![]() |
Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig? Hallo zusammen. Windows Defender und AntiVir hatten bei mir einen Cycbot.B Trojaner gemeldet. Die gemeldeten Dateien habe ich löschen lassen, den gesamten TEMP-Ordner, in dem sie sich befanden, ebenso und mit dem ERASER alles vernichtet. Im Temp-Ordner war eine Datei namens csrss.exe, die sich zunächst nicht löschen ließ ("wird von einem anderen Programm verwendet"), welche nach einem Neustart aber doch gelöscht und ERASEd werden konnte. Bei meinen Webbrowsern (Firefox und IE) waren auf einmal Proxy-Server-Einstellungen mit einer .gov.uk Adresse aktiv (ich hatte vorher keine Proxies), womit allerdings keine Internetverbindung mehr zustande kam (deshalb hab ichs gemerkt und den Proxy entfernt). Danach habe ich den Defender und AntiVir eine Komplett-Prüfung machen lassen sowie den Online-Virus-Check bei security.symantec.com. Es wurde nichts mehr gemeldet. Schließlich habe ich noch Malwarebytes' Anti-Malware laufen lassen. Da wurden vier Dateien gemeldet. Die habe ich löschen lassen. Siehe Report unten. Muss ich trotzdem das System neu formatieren weil der Trojaner sich schon verbreitet hat und die Virus-Programme das nur nicht erkennen? Außerdem: es heißt der Trojaner stiehlt Passwörter. Wie geht das? Ich habe bei den Web-Browsern keine Passwörter gespeichert und meine Emails rufe ich mit einem Thunderbird-Programm über einen USB-Stick ab, der aber nicht im Gerät steckte. Oder werden die Passwörter gestohlen sobald ich bspw. beim Online-Banking eins in den Browser eingebe? Ich bin in der Materie leider nicht sehr bewandert. Herzlichen Dank. SteGri Windows Vista Home Premium Service Pack 2 AppData\Local\Temp\1A6C.exe AppData\Local\Temp\BB72.exe 'TR/Crypt.XPACK.Gen' Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5755 Windows 6.0.6002 Service Pack 2 Internet Explorer 9.0.7930.16406 14.02.2011 01:50:52 mbam-log-2011-02-14 (01-50-52).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 158617 Laufzeit: 4 Minute(n), 0 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: c:\syscheckrt\syscheckrt.exe (Spyware.Passwords.XGen) -> 3396 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\syscheckrt\syscheckrt.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. |
Bitte die Logs von AntiVir nachreichen. |
OK, danke. Hier ist mal einer: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 13. Februar 2011 01:51 Es wird nach 2393674 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista x64 Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : SYSTEM Versionsinformationen: BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 08.12.2010 14:25:30 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 08.12.2010 14:25:31 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:27:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:05:02 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 08:25:21 VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 08:25:22 VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 08:25:22 VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 08:25:22 VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 08:25:22 VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 08:25:22 VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 08:25:22 VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 08:25:22 VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 08:25:22 VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 08:25:22 VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 08:25:23 VBASE013.VDF : 7.11.3.11 2048 Bytes 09.02.2011 08:25:23 VBASE014.VDF : 7.11.3.12 2048 Bytes 09.02.2011 08:25:23 VBASE015.VDF : 7.11.3.13 2048 Bytes 09.02.2011 08:25:23 VBASE016.VDF : 7.11.3.14 2048 Bytes 09.02.2011 08:25:23 VBASE017.VDF : 7.11.3.15 2048 Bytes 09.02.2011 08:25:23 VBASE018.VDF : 7.11.3.16 2048 Bytes 09.02.2011 08:25:23 VBASE019.VDF : 7.11.3.17 2048 Bytes 09.02.2011 08:25:23 VBASE020.VDF : 7.11.3.18 2048 Bytes 09.02.2011 08:25:23 VBASE021.VDF : 7.11.3.19 2048 Bytes 09.02.2011 08:25:24 VBASE022.VDF : 7.11.3.20 2048 Bytes 09.02.2011 08:25:24 VBASE023.VDF : 7.11.3.21 2048 Bytes 09.02.2011 08:25:24 VBASE024.VDF : 7.11.3.22 2048 Bytes 09.02.2011 08:25:24 VBASE025.VDF : 7.11.3.23 2048 Bytes 09.02.2011 08:25:24 VBASE026.VDF : 7.11.3.24 2048 Bytes 09.02.2011 08:25:24 VBASE027.VDF : 7.11.3.25 2048 Bytes 09.02.2011 08:25:24 VBASE028.VDF : 7.11.3.26 2048 Bytes 09.02.2011 08:25:24 VBASE029.VDF : 7.11.3.27 2048 Bytes 09.02.2011 08:25:24 VBASE030.VDF : 7.11.3.28 2048 Bytes 09.02.2011 08:25:24 VBASE031.VDF : 7.11.3.40 59904 Bytes 10.02.2011 08:25:25 Engineversion : 8.2.4.166 AEVDF.DLL : 8.1.2.1 106868 Bytes 01.12.2010 09:26:59 AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 01.02.2011 10:25:34 AESCN.DLL : 8.1.7.2 127349 Bytes 01.12.2010 09:26:59 AESBX.DLL : 8.1.3.2 254324 Bytes 01.12.2010 09:26:59 AERDL.DLL : 8.1.9.2 635252 Bytes 01.12.2010 09:26:59 AEPACK.DLL : 8.2.4.9 512374 Bytes 01.02.2011 10:25:33 AEOFFICE.DLL : 8.1.1.16 205179 Bytes 01.02.2011 10:25:32 AEHEUR.DLL : 8.1.2.76 3273078 Bytes 11.02.2011 08:25:41 AEHELP.DLL : 8.1.16.1 246134 Bytes 05.02.2011 09:14:03 AEGEN.DLL : 8.1.5.2 397683 Bytes 21.01.2011 11:25:00 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.12.2010 09:26:59 AECORE.DLL : 8.1.19.2 196983 Bytes 21.01.2011 11:24:57 AEBB.DLL : 8.1.1.0 53618 Bytes 01.12.2010 09:26:59 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 01.12.2010 09:26:59 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 08.12.2010 14:25:30 AVARKT.DLL : 10.0.22.6 231784 Bytes 08.12.2010 14:25:25 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 01.12.2010 09:26:59 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4e36f61f\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 13. Februar 2011 01:51 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'QuickTimePlayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IELowutil.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sprtsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vpnagent.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\Home\AppData\Local\Temp\1A6C.exe' C:\Users\Home\AppData\Local\Temp\1A6C.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e438ad4.qua' verschoben! Ende des Suchlaufs: Sonntag, 13. Februar 2011 01:54 Benötigte Zeit: 02:48 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 24 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 23 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. |
In meinem Task-Manager ist bei den Prozessen winlogon.exe aufgeführt, ohne dass er in der Spalte "Beschreibung" näher erklärt wird. Getarnte Malware? Genauso verhält es sich allerdings auch mit csrss.exe und Ati2evxx.exe. Alle drei brauchen so um die 2500 K Arbeitsspeicher. Alle anderen Prozesse sind beschrieben. Und bei einem AntiVir-Durchlauf ohne Fund stand das hier im Report, woraufhin ich die Datei syscheckrt.exe ERASEd habe: Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '148' Modul(e) wurden durchsucht Durchsuche Prozess 'sprtsvc.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'syscheckrt.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'IAAnotif.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWTray.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWService.exe' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'vpnagent.exe' - '61' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '749' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <OS> Beginne mit der Suche in 'E:\' <RECOVERY> Ende des Suchlaufs: Sonntag, 13. Februar 2011 22:55 Benötigte Zeit: 2:03:23 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 38380 Verzeichnisse wurden überprüft 540202 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 540202 Dateien ohne Befall 3717 Archive wurden durchsucht 0 Warnungen 0 Hinweise 748453 Objekte wurden beim Rootkitscan durchsucht 120 Versteckte Objekte wurden gefunden |
Tagsdrauf hatte ich von AntiVir diese Warnungen: Beginne mit der Suche in 'C:\Users\Home\AppData\Local\Mozilla\Firefox\Profiles\dnay6u2f.default\Cache\3E63EF8Ed01' C:\Users\Home\AppData\Local\Mozilla\Firefox\Profiles\dnay6u2f.default\Cache\3E63EF8Ed01 [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e722e4d.qua' verschoben! Beginne mit der Suche in 'C:\Users\Home\AppData\Local\Mozilla\Firefox\Profiles\dnay6u2f.default\Cache\594FB86Bd01' C:\Users\Home\AppData\Local\Mozilla\Firefox\Profiles\dnay6u2f.default\Cache\594FB86Bd01 [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/VolksBkFraud [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e75db99.qua' verschoben! |
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
conime.exe? OTL Logfile: Code: OTL logfile created on: 15.02.2011 13:59:30 - Run 1 |
Vollscan Malwarebytes??? Den solltest du zuerst machen. |
OTL EXTRAS Logfile: Code: OTL Extras logfile created on: 15.02.2011 13:59:31 - Run 1 |
Ja, danke. Malwarebytes' hab ich schon mehrmals laufen lassen. Hatte ich in #1 auch schon gleich aufgelistet. Hier nochmal was von Malwarebytes' von heute Morgen: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5755 Windows 6.0.6002 Service Pack 2 Internet Explorer 9.0.7930.16406 15.02.2011 11:44:55 mbam-log-2011-02-15 (11-44-55).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|) Durchsuchte Objekte: 353346 Laufzeit: 1 Stunde(n), 24 Minute(n), 14 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Zitat:
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board