Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.11.2011, 17:35   #1
eichi1988
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



Hallo zusammen,
seit ein paar Tagen geistern wohl Viren auf meinem System herum. Ich kenn mich in der Sache absolut nicht aus und hoffe auf eure Hilfe.
Mir sind im Taskmanager obengenannte Prozesse aufgefallen, deren Dateipfad ich auch nicht zurückverfolgen kann.

Außerdem hat Antivir seit einigen Tagen immer wieder Trojaner Meldungen herausgehauen. Meist traten Fundmeldungen im Stil von: TR/Spy.Agent.bvud oder TR/Spy.Agent.bvua oder TR/Spy.Agent.bvpz.2 oder Spy.Banker.Gen2 auf. Ich hatte auch schon den Bundespolizei Trojaner drauf hxxp://blog.botfrei.de/wp-content/uploads/2011/08/bundespolizei.jpg den ich aber nach einer Anleitung entfernt habe..

Was kann ich nun tun damit alles wieder gut wird? CCleaner habe ich drüber laufen lassen und sowohl Registry als auch den Cleaner drüber laufen lassen.. zusätzlich laut einem anderen Forum schon in der Systemwiederherstellung den schutz ausgestellt -> neugestartet -> schutz wieder angestellt und avira drüberlaufen lassen..

mittlerweile bin ich ratlos.

Alt 30.11.2011, 17:40   #2
markusg
/// Malware-holic
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



1. öffne avira, berichte, scan bericht posten.
2. öffne avira, ereignisse, poste die ereignisse.
aber bitte falls möglich, darauf achten nichts doppelt zu posten, also wenn datei xy mehrmals gefunden wurde reicht es auch die fundmeldung nur einmal zu posten.
3.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________

Alt 30.11.2011, 19:11   #3
eichi1988
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



hab das ganze mal hier hochgeladen:

hxxp://www.megaupload.com/?d=MALOZFDP
__________________

Alt 30.11.2011, 19:12   #4
markusg
/// Malware-holic
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



hänge es dann bitte hier lieber als anhang an, falls zu groß mit winrar oder zip packen
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.11.2011, 19:15   #5
eichi1988
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



texttexttext


Alt 30.11.2011, 19:19   #6
markusg
/// Malware-holic
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



kein anhang angekommen
__________________
--> tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)

Alt 01.12.2011, 12:16   #7
eichi1988
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



kann die datei nicht anhängen..

würdest dus dir grad da runterladen..? weiß sonst nicht was ich machen soll..

Alt 01.12.2011, 12:19   #8
eichi1988
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



hab jetzt grade noch gesehn dass ich dateien auf dem desktop hab die als versteckte objekte angezeigt werden die ich nicht dorthin kopiert hab.. unter anderem

~WRL1758.tmp und weitere die gleich aussehen
desktop.ini 2 mal
und wort dateien von mir mit einem "~S" vor dem eigentlichen namen

was ist das denn jetzt? wenn ich sie löschen will steht da folgendes:

"Wenn sie die datei verschieben wird windows oder andere programme möglicherweise nicht mehr richtig angezeigt..

Alt 01.12.2011, 12:23   #9
markusg
/// Malware-holic
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



hänge die dateien hier an, die logs.
packe sie mit winrar oder zip dann auf antworten, anhänge verwalten, dateien auswählen und dann anhängen, nen antwort text schreiben und antworten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 01.12.2011, 12:26   #10
eichi1988
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



die text dateien sind zu lang und die winrar und winzip dateien sagt er mir nur "ungültige datei"

kann also nichts machen.. die upload seite sind doch auch nur 2 klicks :/

Alt 01.12.2011, 12:28   #11
markusg
/// Malware-holic
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



dann teile die dateien auf.
ich speichere mir doch nicht alle logs auf meinem pc ab und hab auch keine lust da jedes mal zu warten, wenn das jeder so machen würde, würde mich das für jedes log jedes mal ne gute minute zeit kosten.
logs gehören ins forum.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 01.12.2011, 12:38   #12
markusg
/// Malware-holic
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



mach weiter hiermit, in zukunft dann die logs hier ins forum
hi
1. deinstaliere spybot, nicht mehr zeitgemäß stört außerdem die reinigung.
2. torrent software:
wird häufig zum illegalem download von programmen filmen etc genutzt und ist daher einfalls tor für malware.
wer sich filme ansehen will oder die games will, muss sie halt bezahlen.
nichts gibts umsonst, auch nicht in den torrent netzen, da gibts malware und die krimminellen verdienen an dir oder mit deinem pc und du machst dich strafbar.
wenn du das torrent netzwerk für anderes nutzt, vergiss punkt2
3.
achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [Userinit] C:\Users\EICHI\AppData\Roaming\appconf32.exe ()
[2011.11.28 22:00:36 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5051
[2011.11.25 20:26:26 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5050
[2011.11.24 09:51:07 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5049
[2011.11.23 19:36:49 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5048
[2011.11.22 20:27:29 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5047
[2011.11.21 15:27:27 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5045
[2011.11.20 22:44:57 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5044
[2011.11.19 04:48:06 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5043
[2011.11.18 00:59:15 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5042
[2011.11.18 00:59:02 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\xmldm
[2011.11.18 00:58:57 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\kock
:Files
C:\Users\EICHI\AppData\Roaming\appconf32.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 01.12.2011, 18:21   #13
eichi1988
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



Gesagt, getan:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Userinit deleted successfully.
C:\Users\EICHI\AppData\Roaming\appconf32.exe moved successfully.
C:\Users\EICHI\AppData\Roaming\5051\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5051 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5050\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5050 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5049\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5049 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5048\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5048 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5047\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5047 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5045\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5045 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5044\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5044 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5043\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5043 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5042\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5042 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\xmldm folder moved successfully.
C:\Users\EICHI\AppData\Roaming\kock folder moved successfully.
========== FILES ==========
File\Folder C:\Users\EICHI\AppData\Roaming\appconf32.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: EICHI
->Flash cache emptied: 6224327 bytes

User: Public

Total Flash Files Cleaned = 6,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: EICHI
->Temp folder emptied: 25836010 bytes
->Temporary Internet Files folder emptied: 2604613 bytes
->Java cache emptied: 1783779 bytes
->FireFox cache emptied: 53657175 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 531320 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 102427 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 81,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12012011_181515

Files\Folders moved on Reboot...
C:\Users\EICHI\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Alt 01.12.2011, 18:26   #14
markusg
/// Malware-holic
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 01.12.2011, 19:21   #15
eichi1988
 
tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Standard

tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)



hat das geklappt?

Antwort

Themen zu tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)
anderen, anleitung, antivir, avira, benutzer, ccleaner, csrss.exe, entfernt, forum, hallo zusammen, meldungen, prozesse, ratlos, registry, schutz, spy.banker.gen2, stil, system, systemwiederherstellung, task-manager, taskmanager, trojaner, viren, win7, winlogon.exe, zurückverfolgen




Ähnliche Themen: tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)


  1. csrss.exe ohne Beschreibung, kann Dateipfad nicht öffnen
    Log-Analyse und Auswertung - 15.05.2015 (11)
  2. Win7: Avira meldet mehrere Funde und ich habe zwei mal explorer.exe im Task-Manager
    Plagegeister aller Art und deren Bekämpfung - 15.12.2014 (12)
  3. [Win8 64) InternetExplorer öffnet sich ohne in der taskleiste aufzutauchen, spielt Sound ab, lässt sich nur durch Task Manager beend
    Log-Analyse und Auswertung - 27.06.2014 (3)
  4. csrss.exe, atiedxx.exe, winlogon.exe, ePowerEvent.exe - Dateipfad lässt sich nicht öffnen & kein Benutzer & keine Beschreibung
    Log-Analyse und Auswertung - 19.05.2014 (7)
  5. csrss.exe: Keine Beschreibung + Dateipfad lässt sich nicht öffnen (TaskManager)
    Plagegeister aller Art und deren Bekämpfung - 19.04.2014 (13)
  6. Win7 - Wie Spiel als Benutzer starten ohne Adminkennwort eingeben zu müssen?
    Alles rund um Windows - 30.12.2013 (1)
  7. winlogon.exe und csrss.exe ---> Trojaner
    Log-Analyse und Auswertung - 30.10.2013 (3)
  8. Youtube nicht erreichbar (csrss im Task-Manager)
    Plagegeister aller Art und deren Bekämpfung - 23.10.2012 (5)
  9. Bump.exe, csrss.exe und Find.exe tauchen immer wieder im Task-Manager auf. CPU bei 80%
    Log-Analyse und Auswertung - 13.07.2012 (2)
  10. atiecixx.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)
    Plagegeister aller Art und deren Bekämpfung - 28.10.2011 (7)
  11. Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook
    Plagegeister aller Art und deren Bekämpfung - 22.09.2011 (9)
  12. Trojaner + csrss.exe & winlogon.exe ohne Beschreibung
    Plagegeister aller Art und deren Bekämpfung - 09.06.2011 (32)
  13. Csrss.exe Winlogon.exe Atieclxx.exe ohne zuweisung im Taskmanager
    Log-Analyse und Auswertung - 26.05.2011 (6)
  14. atiedxx,csrss sowie winlogon.exe ohne Dateipfad - Verseucht!
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (1)
  15. csrss.exe, atiedxx.exe, winlogon?
    Plagegeister aller Art und deren Bekämpfung - 03.09.2010 (7)
  16. Unbekannter Task im Task-Manager Win XP
    Plagegeister aller Art und deren Bekämpfung - 16.01.2007 (1)
  17. Task Manager,Geräte Manager,regedit öffnen sich nicht!
    Log-Analyse und Auswertung - 11.04.2005 (1)

Zum Thema tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) - Hallo zusammen, seit ein paar Tagen geistern wohl Viren auf meinem System herum. Ich kenn mich in der Sache absolut nicht aus und hoffe auf eure Hilfe. Mir sind im - tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7)...
Archiv
Du betrachtest: tpnumlk.exe , csrss.exe , winlogon.exe ohne Benutzer und Beschreibung im Task-Manager (Win7) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.