Seit ... keine Ahnung - nicht drauf geachtet, egal - seit kurzem meldet sich meine Firewall 1436385 mal am Tag, weil irgendwelche Mails von einer .exe namens exmodul irgendwohin verschickt werden wollen.
Vor und hinter "exmodul" stehen immer zwei Zahlen, die sich nach jedem Blocken ändern.
Ich hab die Dateien auch schon gesucht und vernichtet (Temp-Ordner der Eigenen Dateien), jedoch "spawnen" sie andauernd neu.
Jetzt warte ich schon die ganze Zeit, dass sich meine Firewall wieder meldet, damit ich mal nen Screenshot posten kann, allerdings ist es grad ziemlich ruhig ... zu ruhig ... O_O

Hat jemand schonmal was davon gehört?
Wenn ja, was kann ich dagegen tun? Das geht mir tierisch auf die Nüsse. :/

Mach mal nen kompletten Virenscan, falls der Scanner blockiert ist hast du einen Wurm der schlimmen Sorte.:\

Mach mal nen kompletten Virenscan, falls der Scanner blockiert ist hast du einen Wurm der schlimmen Sorte.:\

Und wo?
Musst mir schon helfen, bin ein Noob, was sowas angeht. :/

http://img.photobucket.com/albums/v381/Goka/exmodul.jpg

^-- Das ist das Ding, was tun?

Geh auf www.bitdefender.com, da gibts nen Onlinescanner, der ziemlich leicht zu bedienen ist.

http://img.photobucket.com/albums/v381/Goka/exmodul.jpg
Zur Not, mach bei "Remember my Answer, and do not ask me again for this application." ein Häckchen rein und klick' auf "No". Dann wird er diesen Prozess jedesmal unterbinden! Das kannst du falls nötig in deinen Firewalleinstellungen auch wieder deaktivieren.

Zur Not, mach bei "Remember my Answer, and do not ask me again for this application." ein Häckchen rein und klick' auf "No". Dann wird er diesen Prozess jedesmal unterbinden! Das kannst du falls nötig in deinen Firewalleinstellungen auch wieder deaktivieren.

Bringt nix, darauf bin ich auch schon gekommen.
Es ist ja jedes mal eine andere .exe, die gestartet wird, also bringt das mit dem remember nix. ;(

Gut, dann anders: Ich habe bei Google nachgeforscht und das hier gefunden: (Auszug aus diesem Thread (http://www.computerhilfen.de/hilfen-5-104064-0.html))



Nach einigen Analysen mit dem processexplorer und Hijack bin ich auf eine "gefälschte" smss.exe in \Windows\system gestoßen, die ich entfernt habe.

Diese ersetzt die originale smss.exe in \windows\system32, die auch die richtigen Firmeneinträge in Eigenschaften besitzt.

Nun sind die **exmodul.exe "ex".

Danach musst du vermutlich nurnoch die "exmodul.exe"n aus dem Temp-Ordner entfernen.

EDIT: Das ganze am besten natürlich im abgesicherten Modus (beim Systemstart F8 hämmern)

Gut, dann anders: Ich habe bei Google nachgeforscht und das hier gefunden: (Auszug aus diesem Thread (http://www.computerhilfen.de/hilfen-5-104064-0.html))



Danach musst du vermutlich nurnoch die "exmodul.exe"n aus dem Temp-Ordner entfernen.

EDIT: Das ganze am besten natürlich im abgesicherten Modus (beim Systemstart F8 hämmern)

Irgendwie versteh ich den Sinn davon nicht, was muss ich ersetzen? o_o
Diese Exmoduldingsis lösch ich ja die ganze Zeit, aber was muss ich mit der smss.exe machen?

~Edit~
F8 geht nicht, da kann ich nur auswählen, von was ich booten will.

~Edit²~
Hm, k.
Jetzt ging's - irgendwie.
Hab 2 mal die smss.exe gefunden, eine hab ich gelöscht, die andere konnte ich nicht löschen.
Jetzt hab ich noch die übrigen exmodulsachen entfernt und hoffe, dass die nicht wieder kommen. :/

Jetzt ging's - irgendwie.
Hab 2 mal die smss.exe gefunden, eine hab ich gelöscht, die andere konnte ich nicht löschen.
Jetzt hab ich noch die übrigen exmodulsachen entfernt und hoffe, dass die nicht wieder kommen. :/
Falls du eine nich löschen kannst, liegts daran dass sie echt ist. ;)

Falls du eine nich löschen kannst, liegts daran dass sie echt ist. ;)

Das hab ich mir dann auch gedacht. :D

Hm, bis jetzt hat sich weder meine Firewall gemeldet noch habe ich irgendwelche suspekten Dateien im Temp-Ordner gefunden.
Scheint also geklappt zu haben - ich bedanke mich und verschwinde in einem Schleier aus Rauch ...