|
Trojaner + csrss.exe & winlogon.exe ohne Beschreibung Mich hat es in der vergangenen Nacht auch erwischt und nun habe ich einen lästigen Trojaner an Bord (ich hoffe zumindest, dass er erst letzte Nacht aufgetaucht ist ...) :confused: Ich bin mit meinem Dell-Laptop unter Windows 7 (64Bit) und normalerweise mit Opera unterwegs. Hier habe ich derzeit auch keine Probleme. Als das Problem aufgetaucht ist, war ich allerdings mit Firefox unterwegs. :headbang: Ich hatte eine "Windows 7 Recovery" Fehlermeldung zu "Windows Diagnostic PC Performance & Stability" und das Programm wollte natürlich, dass ich verschiedene Sachen zum Löschen bestätige. Hab ich aber natürlich nicht gemacht, da es mir seeehr seltsam vorkam, obwohl das ganze schon ziemlich Windows7-Like gemacht ist. Also habe ich gleich gegoogelt und bin auf diesen Fremd-Forenbeitrag gestoßen: PC Performance & Stability analysis report - Viren, Würmer, Spyware. Daraufhin habe ich mir also Malwarebytes heruntergeladen und zuerst den Quick-Scan gemacht (+ gelöscht) und anschließend den vollständigen Suchlauf (+ auch gelöscht). Antivir hat anschließend auch noch 2 Viren gefunden (die auch gelöscht wurden) und seitdem bekomme ich weder von Malwarebytes noch von Antivir und auch nicht von HouseCalls (ob das Programm tatsächlich was nutzt: Keine Ahnung ...) weitere Hinweise über einen Virenbefall. Ccleaner habe ich auch schon drüber laufen lassen und die verschiedenen Einträge löschen lassen. Die Windows-Systemwiderherstellung habe ich auch versucht, das klappt aber nicht für eine Wiederherstellung mit Zeitpunkt 5.6. ca. 9 Uhr. (Vllt. liegt das aber auch daran, dass ich Cclear vorher habe drüberlaufen lassen?) Alle versteckten Dateien habe ich auch wieder sichtbar gemacht und bin jetzt eigentlich wieder mit ziemlich normaler Geschwindigkeit und ohne allzu großen Problemen unterwegs. (Online mit Opera; Firefox habe ich noch nicht ausprobiert.) Mich stört allerdings, dass ich im Taskmanager zwei Dateien ohne Beschreibung laufen habe: csrss.exe und winlogon.exe. Soweit ich jetzt (auch hier im Forum) gelesen habe, steckt in diesen Dateien wohl auch noch der Trojaner. Es wäre also sehr schön, wenn mir jemand helfen könnte, diesen Quälgeist loszuwerden ohne gleich komplett alles neu installieren zu müssen ... Ich habe einen Bildschirmausdruck des TaskManagers, die Malwarebytes-Meldungen vom QuickScan und der vollständigen Prüfungen mit Virenbefall und der letzten von heute Mittag, das Antivirprotokoll und die in der Anleitung gewünschten Dateien von defogger und OTL gepackt. Ich hoffe das genügt erst einmal. Ansonsten liefere ich selbtverständlich gerne nach! Leicht verzweifelte Grüße! :killpc: |
hallo, kein anhang zu sehen :-( |
Ja, sorry! Hatte Probleme mit meiner rar/zip-Endung. Jetzt müsste es aber klappen. |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
So, Combofix ist erstellt. Nur als Info: Ich musste das Laptop neu starten und von Opera nun in den IE wechseln, da er sich total aufgehangen hatte bzw. in Opera den Thread nicht mehr öffnen wollte ... :confused: |
wo befinden sich die dateien ohne beschreibung? kannst im taskmanager unter datei pfad sehen. wenn du den pc neu startest, geht opera dann wieder? |
Hmm, das ist jetzt seltsam: Im TaskManager hat sich nichts getan, wenn ich mir den Pfad oder die Eigenschaften anschauen wollte. Dann bin ich zu "Prozesse aller Benutzer anzeigen" gewechselt und - nachdem sich das Fenster minimiert hatte - liegen sowohl winlogon als auch csrss im System32-Ordner (die Dateien sind auch nur 1x vorhanden). Wenn ich den TaskManager dann aber wieder neu öffne, habe ich das gleiche Problem und kann nicht sehen, wo die Dateien liegen sollen. Nach dem Neustart ging Opera wieder normal, nur hier in den Thread konnte ich nicht wieder rein. Daher nun IE. Funktioniert zum Glück. :) |
lassen sie sich denn beenden? |
was passiert wenn du die beenden willst? |
Lassen sich leider beide nicht beenden: Der Vorgang konnte nicht beendet werden. Zugriff verweigert |
Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
OK, erledigt! :dankeschoen: |
start ausführen msconfig.exe enter systemstart, überall haken raus außer: Apoint Wireless Manager avgnt (avira) klicke ok, pc startet neu. gibts ne verbesserung? |
Das würde dann so aussehen? http://i991.photobucket.com/albums/a...ystemstart.jpg (Ich möchte nur sichergehen, bevor ich neu starte und dann gar nicht mehr geht.) ;) |
es wird alles gehen, einfach unter systemstart überall haken raus außer bei den genannten. falls irgendwas nicht mehr laufen würde kann mans einfach wieder anhaken. |
Die beiden Dateien laufen immer noch im TaskManager. :( |
ich sehe bisher noch nichts malware artiges hier. lade den CCleaner standard: CCleaner - Standard falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
OK, erledigt. |
deinstaliere: 7-Zip AAVUpdateManager Adobe Reader 9 Adobe - Adobe Reader herunterladen - Alle Versionen ohne mc affe instalieren (haken weg) öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken. unter update, auf instalieren stellen. klicke übernehmen /ok deinstaliere. BittorrentBar_DE Toolbar von torrent solltest du die finger lassen, die warscheinlichkeit sich dort zu infizieren steigt von jahr zu jahr. wer illegale downloads nutzt muss sich über malware nicht wundern. Bonjour Brownie Cisco alle Conduit Engine avid Client David.fx alles von dell außer: Dell Touchpad, Dell Wireless, DivX-Setup FileZilla GoToAssist HiJackThis Java beide. Java SE Downloads klicke download jre. Microsoft Silverlight Mozilla Firefox No23 pdfforge Toolbar Skype Toolbars Skype™ 4 WildTangent alle Windows Live alle bereinige mit dem ccleaner. |
Alles erledigt! :) Leider sind die beiden .exe-Dateien aber immer noch im TaskManager ... |
wie läuft denn das system im moment? avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig. den update auftrag auf 1x pro tag einstellen. und "nachhohlen falls zeit überschritten" auswählen klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
Liste der Anhänge anzeigen (Anzahl: 1) Die beiden Dateien laufen immer noch, aber ansonsten habe ich eigentlich keine Probleme mit meinem System. Von Antivir hatte ich bereits die Version 10 installiert und habe nur die Einstellungen entsprechend übernommen. Der erste Virenscan lief ohne Fehlermeldung ab. Nach einem Neustart des Laptops habe ich vorsichtshalber noch einen Scan durchgeführt und beim Abspeichern des Log-Files kam die Fehlermeldung, die ich beigefügt habe. Das Log-File lag aber normal im Antivir-Pfad, sodass ich es auch beifügen konnte. Auf das Desktop konnte ich auch ganz normal über den Explorer zugreifen ... also eigentlich auch kein Problem ... :confused: Dann ist der Trojaner wohl weg? Und ich beobachte das System (und vor allem mein Online-Banking) in der nächsten Zeit einfach ganz genau? Oder wie lautet die Diagnose? |
vom onlinebanking war ja bisher noch nicht die rede, oder ich hatte es übersehen? bei onlinebanking würde ich im allgemeinen eher sagen, formatieren, neu aufsetztn, pc absichern. das ist die sicherste methode, befor was passiert. ich würde dir erklären, wie man das system in zukunft richtig schützt. das ist zwar arbeit, lohnt sich aber. |
Nein, von Online-Banking war bislang noch nicht die Rede (allerdings: Wer mit PC füllt die Überweisungen tatsächlich noch mit der Hand aus? ;)). Meine Bank habe ich allerdings sofort informiert und ein neues Passwort habe ich über mein altes Laptop auch gleich vergeben. Richtig schützen wäre schon gut, obwohl ich bislang immer gehofft hatte, das Antivir + Router (T-Com verkauft dies ja mit der Aussage, dass dies ebenfalls vor Viren etc. "schützen" würde :rofl:) + der Windows-Firewall doch schützen würde (und bis vor 3 Tagen ist auch nie etwas wirklich schlimmes passiert ...). Mit formatieren und neu aufsetzen ist das so eine Sache: Eine Windows-Installations-CD (64Bit) habe ich nicht und ein richtiges BackUp-System auch nicht (jaaaa, ich weiß, darum hätte ich mir schon laaaange kümmern müssen :schmoll:). |
naja, du glaubst ja hoffendlich nicht alles was man dir verspricht, dass nennt man auch werbung :-) war windows vor instaliert? |
Ja. Ich muss mich mal bei Dell schlau machen, dass ich an eine Installations-CD komme... |
dell müsste eig nen recovery programm haben womit du auf werkseinstellungen zurück setzen kannst, mal im programme menü schauen |
Ja, dass soll es geben. Im Dell-eigenen-Forum gibt es dazu auch Beschreibungen. Meinst du das würde genügen, um die letzten "Reste" des Trojaners weg zu bekommen? Dann bräuchte ich nämlich nur noch ein vernünftiges BackUp für meine Daten und das Zurückstellen auf die Werkseinstellungen wäre nur noch ein Klick entfernt ... :) |
ja ne datensicherung, dann auf werkseinstellungen und dann sichern wir das gerät richtig ab. |
Dann wird nur mein W-LAN wieder nicht funktionieren ... dafür musste nämlich der Dell-Support irgendwelche Einstellungen wohl ändern und ich weiß leider nicht, welche das waren... Ich melde mich dann einfach wieder, wenn ich das mit der Datensicherung erledigt habe (wird allerdings eine Weile dauern). Darf ich dann wieder hierein posten oder soll ich dafür einen neuen Thread aufmachen? |
hier melden bitte. vllt musst du treiber von der dell homepage laden, dort einfach deinen geräte typen eingeben und die treiber gleich mit sichern |
OK. Werde ich machen! Übrigens: Vielen lieben Dank für deine Hilfe!!! :huepp: :D Muss ich eigentlich noch irgendwelche Einstellungen rückgängig machen? (z.B. defogger o.ä.) |
du formatierst ja, da kannst dir das schenken mit defogger |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board