:\WINDOWS\temp folder for exmodul and ex something
else..... delete those 2. They create the processes that send the emails.
Zum Vergrößern anklicken....
 
DAS saugen & ausführen. dort alle verdächtigen tasks killen. alle unnötigen dienste stoppen. mit regedit die bekannen autostarts ( zb [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] )abchecken & allfällige verdächtige löschen (zuerst aber die keys exportieren!). dann kann man die unerwünschten gäste auf der fätzplatte wegputzen. booten & die ganze prozedur wiederholen bis die kiste platt oder clean ist.

btw. sogar MS empfiehlt der schädlingsbefall eine neuinstallation siehe hier

mfg juerg(BigBrain)
 
Für ne Neuinstallation hab ich aber keine Zeit.

War in diesem Fall auch nicht nötig.
Der Virus ist dank der Anleitung oben jetzt weg.


Dein Tip mit alle verdächtigen Diesnte stoppen und Tasks killen hätte hier auch nicht geholfen.
Der Virus hatte im System eine Datei namens ssms.exe abgelegt.
Diese hat bei jedem Start die komischen Virendatein neu erzeugt.
Allerdings ist es so das in Windows selber auch eine Systemdatei gibt die den zum verwechseln ähnlichen Namen smss.exe hat. (Schau einfach mal in deinen Taskmanager ;) Die kannste auch nicht beenden)

Darum fällt die ssms auch nicht direkt auf und kommt einem daher auch nicht verdächtig vor.

Und MS empfielt in deinem Link die Neuinstallation auch nur wenn das ganze System massiv befallen ist. Ich hatte gerade mal einen Virus und der ist weg.
 
SlurmMcKenzie schrieb:
Für ne Neuinstallation hab ich aber keine Zeit.
Zum Vergrößern anklicken....
standardausrede. hör ich jedesmal bei 'ner kranken kiste
Und MS empfielt in deinem Link die Neuinstallation auch nur wenn das ganze System massiv befallen ist. Ich hatte gerade mal einen Virus und der ist weg.
Zum Vergrößern anklicken....
da hast du was ganz falsch verstanden. das dok ist da ganz eindeutig.

5 * "You can’t clean a compromised..."
2 * "You can’t trust..."

"The only way to clean a compromised system is to flatten and rebuild."


mfg juerg(BigBrain)
 
BigBrain schrieb:
standardausrede. hör ich jedesmal bei 'ner kranken kiste
da hast du was ganz falsch verstanden. das dok ist da ganz eindeutig.

5 * "You can’t clean a compromised..."
2 * "You can’t trust..."

"The only way to clean a compromised system is to flatten and rebuild."


mfg juerg(BigBrain)
Zum Vergrößern anklicken....

*lol*
will hier jetzt keine große diskussion anfangen
aber ich kann ja wohl selber besser meine zeit einschätzen
bis das system wieder so ist wie es sein soll dauert vergeht nunmal ein ganzer tag

und ob mein system jetzt immernoch infiziert ist oder nicht kann ich wohl auch selbst gut beurteilen
hab mittlerweile genug erfahrung und jetzt ist es sauber zu 100%
garantiert
außerdem besteht auch noch die chance da ich nächste woche von der uni ne kopie von Vista bekomme. wenn ich mir das draufmache wäre die sache eh gegessen.
 
SlurmMcKenzie schrieb:
*lol*
will hier jetzt keine große diskussion anfangen
Zum Vergrößern anklicken....
da gibt es auch nichts zu diskutieren
und ob mein system jetzt immernoch infiziert ist oder nicht kann ich wohl auch selbst gut beurteilen hab mittlerweile genug erfahrung und jetzt ist es sauber zu 100% garantiert
Zum Vergrößern anklicken....
böse zungen würden sich dann aber fragen, warum du dann hier nachgefragt hast.

mfg juerg(BigBrain)
 

Ähnliche Themen

P3D-Bot
Projektnews SiDock@Home: Merry Christmas!
Antworten
1
Aufrufe
584
Ritschie
Ritschie
P3D-Bot
News SETI.Germany : BOINC Pentathlon 2023: Knock-knock
Antworten
0
Aufrufe
571
P3D-Bot
P3D-Bot
P3D-Bot
Projektnews Asteroids@home : New FMA application released
Antworten
1
Aufrufe
375
Ritschie
Ritschie
P3D-Bot
News SETI.Germany : DENIS@home: Ergebnisse der Test-WUs und nächste Schritte
Antworten
0
Aufrufe
483
P3D-Bot
P3D-Bot
P3D-Bot
News SETI.Germany : DENIS@home: Fortschrittsbericht April 2023
Antworten
0
Aufrufe
423
P3D-Bot
P3D-Bot
Zurück
Oben Unten