Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: csrss.exe Virus? Firewall deaktiviert und gesperrt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.07.2011, 11:52   #1
schoermi
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



Hallo Leute,

seit gestern Abend ist meine Firewall deaktiviert. Im Task Manager wird ein Prozess namens csrss.exe angezeigt. Dieser kann nicht beendet werden Malwarebytes zeigt öfter folgende Meldung:




Ich hoffe ihr könnt mir helfen

Alt 19.07.2011, 12:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________

__________________

Alt 19.07.2011, 13:50   #3
schoermi
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



ok Malware scan:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7198

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19.07.2011 14:49:29
mbam-log-2011-07-19 (14-49-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 314694
Laufzeit: 34 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
__________________

Geändert von schoermi (19.07.2011 um 14:08 Uhr)

Alt 19.07.2011, 14:10   #4
schoermi
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



Und hier der 2 Schritt als zip

Danke schon einmal für die Hilfe

Alt 19.07.2011, 14:11   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.07.2011, 14:15   #6
schoermi
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



Auch von heute aber etwas früherer Zeitpunkt. Mehr habe ich nicht Programm ist neu installiert.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7194

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19.07.2011 11:16:44
mbam-log-2011-07-19 (11-16-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 309600
Laufzeit: 38 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Alt 19.07.2011, 14:17   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



Ich vermute bei dir dieses ZeroAccess-Rootkit, hatte heute erst einen ähnlichen Fall.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.07.2011, 14:27   #8
schoermi
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



So hier aswMBR.txt

Code:
ATTFilter
aswMBR version 0.9.7.777 Copyright(c) 2011 AVAST Software
Run date: 2011-07-19 15:20:25
-----------------------------
15:20:25.895    OS Version: Windows x64 6.1.7601 Service Pack 1
15:20:25.895    Number of processors: 4 586 0x2505
15:20:25.895    ComputerName: TOBI-VAIO  UserName: Tobi
15:20:26.831    Initialize success
15:21:17.164    AVAST engine defs: 11071900
15:21:26.680    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
15:21:26.680    Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3
15:21:26.680    Disk 1  \Device\Harddisk1\DR1 -> \Device\00000064
15:21:26.680    Disk 1 Vendor: RICOH 02 Size: 476940MB BusType: 0
15:21:26.680    Disk 2  \Device\Harddisk2\DR2 -> \Device\00000065
15:21:26.696    Disk 2 Vendor: RICOH 02 Size: 476940MB BusType: 0
15:21:26.712    Disk 0 MBR read successfully
15:21:26.712    Disk 0 MBR scan
15:21:26.712    Disk 0 Windows 7 default MBR code
15:21:26.727    Service scanning
15:21:27.648    Disk 0 trace - called modules:
15:21:27.679    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys hal.dll 
15:21:27.694    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80063a0060]
15:21:27.694    3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa800356c320]
15:21:27.694    5 ACPI.sys[fffff88000f847a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800432e050]
15:21:30.097    AVAST engine scan C:\Windows
15:21:32.312    AVAST engine scan C:\Windows\system32
15:21:41.828    File: C:\Windows\system32\consrv.dll  **INFECTED** Win32:Malware-gen
15:23:00.546    AVAST engine scan C:\Windows\system32\drivers
15:23:12.636    AVAST engine scan C:\Users\Tobi
15:25:31.866    AVAST engine scan C:\ProgramData
15:26:31.177    Scan finished successfully
15:27:04.561    Disk 0 MBR has been saved successfully to "C:\Users\Tobi\Desktop\MBR.dat"
15:27:04.561    The log file has been saved successfully to "C:\Users\Tobi\Desktop\aswMBR.txt"
         

Alt 19.07.2011, 14:48   #9
schoermi
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



soweit alles richtig?

Alt 19.07.2011, 14:51   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



Zitat:
File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Malware-gen
Jupp, da isser. Meine Vermutung stimmt (leider )

Hast du eine Live-CD von Ubuntu zur Hand? Wenn nicht folge mal als Leitfaden dem 2. Link in meiner Signatur. Da wird auch kurz der Ubuntu-Desktop erklärt.

Geht jetzt aber nicht ums Datensichern (was du aber natürlich machen kannst, schadet nicht!) sondern ums umbenennen dieser Datei.

Oben über Orte wird dir u.a. auch die Windows-Partition angezeigt, bitte dahinklicken und zu Windows\system32 navigieren. Such dort die Datei consrv.dll heraus und benenn sie um in consrv.dll.vir

Versuch dann man bitte Windows wieder zu starten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.07.2011, 15:02   #11
schoermi
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



OK Datei ist umbenannt.
Was ich mit Ubuntu machen soll habe ich noch nicht so ganz verstanden. Habe keine CD davon.
Starte den PC jetzt neu

Alt 19.07.2011, 15:10   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



Wie hast du die Datei denn umbenannt? Unter Windows?

Du hast auf auf die Schreibweise geachtet? Umbenennen sollst du consrv.dll

NICHT zu verwechseln mit conserv.dll

Normalweise lassen sich solche Dateien nicht einfach so unter Windows umbenennen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.07.2011, 15:22   #13
schoermi
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



uiuiui als ich den PC neu gestartet habe hat sich automatisch ein reperaturtool gestartet.. Pc läuft unverädnert wie vorher.. Firewall immernoch deaktiviert..

Alt 19.07.2011, 15:31   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



So deswegen der Schritt mit Ubuntu. Mach den mal bitte.
Zusätzlich nach dem Umbenennen der Datei consrv.dll in consrv.dll.vir mal Folgendes testen: diese in consrv.dll umbenannte Datei => File-Upload.net - consrv.dll
runterladen und nach system32 abspeichern. Alles bitte über Ubuntu machen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.07.2011, 15:40   #15
schoermi
 
csrss.exe Virus? Firewall deaktiviert und gesperrt - Standard

csrss.exe Virus? Firewall deaktiviert und gesperrt



OK lade Ubuntu versuche die Schritte auszuführen und melde mich dann wieder! Danke

Antwort

Themen zu csrss.exe Virus? Firewall deaktiviert und gesperrt
abend, beendet, csrss.exe, deaktiviert, firewall, firewall deaktiviert, folge, folgende, gesperrt, gestern, hoffe, leute, malwarebytes, manager, meldung, namens, prozess, task manager, virus, virus?, öfter




Ähnliche Themen: csrss.exe Virus? Firewall deaktiviert und gesperrt


  1. Firewall deaktiviert , Fehler 0x80070422
    Log-Analyse und Auswertung - 24.10.2015 (9)
  2. Firewall deaktiviert sich selbstständig
    Plagegeister aller Art und deren Bekämpfung - 21.08.2015 (4)
  3. WIN XP-Nach der Anmeldung ist kurz die Firewall deaktiviert.
    Antiviren-, Firewall- und andere Schutzprogramme - 24.11.2013 (16)
  4. Virus kommt immer wieder, mehrmals gelöscht, deaktiviert Firewall etc. (Sirefef?!)
    Plagegeister aller Art und deren Bekämpfung - 03.08.2013 (10)
  5. csrss.exe macht Probleme (Beispiel: Spotify kann keine Internetverbindung mehr aufbauen und der Zugriff auf die Firewall ist gesperrt)
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (2)
  6. Windows 7: Firewall plötzlich deaktiviert?
    Netzwerk und Hardware - 20.04.2012 (1)
  7. Kaspersky und Firewall Automatisch deaktiviert!
    Plagegeister aller Art und deren Bekämpfung - 30.11.2011 (7)
  8. Kaspersky und Firewall Automatisch deaktiviert!
    Antiviren-, Firewall- und andere Schutzprogramme - 30.11.2011 (2)
  9. Facebook scr.datei; jetzt Firewall deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 30.10.2011 (15)
  10. Firewall deaktiviert und div. andere probleme
    Log-Analyse und Auswertung - 25.09.2010 (1)
  11. Firewall beim Start IMMER deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 12.11.2009 (35)
  12. Firewall und Virenscanner werden deaktiviert
    Log-Analyse und Auswertung - 02.03.2009 (0)
  13. Anti Vir Guard deaktiviert, Windows Firewall deaktiviert und andere Miseren...
    Log-Analyse und Auswertung - 24.01.2009 (13)
  14. Firewall AntiSPy, Antivirus automatisch deaktiviert: HELP plz
    Log-Analyse und Auswertung - 13.01.2007 (1)
  15. SP2 Firewall ist deaktiviert!
    Antiviren-, Firewall- und andere Schutzprogramme - 01.11.2006 (21)
  16. Einstellungen für WinXp Firewall deaktiviert
    Alles rund um Windows - 04.07.2005 (4)
  17. unerkannter Trojaner, der firewall deaktiviert
    Log-Analyse und Auswertung - 06.01.2005 (1)

Zum Thema csrss.exe Virus? Firewall deaktiviert und gesperrt - Hallo Leute, seit gestern Abend ist meine Firewall deaktiviert. Im Task Manager wird ein Prozess namens csrss.exe angezeigt. Dieser kann nicht beendet werden Malwarebytes zeigt öfter folgende Meldung: Ich hoffe - csrss.exe Virus? Firewall deaktiviert und gesperrt...
Archiv
Du betrachtest: csrss.exe Virus? Firewall deaktiviert und gesperrt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.