Hallo Leute,

seit gestern Abend ist meine Firewall deaktiviert. Im Task Manager wird ein Prozess namens csrss.exe angezeigt. Dieser kann nicht beendet werden Malwarebytes zeigt öfter folgende Meldung:




Ich hoffe ihr könnt mir helfen

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

ok Malware scan:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7198

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19.07.2011 14:49:29
mbam-log-2011-07-19 (14-49-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 314694
Laufzeit: 34 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Und hier der 2 Schritt als zip

Danke schon einmal für die Hilfe

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Auch von heute aber etwas früherer Zeitpunkt. Mehr habe ich nicht Programm ist neu installiert.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7194

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19.07.2011 11:16:44
mbam-log-2011-07-19 (11-16-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 309600
Laufzeit: 38 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Ich vermute bei dir dieses ZeroAccess-Rootkit, hatte heute erst einen ähnlichen Fall.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

So hier aswMBR.txt

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.7.777 Copyright(c) 2011 AVAST Software
Run date: 2011-07-19 15:20:25
-----------------------------
15:20:25.895    OS Version: Windows x64 6.1.7601 Service Pack 1
15:20:25.895    Number of processors: 4 586 0x2505
15:20:25.895    ComputerName: TOBI-VAIO  UserName: Tobi
15:20:26.831    Initialize success
15:21:17.164    AVAST engine defs: 11071900
15:21:26.680    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
15:21:26.680    Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3
15:21:26.680    Disk 1  \Device\Harddisk1\DR1 -> \Device\00000064
15:21:26.680    Disk 1 Vendor: RICOH 02 Size: 476940MB BusType: 0
15:21:26.680    Disk 2  \Device\Harddisk2\DR2 -> \Device\00000065
15:21:26.696    Disk 2 Vendor: RICOH 02 Size: 476940MB BusType: 0
15:21:26.712    Disk 0 MBR read successfully
15:21:26.712    Disk 0 MBR scan
15:21:26.712    Disk 0 Windows 7 default MBR code
15:21:26.727    Service scanning
15:21:27.648    Disk 0 trace - called modules:
15:21:27.679    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys hal.dll 
15:21:27.694    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80063a0060]
15:21:27.694    3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa800356c320]
15:21:27.694    5 ACPI.sys[fffff88000f847a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800432e050]
15:21:30.097    AVAST engine scan C:\Windows
15:21:32.312    AVAST engine scan C:\Windows\system32
15:21:41.828    File: C:\Windows\system32\consrv.dll  **INFECTED** Win32:Malware-gen
15:23:00.546    AVAST engine scan C:\Windows\system32\drivers
15:23:12.636    AVAST engine scan C:\Users\Tobi
15:25:31.866    AVAST engine scan C:\ProgramData
15:26:31.177    Scan finished successfully
15:27:04.561    Disk 0 MBR has been saved successfully to "C:\Users\Tobi\Desktop\MBR.dat"
15:27:04.561    The log file has been saved successfully to "C:\Users\Tobi\Desktop\aswMBR.txt"
         

soweit alles richtig?

Zitat:

File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Malware-gen

Jupp, da isser. Meine Vermutung stimmt (leider )

Hast du eine Live-CD von Ubuntu zur Hand? Wenn nicht folge mal als Leitfaden dem 2. Link in meiner Signatur. Da wird auch kurz der Ubuntu-Desktop erklärt.

Geht jetzt aber nicht ums Datensichern (was du aber natürlich machen kannst, schadet nicht!) sondern ums umbenennen dieser Datei.

Oben über Orte wird dir u.a. auch die Windows-Partition angezeigt, bitte dahinklicken und zu Windows\system32 navigieren. Such dort die Datei consrv.dll heraus und benenn sie um in consrv.dll.vir

Versuch dann man bitte Windows wieder zu starten.

OK Datei ist umbenannt.
Was ich mit Ubuntu machen soll habe ich noch nicht so ganz verstanden. Habe keine CD davon.
Starte den PC jetzt neu

Wie hast du die Datei denn umbenannt? Unter Windows?

Du hast auf auf die Schreibweise geachtet? Umbenennen sollst du consrv.dll

NICHT zu verwechseln mit conserv.dll

Normalweise lassen sich solche Dateien nicht einfach so unter Windows umbenennen.

uiuiui als ich den PC neu gestartet habe hat sich automatisch ein reperaturtool gestartet.. Pc läuft unverädnert wie vorher.. Firewall immernoch deaktiviert..

So deswegen der Schritt mit Ubuntu. Mach den mal bitte.
Zusätzlich nach dem Umbenennen der Datei consrv.dll in consrv.dll.vir mal Folgendes testen: diese in consrv.dll umbenannte Datei => File-Upload.net - consrv.dll
runterladen und nach system32 abspeichern. Alles bitte über Ubuntu machen.

OK lade Ubuntu versuche die Schritte auszuführen und melde mich dann wieder! Danke