Trojaner-Board - csrss.exe Virus? Firewall deaktiviert und gesperrt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - csrss.exe Virus? Firewall deaktiviert und gesperrt (https://www.trojaner-board.de/101484-csrss-exe-virus-firewall-deaktiviert-gesperrt.html)

schoermi

19.07.2011 11:52

csrss.exe Virus? Firewall deaktiviert und gesperrt

Hallo Leute,

seit gestern Abend ist meine Firewall deaktiviert. Im Task Manager wird ein Prozess namens csrss.exe angezeigt. Dieser kann nicht beendet werden Malwarebytes zeigt öfter folgende Meldung:

http://s1.directupload.net/images/110719/dafpg3bi.jpg

Ich hoffe ihr könnt mir helfen

cosinus

19.07.2011 12:30

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

schoermi

19.07.2011 13:50

ok Malware scan:

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7198
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421
 

19.07.2011 14:49:29

mbam-log-2011-07-19 (14-49-29).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)

Durchsuchte Objekte: 314694

Laufzeit: 34 Minute(n), 3 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

schoermi

19.07.2011 14:10

Und hier der 2 Schritt als zip

Danke schon einmal für die Hilfe

cosinus

19.07.2011 14:11

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

schoermi

19.07.2011 14:15

Auch von heute aber etwas früherer Zeitpunkt. Mehr habe ich nicht Programm ist neu installiert.

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7194
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421
 

19.07.2011 11:16:44

mbam-log-2011-07-19 (11-16-44).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)

Durchsuchte Objekte: 309600

Laufzeit: 38 Minute(n), 56 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

cosinus

19.07.2011 14:17

Ich vermute bei dir dieses ZeroAccess-Rootkit, hatte heute erst einen ähnlichen Fall.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

schoermi

19.07.2011 14:27

So hier aswMBR.txt

Code:

aswMBR version 0.9.7.777 Copyright(c) 2011 AVAST Software

Run date: 2011-07-19 15:20:25

-----------------------------

15:20:25.895    OS Version: Windows x64 6.1.7601 Service Pack 1

15:20:25.895    Number of processors: 4 586 0x2505

15:20:25.895    ComputerName: TOBI-VAIO  UserName: Tobi

15:20:26.831    Initialize success

15:21:17.164    AVAST engine defs: 11071900

15:21:26.680    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

15:21:26.680    Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3

15:21:26.680    Disk 1  \Device\Harddisk1\DR1 -> \Device\00000064

15:21:26.680    Disk 1 Vendor: RICOH 02 Size: 476940MB BusType: 0

15:21:26.680    Disk 2  \Device\Harddisk2\DR2 -> \Device\00000065

15:21:26.696    Disk 2 Vendor: RICOH 02 Size: 476940MB BusType: 0

15:21:26.712    Disk 0 MBR read successfully

15:21:26.712    Disk 0 MBR scan

15:21:26.712    Disk 0 Windows 7 default MBR code

15:21:26.727    Service scanning

15:21:27.648    Disk 0 trace - called modules:

15:21:27.679    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys hal.dll 

15:21:27.694    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80063a0060]

15:21:27.694    3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa800356c320]

15:21:27.694    5 ACPI.sys[fffff88000f847a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800432e050]

15:21:30.097    AVAST engine scan C:\Windows

15:21:32.312    AVAST engine scan C:\Windows\system32

15:21:41.828    File: C:\Windows\system32\consrv.dll  **INFECTED** Win32:Malware-gen

15:23:00.546    AVAST engine scan C:\Windows\system32\drivers

15:23:12.636    AVAST engine scan C:\Users\Tobi

15:25:31.866    AVAST engine scan C:\ProgramData

15:26:31.177    Scan finished successfully

15:27:04.561    Disk 0 MBR has been saved successfully to "C:\Users\Tobi\Desktop\MBR.dat"

15:27:04.561    The log file has been saved successfully to "C:\Users\Tobi\Desktop\aswMBR.txt"

schoermi

19.07.2011 14:48

soweit alles richtig?

cosinus

19.07.2011 14:51

Zitat:

File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Malware-gen

Jupp, da isser. Meine Vermutung stimmt (leider :balla: )

Hast du eine Live-CD von Ubuntu zur Hand? Wenn nicht folge mal als Leitfaden dem 2. Link in meiner Signatur. Da wird auch kurz der Ubuntu-Desktop erklärt.

Geht jetzt aber nicht ums Datensichern (was du aber natürlich machen kannst, schadet nicht!) sondern ums umbenennen dieser Datei.

Oben über Orte wird dir u.a. auch die Windows-Partition angezeigt, bitte dahinklicken und zu Windows\system32 navigieren. Such dort die Datei consrv.dll heraus und benenn sie um in consrv.dll.vir

Versuch dann man bitte Windows wieder zu starten.

schoermi

19.07.2011 15:02

OK Datei ist umbenannt.
Was ich mit Ubuntu machen soll habe ich noch nicht so ganz verstanden. Habe keine CD davon.
Starte den PC jetzt neu

cosinus

19.07.2011 15:10

Wie hast du die Datei denn umbenannt? Unter Windows? :confused:

Du hast auf auf die Schreibweise geachtet? Umbenennen sollst du consrv.dll

NICHT zu verwechseln mit conserv.dll

Normalweise lassen sich solche Dateien nicht einfach so unter Windows umbenennen.

schoermi

19.07.2011 15:22

uiuiui als ich den PC neu gestartet habe hat sich automatisch ein reperaturtool gestartet.. Pc läuft unverädnert wie vorher.. Firewall immernoch deaktiviert..

cosinus

19.07.2011 15:31

So deswegen der Schritt mit Ubuntu. Mach den mal bitte.
Zusätzlich nach dem Umbenennen der Datei consrv.dll in consrv.dll.vir mal Folgendes testen: diese in consrv.dll umbenannte Datei => File-Upload.net - consrv.dll
runterladen und nach system32 abspeichern. Alles bitte über Ubuntu machen.

schoermi

19.07.2011 15:40

OK lade Ubuntu versuche die Schritte auszuführen und melde mich dann wieder! Danke

schoermi

19.07.2011 16:05

Ok so in Ubuntu habe ich nun die datei consrv.dll in consrv.dll.vir umbenannt und die andere Datei runtergeladen und eingefügt.

Befinde mich weiter im UBUNTU System

schoermi

19.07.2011 16:28

Seit dem ich die Dateien umbenannt habe, lässt Windows sich nicht mehr starten!

cosinus

19.07.2011 20:41

Zitat:

Seit dem ich die Dateien umbenannt habe, lässt Windows sich nicht mehr starten!

Ok, hab ich mir schon fast gedacht, aber das kriegen wir wieder hin ;)

Wir sollten den MBR manuell fixen, ich möchte mla sehen ob ein gefixter MBR bei Abwesenheit der schädlichen consrv.dll positive Effekte hat. Sichere für den Fall der Fälle alle wichtigen Daten aus dem jetzt laufenden Ubuntu heraus auf eine externe Platte (nur für den Fall der Fälle)

Hast Du noch andere Betriebssysteme außer Win7 (64-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-64-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Win7-Installations-DVD (64-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

Alle Zeitangaben in WEZ +1. Es ist jetzt 15:46 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131