|
Plagegeister aller Art und deren Bekämpfung: csrss.exe Virus? Firewall deaktiviert und gesperrtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.07.2011, 11:52 | #1 |
| csrss.exe Virus? Firewall deaktiviert und gesperrt Hallo Leute, seit gestern Abend ist meine Firewall deaktiviert. Im Task Manager wird ein Prozess namens csrss.exe angezeigt. Dieser kann nicht beendet werden Malwarebytes zeigt öfter folgende Meldung: Ich hoffe ihr könnt mir helfen |
19.07.2011, 12:30 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | csrss.exe Virus? Firewall deaktiviert und gesperrt Hallo und
__________________Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL-Custom: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ |
19.07.2011, 13:50 | #3 |
| csrss.exe Virus? Firewall deaktiviert und gesperrt ok Malware scan:
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7198 Windows 6.1.7601 Service Pack 1 Internet Explorer 9.0.8112.16421 19.07.2011 14:49:29 mbam-log-2011-07-19 (14-49-29).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|) Durchsuchte Objekte: 314694 Laufzeit: 34 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Geändert von schoermi (19.07.2011 um 14:08 Uhr) |
19.07.2011, 14:10 | #4 |
| csrss.exe Virus? Firewall deaktiviert und gesperrt Und hier der 2 Schritt als zip Danke schon einmal für die Hilfe |
19.07.2011, 14:11 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | csrss.exe Virus? Firewall deaktiviert und gesperrt Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.07.2011, 14:15 | #6 |
| csrss.exe Virus? Firewall deaktiviert und gesperrt Auch von heute aber etwas früherer Zeitpunkt. Mehr habe ich nicht Programm ist neu installiert. Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7194 Windows 6.1.7601 Service Pack 1 Internet Explorer 9.0.8112.16421 19.07.2011 11:16:44 mbam-log-2011-07-19 (11-16-44).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|) Durchsuchte Objekte: 309600 Laufzeit: 38 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
19.07.2011, 14:17 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | csrss.exe Virus? Firewall deaktiviert und gesperrt Ich vermute bei dir dieses ZeroAccess-Rootkit, hatte heute erst einen ähnlichen Fall. Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.07.2011, 14:27 | #8 |
| csrss.exe Virus? Firewall deaktiviert und gesperrt So hier aswMBR.txt Code:
ATTFilter aswMBR version 0.9.7.777 Copyright(c) 2011 AVAST Software Run date: 2011-07-19 15:20:25 ----------------------------- 15:20:25.895 OS Version: Windows x64 6.1.7601 Service Pack 1 15:20:25.895 Number of processors: 4 586 0x2505 15:20:25.895 ComputerName: TOBI-VAIO UserName: Tobi 15:20:26.831 Initialize success 15:21:17.164 AVAST engine defs: 11071900 15:21:26.680 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 15:21:26.680 Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3 15:21:26.680 Disk 1 \Device\Harddisk1\DR1 -> \Device\00000064 15:21:26.680 Disk 1 Vendor: RICOH 02 Size: 476940MB BusType: 0 15:21:26.680 Disk 2 \Device\Harddisk2\DR2 -> \Device\00000065 15:21:26.696 Disk 2 Vendor: RICOH 02 Size: 476940MB BusType: 0 15:21:26.712 Disk 0 MBR read successfully 15:21:26.712 Disk 0 MBR scan 15:21:26.712 Disk 0 Windows 7 default MBR code 15:21:26.727 Service scanning 15:21:27.648 Disk 0 trace - called modules: 15:21:27.679 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys hal.dll 15:21:27.694 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80063a0060] 15:21:27.694 3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa800356c320] 15:21:27.694 5 ACPI.sys[fffff88000f847a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800432e050] 15:21:30.097 AVAST engine scan C:\Windows 15:21:32.312 AVAST engine scan C:\Windows\system32 15:21:41.828 File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Malware-gen 15:23:00.546 AVAST engine scan C:\Windows\system32\drivers 15:23:12.636 AVAST engine scan C:\Users\Tobi 15:25:31.866 AVAST engine scan C:\ProgramData 15:26:31.177 Scan finished successfully 15:27:04.561 Disk 0 MBR has been saved successfully to "C:\Users\Tobi\Desktop\MBR.dat" 15:27:04.561 The log file has been saved successfully to "C:\Users\Tobi\Desktop\aswMBR.txt" |
19.07.2011, 14:48 | #9 |
| csrss.exe Virus? Firewall deaktiviert und gesperrt soweit alles richtig? |
19.07.2011, 14:51 | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | csrss.exe Virus? Firewall deaktiviert und gesperrtZitat:
Hast du eine Live-CD von Ubuntu zur Hand? Wenn nicht folge mal als Leitfaden dem 2. Link in meiner Signatur. Da wird auch kurz der Ubuntu-Desktop erklärt. Geht jetzt aber nicht ums Datensichern (was du aber natürlich machen kannst, schadet nicht!) sondern ums umbenennen dieser Datei. Oben über Orte wird dir u.a. auch die Windows-Partition angezeigt, bitte dahinklicken und zu Windows\system32 navigieren. Such dort die Datei consrv.dll heraus und benenn sie um in consrv.dll.vir Versuch dann man bitte Windows wieder zu starten.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.07.2011, 15:02 | #11 |
| csrss.exe Virus? Firewall deaktiviert und gesperrt OK Datei ist umbenannt. Was ich mit Ubuntu machen soll habe ich noch nicht so ganz verstanden. Habe keine CD davon. Starte den PC jetzt neu |
19.07.2011, 15:10 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | csrss.exe Virus? Firewall deaktiviert und gesperrt Wie hast du die Datei denn umbenannt? Unter Windows? Du hast auf auf die Schreibweise geachtet? Umbenennen sollst du consrv.dll NICHT zu verwechseln mit conserv.dll Normalweise lassen sich solche Dateien nicht einfach so unter Windows umbenennen.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.07.2011, 15:22 | #13 |
| csrss.exe Virus? Firewall deaktiviert und gesperrt uiuiui als ich den PC neu gestartet habe hat sich automatisch ein reperaturtool gestartet.. Pc läuft unverädnert wie vorher.. Firewall immernoch deaktiviert.. |
19.07.2011, 15:31 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | csrss.exe Virus? Firewall deaktiviert und gesperrt So deswegen der Schritt mit Ubuntu. Mach den mal bitte. Zusätzlich nach dem Umbenennen der Datei consrv.dll in consrv.dll.vir mal Folgendes testen: diese in consrv.dll umbenannte Datei => File-Upload.net - consrv.dll runterladen und nach system32 abspeichern. Alles bitte über Ubuntu machen.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.07.2011, 15:40 | #15 |
| csrss.exe Virus? Firewall deaktiviert und gesperrt OK lade Ubuntu versuche die Schritte auszuführen und melde mich dann wieder! Danke |
Themen zu csrss.exe Virus? Firewall deaktiviert und gesperrt |
abend, beendet, csrss.exe, deaktiviert, firewall, firewall deaktiviert, folge, folgende, gesperrt, gestern, hoffe, leute, malwarebytes, manager, meldung, namens, prozess, task manager, virus, virus?, öfter |