Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows\Config\csrss.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.04.2009, 18:07   #1
Taro
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



Guten Tag!
Ich habe leider folgendes Problem:
Wenn ich den PC starte kommt eine Meldung, dass "C:\Windows\Config\Csrss.exe" keine zulässige Win32 Datei ist.
Ich glaube mein Virenscanner hat die Datei verändert oder so in etwa.
Seit dem es so ist, hängen bzw. laggen alle meiner Fullscreen Spiele.
Bsp: GTA San Andreas
Vorher lief es prächtig.
Mein Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:52, on 14.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Download Manager\IDMan.exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Download Manager\IEMonitor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\trend micro\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Download aller Links mit IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV-Videoinhalt mit IDM - C:\Programme\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download mit IDM - C:\Programme\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - c:\xampp\filezillaftp\filezillaserver.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 9106 bytes
         
Ich weiß, dass ich nur noch wenigen Speicher auf der C:\ Festplatte habe.
Habe allerdings ja die D:\ noch, also ist dies kein Thema.

MfG Taro

Alt 14.04.2009, 19:12   #2
KarlKarl
/// Helfer-Team
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



Hi,

dann mal nach VirusTotal, die C:\WINDOWS\Config\csrss.exe für einen Onlinescan dort hochladen und das Ergebnis hierher kopieren. Ich gehe stark davon aus, dass es etwas sehr ungesundes ist.

Gruß, Karl
__________________


Alt 14.04.2009, 21:56   #3
Taro
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.14 Virus.Win32.Agent.WAJ!IK
AhnLab-V3 5.0.0.2 2009.04.14 -
AntiVir 7.9.0.143 2009.04.14 TR/Agent.141606.B
Antiy-AVL 2.0.3.1 2009.04.14 -
Authentium 5.1.2.4 2009.04.14 W32/Damaged_File.gen!Eldorado
Avast 4.8.1335.0 2009.04.14 Win32:VB-LAX
AVG 8.5.0.285 2009.04.14 -
BitDefender 7.2 2009.04.14 -
CAT-QuickHeal 10.00 2009.04.14 -
ClamAV 0.94.1 2009.04.14 -
Comodo 1113 2009.04.14 -
DrWeb 4.44.0.09170 2009.04.14 -
eSafe 7.0.17.0 2009.04.13 Suspicious File
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.14 W32/Damaged_File.gen!Eldorado
F-Secure 8.0.14470.0 2009.04.14 -
Fortinet 3.117.0.0 2009.04.14 -
GData 19 2009.04.14 Win32:VB-LAX
Ikarus T3.1.1.49.0 2009.04.14 Virus.Win32.Agent.WAJ
K7AntiVirus 7.10.703 2009.04.14 -
Kaspersky 7.0.0.125 2009.04.14 -
McAfee 5584 2009.04.14 -
McAfee+Artemis 5584 2009.04.14 -
McAfee-GW-Edition 6.7.6 2009.04.14 Trojan.Agent.141606.B
Microsoft 1.4502 2009.04.14 -
NOD32 4007 2009.04.14 -
Norman 6.00.06 2009.04.14 -
nProtect 2009.1.8.0 2009.04.14 Backdoor/W32.Agent.141606.C
Panda 10.0.0.14 2009.04.14 -
PCTools 4.4.2.0 2009.04.14 -
Prevx1 V2 2009.04.14 -
Rising 21.25.14.00 2009.04.14 -
Sophos 4.40.0 2009.04.14 -
Sunbelt 3.2.1858.2 2009.04.14 -
Symantec 1.4.4.12 2009.04.14 -
TheHacker 6.3.4.0.306 2009.04.12 -
TrendMicro 8.700.0.1004 2009.04.14 -
VBA32 3.12.10.2 2009.04.12 -
ViRobot 2009.4.14.1692 2009.04.14 -
VirusBuster 4.6.5.0 2009.04.14 -


http://www.virustotal.com/de/analisis/40926be81446cac900094cfc39a6c1a6


MfG, Habe SP3 nur ne Info
__________________

Alt 15.04.2009, 13:34   #4
Taro
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



bitte antworten, ich brauche die hilfe dringend.

MfG

Alt 15.04.2009, 14:25   #5
KarlKarl
/// Helfer-Team
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



Teilweise wird die Datei als Backdoor eingestuft, also ein Programm, das jemand anderem Remotezugriff auf deinen Computer erlaubt. Damit kann er das System beliebig umbauen und ändern. Sichere Vorgehensweise ist Neuinstallation.

Ansonsten, wenn Du das (kleine) Restrisiko eingehen willst, um dir die Arbeit zu sparen:

Lösche die Datei. In Hijack_this vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken, dabei alle anderen Programme (besonders Webbrowser) geschlossen haben:
Code:
ATTFilter
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
         


Alt 15.04.2009, 18:20   #6
Taro
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



Tag, ich kann nirgendwo bei HijackThis einen haken machen!

Habe ich vielleicht eine alte Version? Habe V2.0.2!

Alt 15.04.2009, 18:41   #7
KarlKarl
/// Helfer-Team
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



Also bei mir kann man bei der Hijack_this Version 2.02 (wie auch bei den älteren) am Anfang der Zeilen Haken machen. Wenn das bei dir nicht geht, spricht das dafür, dass dein System bereits extrem manipuliert wurde. Ich weiß nicht einmal, wie man die Felder in Hijack_this entfernen kann. Dann ist die gründliche Methode, alles neu zu installieren, dran.

Alt 15.04.2009, 21:38   #8
Taro
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



nein ^^
es is noch gut nur das es hin und wieder laggt. und die fehlermeldung kommt.
Mach halt mal bitte ein screen von deinem Hijackthis. Bitte

MfG

Alt 15.04.2009, 22:24   #9
Taro
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



ah habs gemacht.
Jetzt stehen die beiden nicht mehr in derliste aber im ordner ist es noch immer nicht.

Alt 15.04.2009, 23:13   #10
KarlKarl
/// Helfer-Team
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



Was ist nicht in welchem Ordner? Die Datei solltest Du löschen.

Alt 16.04.2009, 08:38   #11
Taro
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



Achso.
Verstanden.
Jetzt kommt auch keine Fehlermeldung mehr. Danke.
Mal schauen obs bei den Spielen noch immer hängt/laggt.
MfG

//Edit:
Ja es laggt hin und wieder noch immer.

Geändert von Taro (16.04.2009 um 09:06 Uhr)

Alt 18.04.2009, 00:32   #12
Taro
 
Windows\Config\csrss.exe - Standard

Windows\Config\csrss.exe



Egal.
Das thema war ja eigentlich nur wegen der Datei.
Danke.
Theme gelöst.
MfG

Antwort

Themen zu Windows\Config\csrss.exe
ask toolbar, avp, avp.exe, bho, black, bonjour, computer, festplatte, firefox, ftp, helper, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, internet security, kaspersky, mozilla, problem, rundll, scan, schutz, security, server, software, system, tuneup.defrag, windows, windows xp



Ähnliche Themen: Windows\Config\csrss.exe


  1. WIN 7 Warnmeldung Dateipfad Windows\system32\config\systemprofile\Desktop nicht verfügbar
    Log-Analyse und Auswertung - 17.09.2015 (11)
  2. results.dat und config.cfg auf Desktop!?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2014 (17)
  3. Frisches Windows 7 64-Bit System, mit zwei laufenden csrss.exe Prozessen, deren Dateipfad unbekannt ist. Könnte das Malware sein?
    Plagegeister aller Art und deren Bekämpfung - 27.07.2013 (3)
  4. win xp system32/config/system fehlt
    Alles rund um Windows - 10.03.2013 (1)
  5. TR/EyeStye.B.cfg.48 - config bin
    Log-Analyse und Auswertung - 27.02.2012 (5)
  6. Direkten Zugriff auf Drucker Config vom Netz/WAN
    Netzwerk und Hardware - 10.01.2012 (28)
  7. EXP/Pidief.Csa.1.B in C:\Windows\System32\config\RegBack\COMPONENTS
    Log-Analyse und Auswertung - 22.11.2011 (6)
  8. Windows\system32\config\system
    Alles rund um Windows - 14.11.2011 (14)
  9. Textdokument mit dem Inhalt ''Backdoor:Win32/Rbot'' in C:\WINDOWS\system32\config\systemprofile
    Plagegeister aller Art und deren Bekämpfung - 20.09.2011 (25)
  10. /Windows/system32/config/system - Fehler mit Windows und beim Starten des PCs.
    Alles rund um Windows - 25.04.2010 (4)
  11. NSIS ERROR. (C://Windows/system32/root/csrss.exe) lässt sich nicht entfernen.
    Log-Analyse und Auswertung - 16.04.2010 (6)
  12. Filemon - csrss.exe Pfadangabe \?\C:\WINDOWS\...
    Plagegeister aller Art und deren Bekämpfung - 14.04.2010 (2)
  13. C:\Program Files\Windows Install\csrss.exe
    Log-Analyse und Auswertung - 17.03.2010 (4)
  14. c:/Windows/System32/config beschädigt
    Alles rund um Windows - 15.06.2007 (1)
  15. die anwendung \??\C:\WINDOWS\system32\csrss.exe.......!
    Alles rund um Windows - 24.11.2004 (2)
  16. Zone Alarm config Files
    Antiviren-, Firewall- und andere Schutzprogramme - 13.02.2003 (1)

Zum Thema Windows\Config\csrss.exe - Guten Tag! Ich habe leider folgendes Problem: Wenn ich den PC starte kommt eine Meldung, dass "C:\Windows\Config\Csrss.exe" keine zulässige Win32 Datei ist. Ich glaube mein Virenscanner hat die Datei verändert - Windows\Config\csrss.exe...
Archiv
Du betrachtest: Windows\Config\csrss.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.